パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

主要タブブラウザに共通のセキュリティホール」記事へのコメント

  • Javascript (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2004年10月22日 9時31分 (#640700)
    セキュリティに興味があるのなら使わないのがデフォルトだと思うのですが、なにか。
    • Re:Javascript (スコア:2, 参考になる)

      by hetsu (20017) on 2004年10月22日 9時46分 (#640711)
      結局,利用者が「Javascript,JAVA,ActiveXの実行は危険を伴う」
      と言う認識を持つことが大事なんでしょうね。

      私はIEコンポーネントのSleipnir使いなのですが。
      Sleipnirの場合,ブックマークごとに
      JAVAScript,JAVA,ActiveXなどのオンオフが設定できるので,
      よく行くサイトのみオンにして,デフォルトはオフにしています。

      IEコンポーネントブラウザはIEのセキュリティホールを継承しますが,
      下手に他のブラウザを使うより,この方がいいかな,と思っています。
      (そんなことはない,って方はご指導ください)

      #でも,今気づいたけど,Sleipnir,Geckoに正式対応していますね。
      #GeckoコアでのSleipnirが最強なのかな?
      親コメント
      • Re:Javascript (スコア:4, おもしろおかしい)

        by parsley (5772) on 2004年10月22日 10時39分 (#640750) 日記
        >結局,利用者が「Javascript,JAVA,ActiveXの実行は危険を伴う」と言う認識を持つことが大事なんでしょうね。

        同意。ヤバスクリプトという名前でも広めましょうか?
        --
        Copyright (c) 2001-2014 Parsley, All rights reserved.
        親コメント
      • by Carol (2812) on 2004年10月22日 10時05分 (#640725)
        wiki [sppd.ne.jp]見るかぎりはまだ正式対応版出てないようなんですけど、どこに正式対応の情報ありました?

        あったら欲しい。
        親コメント
      • by ccd (10197) on 2004年10月22日 10時38分 (#640749) 日記
        結局の所、IEコンポーネント使用型のタブブラウザを、JavaScriptなどはデフォルトOFFにして使うのが一番便利かつある程度安全性も確保できるのでは、という気が。

        まぁMozillaなりFireFoxなりにタブブラウザ拡張を突っ込めば、ほぼ同等のことができるんですが。ただLunascapeにある「このタブの設定を次タブに引き継ぐ」機能さえ移植されれば…。新しいウィンドウを開くタイプのWebサイト(たとえば東京三菱ダイレクト [btm.co.jp]とか出光カード [idemitsu.co.jp]とかログオンが必要なサイトに多い)だと、この機能が無いと不便なのです。
        親コメント
      • by Anonymous Coward
        そんなあなたに Tabbrowser Extensions [sakura.ne.jp]
      • by Anonymous Coward
        さっさと法律で禁止しろ。
      • by Anonymous Coward
        >結局,利用者が「Javascript,JAVA,ActiveXの実行は危険を伴う」
        >と言う認識を持つことが大事なんでしょうね。

        まずページ製作者に啓蒙して本当に必要な場面以外では
        JavaScript類を使わないようにしてもらわないと結局
        利用者の設定は「常に実行」にな
        • by Motohiko (15295) on 2004年10月22日 21時07分 (#641079) ホームページ

          なんで画像一枚開くだけの事にJavaScriptを要求するんだ。
          讀賣新聞 [yomiuri.co.jp]とか。

          でっち上げてみた。画像自体のリンクは機能しないけど。

          Name = "YOL view large image"
          Active = TRUE
          Multi = TRUE
          URL = "www.yomiuri.co.jp/"
          Bounds = "<SCRIPT LANGAGE="javascript" * </NOSCRIPT>"
          Limit = 700
          Match = "*photoWinOpen\('http://www.yomiuri.co.jp/zoom/([0-9A-Z\-]+\.htm)\1'*"
          Replace = "<A HREF="http://www.yomiuri.co.jp/zoom/\1"><font class='SS'>写真の拡大</font><B style='background-color:#dddddd'><font class='Md'>+</font></B></A>"

          それは兎も角、こうしたときにJavaScriptでポップアップウィンドウを開きたいのはわかるんだけど、スクリプトがなくても機能するようにしてくれてもいいと思うけどねぇ。

          親コメント
        • by Anonymous Coward
          >なんで画像一枚開くだけの事にJavaScriptを要求するんだ。

          もっとバカバカしくて、しかも時として役に立たないのが、「もどる」ボタンとかにScript使ってるやつでしょう。
    • 正しく機能させるには使わなければならないサイトが結構あるのですが、なにか。
      親コメント
      • by Anonymous Coward
        そういうところはソースを見て自分で何とかするというのが基本では.
        #最初は面倒ですけど,まあやってると慣れます.

