アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
どっちかつt-と (スコア:2, 興味深い)
誰だshell:なんて作ったのは。
Re:どっちかつt-と (スコア:0)
そんなに安易にMozillaの問題の責任を Windows になすりつけて
大丈夫ですか?
Re:どっちかつt-と (スコア:5, 参考になる)
Windowsのレジストリには拡張子の関連付けと同様に任意の
URL schemeにアプリケーションを関連付ける機能が存在する。
IEやMozilla等のブラウザは自身で処理できないURLに遭遇した
場合、この情報を利用して外部のアプリケーションを起動する。
この機構が存在する事でブラウザは自身にとって未知の、
mms://やed2k://の様な外部のアプリケーション独自の
schemeを持ったURLを問題無く開けるようになっている。
この性質により独自schemeのURLに関するセキュリティは
レジストリの関連付けの安全性に依存することになるが、
当然その関連付けは安全であることが期待されている。
しかしWindows自身が登録したshell:の関連付けは上記の
期待に反して安全では無かった。これが今回の問題の原因だ。
上記の「期待」に関してはIEも同様である為、危険なschemeを
レジストリに登録してやれば幾らでも新しい脆弱性が作れる。
IEが今回のshell:の影響を受けないのはそれが自分で埋めた
地雷であるからに過ぎず、他人の埋めた地雷は避けられない。
試しに以下の文書を参考に適当なschemeを登録してその
URLをIEやMozillaから開いてみるといいだろう。関連付け
次第でどんなアプリケーションでも起動できる事を確認できる。
Registering an Application to a URL Protocol [microsoft.com]
結論として、IEやMozilla等がこの問題を完全に
回避するにはレジストリの情報を信頼して外部の
アプリケーションを起動することを止めるしかない。
Re:どっちかつt-と (スコア:2, 興味深い)
WindowsのschemeハンドラにはWindowsなりのセキュリティモデルが規定されているのではないでしょうか。
そのschemeハンドラを使うからには、そのお作法に従って書く必要があるところ、従わなかった
という可能性はないですか?
類似の話として、独自メーラがHTML対応のためにIEコンポーネントを使う際に、そのセキュリティモデルを理解せずに作法に従わずに使用したため、Active Xコントロール等がマイコンピュータゾーンで動いてしまうという脆弱性が、昔ありました。
「Becky!」、「EdMaxフリー版」のセキュリティ問題対策版がリリース (99/07/06) [impress.co.jp]
Re:どっちかつt-と (スコア:1, 参考になる)
物だから、そういう呼び出しに対しても安全なschemeのみ
関連付け登録するというセキュリティモデルだった。
このモデルはshell:の存在によって破壊されたと言えるから、
ブラウザは外部のアプリケーションに関連付けられたURLを
開くときにユーザに確認するなどの事をするべきだとは思う。
Re:どっちかつt-と (スコア:0)
>安全であることが期待されている
なんかこの手のニュースが出るたびに思うことは、プログラマな人たちって
危機管理システムが働かない性善説信者なのかと思う。
開発者というのは現実的に消費者と接することが少ない職業なので仕方ない
Re:どっちかつt-と (スコア:0)
もともと Windows にしか存在しないプロトコルであれば、まあ5%くらいは Windows のせいにしてもいいかな?
残りの95%はもちろん、Shell: を放置していた Mozilla のせい。
Re:どっちかつt-と (スコア:1, 参考になる)
MacOS X 版にはありませんでした。
Linux は他の方お願い。
Re:どっちかつt-と (スコア:1, 参考になる)
Re:どっちかつt-と (スコア:1, 興味深い)
shell:を使えるのがMozilla だけだったら、やっぱり Mozilla が悪いんじゃないか。
Re:どっちかつt-と (スコア:0)
でもIEとかには昔から無いよ。
Re:どっちかつt-と (スコア:1, 興味深い)
アドレスバーに"shell:windows"って入れてリターン叩いてごらん。
# MacやUNIXのIEだったらゴメン