アカウント名:
パスワード:
ActiveXって何に役に立ってるのでしょうかね。
# Deer Park WPS Alpha 1使いなのでID
エンドユーザーにはIEを使って Windows Updateをするようにってゆっているわけだし
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
昔からでしょ (スコア:0, 興味深い)
ActiveXって何に役に立ってるのでしょうかね。
アプリの起動だけじゃ使ってることにならないしね。
#本来はjavaパクリなんでしょうけど
Re:昔からでしょ (スコア:2, すばらしい洞察)
なんでもできますから。(ディスクのフォーマットからレジストリの書き換えまで)
・起動フロッピーを作成するWebアプリを作れなんて言われたら....
notice : I ignore an anonymous contribution.
Re:昔からでしょ (スコア:2, 参考になる)
簡単に説明すればActiveXってのはOLEから進化して来た技術で
本来の根幹はアプリケーション間通信の為に存在していました
よくExcelの中に別のドキュメントを埋め込んだりしてあるアレだと
思っていただいて結構です。
1度作ったドキュメントやプログラムを再利用することで
複数のプログラムで無駄な開発をなくせることと、
一括でBugfixできるって意味で有益だと思われて提供されています
古いVisualBasicだとOCX等と呼ばれた時代もありましたが、
ActiveX技術はアプリ通信以外だとライブラリの一つの形でもあると言うことです。
何故 IEでActiveXがサポートされる必要があるのかと言えば
IEもアプリケーションの1つですし、通常のHTML以外にActiveForm等のような
ブラウザ内で動作するネイティブプログラムや各種言語から
ActiveXをダウンロードして使う為です
あとOLEの歴史はjavaより古いです、何がパクリなのかわかりませんが歴史的にはOLEの方が古いです。
Re:昔からでしょ (スコア:1, 興味深い)
発表当時、Java Appletの対抗技術としてされていたからではないでしょうか?
そのころのイメージを引きずっていて、かつOLEの歴史を知らなければ(さらにJava=Appletという時代から知識が更新されていなければ)、ActiveX=危険なJavaという理解になるのも分かる気がします。
> あとOLEの歴史はjavaより古いです、何がパクリなのかわかりませんが歴史的にはOLEの方が古いです。
当時、Java Applet vs ActiveXという構図があり、かつActiveXという名前が後から出された(技術的な面はともかく)ことを考えれば、パクリといわれても仕方ないでしょう。
つまり、Microsoftがパクったのは「ダウンロードして使うWeb Browser埋め込みアプリケーション」という発想です。
名前 (スコア:0)
だとしたら、なのですが、同じ物にどんどん別な名前つけていくのをやめてほしいです。マイクロソフトさん。
Re:名前 (スコア:2, 参考になる)
その「同じ仕組み」の名前が途中でバージョンアップとか
機能追加とかに伴い、OLE2→COM→COM/DCOM→COM+と変遷してますが。
COM+で何のインターフェイスを実装するか(実装を必須条件とするか)ですね。
一番簡単に言うと、IDispatchを実装してればActiveXと言えるんでしたっけ?
実際のところ、COM+は良くできた仕組みだと思いますよ。
IUnknownの設計とか。
MozillaのXPCOMもGnomeのbonoboもIUnknownに関しては、完全に
COM+の模倣ですね。
OLE1.0 (on Win3.1)はObject Linking and Embeddingでしたが、
OLE2.0 (on Win95)からは何の略でもなくOLE。OLE1とOLE2は別物です。
Re:名前 (スコア:0)
実は今いろいろ脆弱で大変なんだけど…
#今更なのでAC
Re:名前 (スコア:0)
OLE2は、CORBA + VBのVariant Typeにしか見えない。
本田
Re:名前 (スコア:0)
OLE と OCX 相当のものは、別々の種類のモノだった。
Windows 3.1 時代までさかのぼると、プロセス間通信としてのOLE は次世代 DDE として
宣伝されてたように思う。
共有ライブラリとしての OCX は
Re:昔からでしょ (スコア:0)
ただ、.dll や Linux の .so のような関数ベースのライブラリではなく、
VB などからも使いやすいようにコンポーネントベースの。
Re:アプリの起動だけじゃ (スコア:1)
# Deer Park WPS Alpha 1使いなのでID
Re:アプリの起動だけじゃ (スコア:0)
(HTTPでやるのはいいとしても)。
aptみたいな単体のアプリケーションでやればいいだけだと思います。
Re:Webブラウザでやる必然 (スコア:1)
Windows Updateをするようにってゆっているわけだし。
一般的に慣れたインターフェースを使わせることに
意味があるのではないの?
# Internet Explorerには慣れたことないけど(^^;
Re:Webブラウザでやる必然 (スコア:3, すばらしい洞察)
>意味があるのではないの?