        もしくは安全だと信じるサイトだけ許可してやってもいいnですが.
        • by Anonymous Coward
          現実的じゃない。どこの誰の基本なの?
          最後の一行には同意。
          信じて裏切られることもあるけどしょうがない。世の中そんなもん。
        • by Anonymous Coward
          HTMLソースを見ると裁判でいちゃもんを付けられますが、なにか?
          • by Anonymous Coward
            裁判でいちゃもんをつけられた人はどうやらHTMLを改変してアクセスするのがファイルを見る一般的な方法と主張しているようです。

             検察側は、同様のファイルにはFTP経由でアクセスするのが普通だと主張した。サーバを管理していたファーストサーバやACCSもFTPからアクセスしており、HTMLからのアクセスは通常利用の範囲外。元研究員もそれを認識していたのではないかとの趣旨の質問を繰り返した。

             これに対して元研究員は、「ファイルにアクセスする一般的な方法が何なのかは知らないし、自分がやった以外のアクセス方法があるかどうかは分からない。サーバ管理者側がファイルをどう管理しているかは、閲覧時は考えないのが普通」と反論した。

            • by Anonymous Coward on 2004年10月22日 12時25分 (#640820)
              裁判官に制止されたのが検察官なのか元研究員なのかがこの記事だといまいちわかんないんですが。
              実際のところ心証はどうなんでしょうねぇ。
              親コメント
            • by U-Chan (6901) on 2004年10月22日 15時39分 (#640922)
              一般的かどうかは知らないが、telnet コマンドで直接 HTTP ポートを叩いたり、HTML ファイルを取ってきて手で書き換えてアクセスするとかは良くやりますよ。
              特に、JavaScript が IE 以外に対応していないときなんて、適当に書き直して Mozilla でも見られるようにしたりします。
              親コメント
              • by Anonymous Coward
                MacOSX用のOmniWebのソースエディタは、編集したHTMLデータを
                メモリ上で差し替える事が出来るので、ローカルに落としちゃうと面倒
                なページでも簡単にいじくれます。表示がおかしなページとかでもその
                場で適当に編集してそのまま見たり。

                自動で整形してくれたり、タグの入れ子チェックとかもしてくれ
            • by greentea (17971) on 2004年10月22日 22時34分 (#641117) 日記
              HTMLソースを改変って言うから、てっきりFTPか何かで改変したHTMLをアップロードしたのかと思ったら、
              ローカルで何かやってるだけかよ…
              んなもんクライアントが何しようが勝手じゃないか…
              だいたい、ちゃんと規格どおりにHTMLが動くブラウザでアクセスしてくる保証もないんだし。

              それに、それが有罪なら
              javascript:document.body.innerHTML=document.body.innerHTML.replace(/ー/g,'キタ---(゜∀゜)---');focus();
              も有罪ってことになるんかなぁ。
              --
              1を聞いて0を知れ!
              親コメント
              • by parsley (5772) on 2004年10月22日 23時03分 (#641130) 日記
                きっとローカルでスタイルシートなんか適用すると、逮捕されちゃうんですね

                # ほんと?
                --
                Copyright (c) 2001-2014 Parsley, All rights reserved.
                親コメント
              • by Anonymous Coward
                Webサーバに話しかけたら教えてくれた、って線ですよねぇ。どう悪意を以て解釈しても。
              • by Anonymous Coward
                Webサーバーを「知らない人とは口を利いてはいけません」と教育するしか!!

                #自閉症なWebサーバーの出来上がり?
            • by Anonymous Coward
              これで有罪になるんであれば日本のネットワークは危なくて外出せないですね。
              グローバルアドレスで運用するのは危なすぎなので海外に繋がってる回線に
              ファイヤーウォール立てて国内のネットワークは全てプライベートアドレスで
              運用した方がいいんじゃないの?

              検察も井の中のカエル丸出しで恥ずかしすぎますね。
            • by Anonymous Coward
              裁判でいちゃもんをつけられた人はどうやらHTMLを改変してアクセスするのがファイルを見る一般的な方法と主張しているようです。

              この部分だけなら、やったことある話なのだけど。
              HTTPサーバに適当
            • by Anonymous Coward
              delegate も Proxomitron も改変するし、
              Mozilla も View Page Source の時にたりないタグを勝手に補ったりするけどね。
    • Re:Javascript (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2004年10月22日 9時53分 (#640717)
      使わなくても普通に見られるサイトばかりならそれで良いのですが、
      使わないとまともにみられないサイトも結構な数あることが問題なわけで。
      Windows Updateとか。

      IEではセキュリティゾーンの設定がドメインレベルでしか行えないのも問題かと。
      親コメント
      • by Anonymous Coward
        Windos UpdateはActiveXでわ。
        • by Anonymous Coward
          ActiveXにたどり着く前、ページを表示する際にjavascriptが必要になりますよ。
      • by Anonymous Coward
        WindowsUpdateはJavaScriptのon/off以上に別の問題があると
        思いますがとりあえずそれはそれとして…

        最近のWindows(2000やXP)だと自動更新機能がありますが
        これを使う場合IEのJavaScriptやActiveXを有効にする
        必要はあるんでしょうか?ないのならWindowsUpdateなんて
        捨てて
        • by Anonymous Coward on 2004年10月22日 13時14分 (#640859)
          自動更新と「インターネットオプション」の設定は別物です。
          少なくとも「ダウンロードして告知」までなら。
          常時JavaScript・ActiveX無効の環境で試したことがありますが、きっちり「更新の準備ができました」と来ました。
          「自動でインストールする」とどうなるかはちょっと怖くて試せていません。

          #まだSP2入れる準備が出来てないのでAC
          親コメント
        • by Anonymous Coward
          自動更新のほうは今一信頼性にかけるみたいですね。 [google.co.jp]
          うろ覚えの上にソースは失念しましたが、
          自動更新だと最新のパッチが一部あたらないということも以前あったらしいです
      • by Anonymous Coward
        銀行のオンラインバンキングとか
    • ホームページ作成ソフトの中には、アンカーに必ずJavaScriptを使うようなものがあるんでないでしょうか。
      画像の表示にもJavaScript、何かするために必ずJavaScriptが使われているような。

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

処理中...