アカウント名:
パスワード:
やっぱりIEがいいですね。なんだかんだ言っても不具合があれば迅速にパッチをリリースしてくれるし、
問題は、そのインストールされるActiveXがアレだという点で Fixするのであれば、そのActiveXプラグインのバグのほうでしょう。 やはりIEの脆弱性というには、いささか無理があるように思えます。
以前、VeriSign が Microsoft の署名を不審者に発行する [impress.co.jp]ということがありました。
このような特殊な事例に限らず、署名は発行元が信頼できるというだけで、署名されたプログラム自体が信頼できるということではありません。 署名の有無に関わらず、あるプログラムをインストールし、実行するという判断は Windows や IE といった環境に限らず、管理者が適切に行う必要があります。
この流れを受けて、現在では Microsoft はデフォルトで ActiveX コントロールを無闇にインストールさせない [takagi-hiromitsu.jp]ように対策を取っています。必要のない ActiveX コントロールまで自動でインストールするという設定は明らかにユーザの責任です。
バージョンって言葉はご存知ですか? 意外かもしれませんが、ActiveXにもあるんですよ、バージョンってものが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
IEがいい。 (スコア:0)
Re:IEがいい。 (スコア:1)
2年以上もパッチを出さずに放置している問題 [secunia.com]がありますね。
どこをどう解釈すると「迅速」という言葉が出てくるんでしょうか?
Re:IEがいい。 (スコア:1)
そうではないと言うのであればそれを証明しなさい。
さあ、どうぞ。私はACではありませんよ。
# お前は次に[どうせACと同じだろ]という
Re:IEがいい。 (スコア:2)
ちょっと大物になったみたいな、正直なところ悪くない気分です。
冗談はさておき、その脆弱な ActiveX プラグインを無警告で
インストールし実行してしまう可能性があるということは、
IE の脆弱性でもあると言わねばな
Re:IEがいい。 (スコア:1)
設定如何で警告を出すようにすることもできますし(IE6のデフォルトでは警告が出るようになっていたと記憶しています)
無効にする事もできます。
問題は、そのインストールされるActiveXがアレだという点で
Fixするのであれば、そのActiveXプラグインのバグのほうでしょう。
やはりIEの脆弱性というには、いささか無理があるように思えます。
あと関係ありませんが、わざわざ「スコア+1のボーナスを使わない」を外して投稿しておられるようですが
よほど、ご自分の投稿内容に自信がおありのようですね。
私とは異なる価値観のようですが。
Re:IEがいい。 (スコア:2)
脆弱な ActiveX プラグインを回収することは非常に困難です。
なにか良い考えがありますか?
Re:IEがいい。 (スコア:1)
ある一つの、ActiveXプラグインの脆弱性を挙げて、それが改修されていないからと言って
IE自体に脆弱性があると結論付けるのは、無理があるのではないですか?
と言っているのです。
勿論、該当のActiveXプラグインについては、早急に修正する必要があります。
2年間も放置するとはもってのほかです。この点はMSは責められてしかるべきでしょう。
--
一応、この件についても私見を述べさせて戴きます
> 脆弱な ActiveX プラグインを回収することは非常に困難です。
> なにか良い考えがありますか?
Windowsには「Windows Update」という仕組みがあり
ActiveXプラグインにバグがあったとしても、修正版を配布することが可能です。
尤も、ユーザーに対してきちんとUpdateを行うように啓蒙する責任は、MSにあると思います。
Re:IEがいい。 (スコア:2)
この場合、善意のユーザの手元から脆弱なファイルを消去するだけでは
全然不十分なのです。
悪意があって、ActiveX の脆弱なバージョン(しかも Microsoft の署名付き) を
故意にばらまこうとしている連中の手から、データを奪い取る必要があります。
もともと脆弱な ActiveX プラグインは、Visual Studio の過去のバージョンとともに
無数に配布されてしまったものなのです。
これがどんなに難しいことなのか、ご想像いただけるでしょうか?
Re:IEがいい。 (スコア:0)
以前、VeriSign が Microsoft の署名を不審者に発行する [impress.co.jp]ということがありました。
このような特殊な事例に限らず、署名は発行元が信頼できるというだけで、署名されたプログラム自体が信頼できるということではありません。 署名の有無に関わらず、あるプログラムをインストールし、実行するという判断は Windows や IE といった環境に限らず、管理者が適切に行う必要があります。
この流れを受けて、現在では Microsoft はデフォルトで ActiveX コントロールを無闇にインストールさせない [takagi-hiromitsu.jp]ように対策を取っています。必要のない ActiveX コントロールまで自動でインストールするという設定は明らかにユーザの責任です。
Re:IEがいい。 (スコア:0)
意外かもしれませんが、ActiveXにもあるんですよ、バージョンってものが。
Re:IEがいい。 (スコア:2)
脆弱な ActiveX プラグインを (恐らく Microsoft の署名を信じて)
インストールし、今にも実行しようとしたその刹那、どこからともなく
あなたが現れて安全なバージョンで上書きしてくれる、という意味ですか?
そりゃ尋常じゃないサポートレベルですねぇ。
Re:IEがいい。 (スコア:0)
もしかしてギャグじゃなく本気だったりする?
Re:IEがいい。 (スコア:1)
IEを直したら、他のプログラムも直せちゃうんですか?
すごいんですねIEって。
Re:IEがいい。 (スコア:2)
この脆弱な IE をどうやって直せば良いか?
ひとつの考え方としては、ActiveX プラグインを読み込んだときに
バカみたいにただ実行するのではなく、実行に先立ってバッファ
オーバランを引き起こす可能性があるかどうかをチェックする機能を
組み込む、ということが考えられます。
Microsoft に限らず、どこのベンダであろうと、欠陥のある ActiveX
プラグインに電子署名して一般配布してしまう、という失態を繰り返す
可能性は否定できません。
従って、たまたま発覚しているこのプラグインだけに対処するのでは
全然不十分です。
まず欠陥の有無をチェックして、それから仮想的な安全な環境
(サンドボックスといいます)で実行するのが、まともな設計というものです。
もし Microsoft がこのような修正を実行すれば、Sun Microsystems の
10年前の技術水準にようやく追いつく、ということになります。
しかし、過ちを改めるのに遅すぎる、ということはないと考えます。
IE ユーザというものが絶滅しない限り、たとえあと10年かかるとしても
直すべきでしょう。
まずはオマエの頭の脆弱性をどうにかしろ (スコア:0)
Re:IEがいい。 (スコア:1)
> (サンドボックスといいます)で実行するのが、まともな設計というものです。
あなたの使っているソフトでそれを実行しているものをすべて挙げて下さい。
そのうえで、あなたが使っているソフトをすべて挙げてください。
そしたら、あなたが使っているソフトのうち、それを実行していないソフトのリストが作れますね。
そこ全てに同じ事を言ってあげて下さい。
ろくなチェックもせず、脆弱なIEにすら存在している署名のチェックもしないでExtensionを実行するFirefoxなんか言語道断ですねえ。お願いしますね。
実行されるソフトのチェックとサンドボックスでの実行を行っているOSを挙げてみて下さい。それをやってないOSは全て脆弱ですね。IEと同レベルで。WindowsもMacもSolarisもLinuxも*BSDもやってなかったと思うんで、お願いしますね。