アカウント名:
パスワード:
なぜMicrosoftは、Active XやHTAファイルなどといった狂った規格を作りたがるのか?他人に易々とVBScript実行を許可させておきながら、微塵も不安を感じないのか?
誰がどう見ても、こんなもんエクスプロイト上等のために存在してるとしか思えない。そもそもHTML ApplicationなどというシロモノをWindowsに取り入れようと決めた時。Microsoft社内からは誰一人「おいこれ悪用されたら非常に危険じゃね?」と声を上げる人は居なかったのか?
性善説信仰とかマジ勘弁。せめてHTAファイルには、どこから実行される場合であっても漏れ無く「この発行元による、お使いのコンピューターでのソフトウェアの実行はブロックされています。」警告出すくらいやって。
electronとかコンセプトは同じ。後だしドヤ顔で狂って文句言ってる様にしか見えないぞ。
横レス失礼
MSてば当初から承知の上で穴開けてたんですよセキュリティゾーンをちゃんと考慮させていればまだマシだったのにWindows7のGadgetのためにゾーンセキュリティ捨てたという暴挙しかも誰でもGadgetを公開できる下地も作った上でです正に狂気の沙汰でしょう
1999 年 5 月 14 日 HTML Applications 概要:頼性というパワー: HTAとセキュリティ [microsoft.com]
HTA の 信頼関係ステータスは、セキュリティ ゾーン オプションに従うすべての操作にまで拡張されます。要するに、ゾーン セキュリティはオフということです。したがって、HTAは、クライアント マシン上のゾーン セキュリティ設定とは関わりなく組み込みの ActiveXR コントロールや Java アプレットを実行できます。こういったオブジェクトがダウンロードされ、HTA 内で実行されるときには、その前に警告メッセージはいっさい表示されません。
んでもってWindows8を待つまでもなくGadgetは廃止理由は上記が狂気の沙汰だったと叩かれ続けたたから
でHTAがelectronより後出しってどこの世界の話でしょう
IEベースのHTAやGadget並みのことをクロスブラウザ・クロスプラットフォームでできるようにChromium(Google Chrome)とNode.jsベースにしたのがelectronなのですが
当然セキュリティはHTAやGadgetはIEベースでセキュリティ ゾーン無視でローカル権限electronはChromiumとNode.jsのセキュリティに依存となります
# 叩きや煽りは根拠の裏取りしないと恥かくだけですよ
この手の怪しいファイルを開くような人は大抵警告を読まずに開く。ひどい場合で警告を読んだ上で開く。最悪以前も読んだことがある警告文なので読まずに開く。それにガジェットはVistaからあるけどね。# 叩きや煽りは根拠の裏取りしないと恥かくだけですよ
>でHTAがelectronより後出しってどこの世界の話でしょうだれもそんなこと言ってない。ちゃんと読んで。
Electronも、メインプロセスで実行するコード(main.js側)はローカル(実行しているユーザー)の権限で、そこはHTAと同じではありませんか?そこから隔離されたレンダラプロセスが用意されているなど、Electronが進化している点はありますが。
Electronの初期にXSSで超簡単に電卓起動まで持っていけるみたいなデモがサクサク公開されてたなー。さすがに修正されてるだろうけど根本対処しない(できない)ままツギハギを繰り返してるのはHTAと変わらないし
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
HTAファイルは百害あって一理なし (スコア:-1)
なぜMicrosoftは、Active XやHTAファイルなどといった狂った規格を作りたがるのか?
他人に易々とVBScript実行を許可させておきながら、微塵も不安を感じないのか?
誰がどう見ても、こんなもんエクスプロイト上等のために存在してるとしか思えない。
そもそもHTML ApplicationなどというシロモノをWindowsに取り入れようと決めた時。
Microsoft社内からは誰一人「おいこれ悪用されたら非常に危険じゃね?」と声を上げる人は居なかったのか?
性善説信仰とかマジ勘弁。
せめてHTAファイルには、どこから実行される場合であっても漏れ無く「この発行元による、お使いのコンピューターでのソフトウェアの実行はブロックされています。」警告出すくらいやって。
Re: (スコア:0)
electronとかコンセプトは同じ。
後だしドヤ顔で狂って文句言ってる様にしか見えないぞ。
Re:HTAファイルは百害あって一理なし (スコア:-1)
横レス失礼
MSてば当初から承知の上で穴開けてたんですよ
セキュリティゾーンをちゃんと考慮させていればまだマシだったのに
Windows7のGadgetのためにゾーンセキュリティ捨てたという暴挙
しかも誰でもGadgetを公開できる下地も作った上でです
正に狂気の沙汰でしょう
1999 年 5 月 14 日 HTML Applications 概要:頼性というパワー: HTAとセキュリティ [microsoft.com]
HTA の 信頼関係ステータスは、セキュリティ ゾーン オプションに従うすべての操作にまで拡張されます。要するに、ゾーン セキュリティはオフということです。したがって、HTAは、クライアント マシン上のゾーン セキュリティ設定とは関わりなく組み込みの ActiveXR コントロールや Java アプレットを実行できます。こういったオブジェクトがダウンロードされ、HTA 内で実行されるときには、その前に警告メッセージはいっさい表示されません。
んでもってWindows8を待つまでもなくGadgetは廃止
理由は上記が狂気の沙汰だったと叩かれ続けたたから
でHTAがelectronより後出しってどこの世界の話でしょう
IEベースのHTAやGadget並みのことを
クロスブラウザ・クロスプラットフォームでできるように
Chromium(Google Chrome)とNode.jsベースにしたのがelectronなのですが
当然セキュリティは
HTAやGadgetはIEベースでセキュリティ ゾーン無視でローカル権限
electronはChromiumとNode.jsのセキュリティに依存
となります
# 叩きや煽りは根拠の裏取りしないと恥かくだけですよ
Re: (スコア:0)
この手の怪しいファイルを開くような人は大抵警告を読まずに開く。ひどい場合で警告を読んだ上で開く。最悪以前も読んだことがある警告文なので読まずに開く。
それにガジェットはVistaからあるけどね。
# 叩きや煽りは根拠の裏取りしないと恥かくだけですよ
Re: (スコア:0)
>でHTAがelectronより後出しってどこの世界の話でしょう
だれもそんなこと言ってない。ちゃんと読んで。
Re: (スコア:0)
当然セキュリティは
HTAやGadgetはIEベースでセキュリティ ゾーン無視でローカル権限
electronはChromiumとNode.jsのセキュリティに依存
となります
Electronも、メインプロセスで実行するコード(main.js側)はローカル(実行しているユーザー)の権限で、そこはHTAと同じではありませんか?そこから隔離されたレンダラプロセスが用意されているなど、Electronが進化している点はありますが。
Re: (スコア:0)
Electronの初期にXSSで超簡単に電卓起動まで持っていけるみたいなデモがサクサク公開されてたなー。
さすがに修正されてるだろうけど根本対処しない(できない)ままツギハギを繰り返してるのはHTAと変わらないし