WindowsUpdateは割と頻繁に操作方法が変わりますから
IEがどうの、HTMLのインターフェースがどうのといわれても
あまり意味ないですね。
Re:Webブラウザでやる必然 (スコア:1)
IEを使わないUIというなら、自動更新もありますが。
Re:Webブラウザでやる必然 (スコア:2, すばらしい洞察)
# NIMDA以来ActiveXもスクリプトも切ったままなのでID
Re:Webブラウザでやる必然 (スコア:0)
当時は今ほどインフラがあるわけでもなく、回線速度とかいろいろ問題もあったでしょうし。
Re:Webブラウザでやる必然 (スコア:0)
「今すぐ更新を確認」ボタンがほしい。
Re:Webブラウザでやる必然 (スコア:0)
> 意味があるのではないの?
慣れたインターフェースでというのなら
IEよりもむしろ Ctrl+Alt+Del で
Re:Webブラウザでやる必然 (スコア:0)
Re:Webブラウザでやる必然 (スコア:0)
Re:昔からでしょ (スコア:1)
イントラネット用で使ってたものをインターネットに持ち込んだ
のが間違いの始めとか、なんとか。
256倍本に書いてあったような。。
うろ覚えですいません。
Re:昔からでしょ (スコア:2, 興味深い)
イントラネットじゃなくてスタンドアローンでの運用を
前提としたセキュリティレスな仕様をインターネットに
持ち込んだ、が正しいのではと思います。
Re:昔からでしょ (スコア:1)
Mozillaの既知の脆弱性で危険度が高いのは概ねこれの悪用だし。
Re:昔からでしょ (スコア:0)
無理があるのではないかな?ついでにぐぐると223件 [google.co.jp]しかない。
正しくは、「XULで記述されたchromeの中に埋め込まれたJavascript」かな。
ウェブページへのアクセス時に要求されるものではなく、ローカルに落として
適用・運用するものだから、やはり「同じくらい」には語弊がある。
いつ
Re:昔からでしょ (スコア:1, 参考になる)
Known Vulnerabilities in Mozilla Products [mozilla.org]に挙げられている脆弱性の内、特権付きjavascriptの無断実行に関する物を以下に挙げる。C,H,M,Lは程度(C=critical, H=high, M=moderate, L=low)、バージョン番号の後の括弧内は脆弱性の総数、パーセンテージはhigh以上の脆弱性の内特権付きjavascriptの無断実行に関する物の占める比率である。
Fixed in Firefox 1.0 (C=2, H=2, M=2, L=3) 25%(1/4)
[C] MSFA 2005-12 [mozilla.org]
Fixed in Firefox 1.0.1 (C=2, H=3, M=5, L=6) 20%(1/5)
[H] MFSA 2005-26 [mozilla.org]
Fixed in Firefox 1.0.2 (C=1, H=1, M=0, L=1) 50%(1/2)
[H] MFSA 2005-31 [mozilla.org]
Fixed in Firefox 1.0.3 (C=3, H=2, M=4, L=0) 100%(5/5)
[H] MFSA 2005-34 [mozilla.org]
[M] MFSA 2005-35 [mozilla.org]
[H] MFSA 2005-36 [mozilla.org]
[C] MFSA 2005-37 [mozilla.org]
[M] MFSA 2005-38 [mozilla.org]
[C] MFSA 2005-39 [mozilla.org]
[C] MFSA 2005-41 [mozilla.org]
Fixed in Firefox 1.0.4 (C=3, H=0, M=0, L=0) 100%(3/3)
[C] MFSA 2005-42 [mozilla.org]
[C] MFSA 2005-43 [mozilla.org]
[C] MFSA 2005-44 [mozilla.org]
Fixed in Firefox 1.0 ... 1.0.4 (C=11, H=8, M=11, L=10) 57.84%(11/19)
このようにMozilla Firefoxの重大な脆弱性のうち半数以上が特権付きjavascriptの無断実行に関する物である。将来のバージョンで取りこまれる予定のbug 281988 [mozilla.org]、bug 296639 [mozilla.org]、bug 286651 [mozilla.org]等の対策はこの状況を緩和し特権付きjavascriptの無断実行の可能性を下げると考えられる。
あとFirefox 1.0.4にもウェブページから勝手に特権付きスクリプトを実行出来る脆弱性が有る。bug 294795とか。
質問 (スコア:0)
ではないのでしょうか?
それとも、signed javascriptであるかのように特権奪取できる
深刻なセキュリティ・バグ、という事なのでしょうか?
Re:質問 (スコア:0)
Re:質問 (スコア:0)
>それとも、signed javascriptであるかのように特権奪取できる
深刻なセキュリティ・バグ、という事なのでしょうか?
問題は大きく二種類に分けられる。
一つ目は、URLやテキストのサニタイジングの漏れだ。これはウェブアプリケーションのSQL injectionやXSSの問題に類似している。content(*1)から取得したURLやテキストを十分にチェックせずにchrome内で使用する事により発生する。これらは性質上根本的な対策を取りづらく厄介な問題だ。以下に具体例を挙げる。
MFSA 2005-37: Code execution through javascript: favicons [mozilla.org]
Re:昔からでしょ (スコア:0)