パスワードを忘れた? アカウント作成
1790 story

HTMLの表示を止めるOutlookプラグイン 77

ストーリー by wakatono
Outlookユーザに福音? 部門より

brake-handle曰く、"NimdaやBadtrans.Bのように、ついにメールのプレビューという避けて通れない作業につけ込んできたウイルス。その温床たるOutlook。「HTML表示を止められれば...」と嘆く方も多いだろう。

その悩みを解消してくれるプラグインが公開された。名前はズバリNoHTML。Outlook 2000および2002に対応。HTMLを前者ではRTFに、後者では最も無害なplain textに自動変換してくれる。

元記事の締めに「Microsoftがこんなものも自前で作れないとはねぇ」。もはや何事も言うまい。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by take0m (4948) on 2001年12月11日 18時44分 (#45539) 日記
    うちのOutlook2002は、HTMLは表示されちゃいますが、スクリプトは実行しません。添付ファイルのスクリプトも自動で削除されます・・・デフォルトからいじってませんが・・・
    • by namatias (4000) on 2001年12月11日 18時54分 (#45544) 日記
      セキュリティパッチを当てるのは面倒でよくわからないけど、 よくわからないプラグインをたくさん入れるのは好き、という一般ユーザが多いのでは。
      親コメント
    • by syd (2367) on 2001年12月11日 19時26分 (#45556)
      最近のワームは添付ファイル(.wavと誤解させた.exe)
      をインラインフレーム内に開くHTMLを送るやり方なので、
      「スクリプト実行の有無」は関係ないのでは?
      親コメント
  • by hideakis (2762) on 2001年12月11日 18時55分 (#45545) 日記
    そこまでしてOutlookを使い続ける理由は何?
    • by yellow tadpole (7084) on 2001年12月11日 22時20分 (#45637) 日記
      MUAっていう概念も持っていません。
      電子メールとは、個人間の簡単なウエブページのやりとりだと思ってたりします。
      OEやOutlookは単に「メールのボタン」でしかありません。
      もちろん他のMUAがあるなんて想像もできないし、設定を変えるなど「なんだかこわい」のです。
      そして特別な必要性がなければそれ以上知ろうとも思わないし、特別なことをしない限りウイルスに感染するおそれはないと思っているんです。
      「うまく行ってるものは、そのままに」の法則ですね。
      もちろん何年使っててもそうですし、それが普通のユーザっていうものです。
      車の運転にエンジンの知識が必要だと思うドライバーが今時どれくらいいるでしょう。
      そうした人達はウイルスに感染しても撒いても自分が悪いだなんて微塵も思わないし、被害者だから他人がどうこうすべきで自分が改める理由なんかちっとも持ち合わせていないのです。

      むしろメーカーはそういうユーザ像をターゲットに商売をすべき。
      MUAはデフォルトでテキストオンリーの"Tiny OE"とか。
      ユーザがステップアップしたくなれば、"OE+"に移行とか。
      でもM$にそんなビギナー本位の姿勢を求めるほうがとどうかしてるのかもしれませんね。
      --
      〜◍
      親コメント
    • by shigezo (2455) on 2001年12月11日 19時15分 (#45551) 日記
      >そこまでしてOutlookを使い続ける理由は何?

       企業内でExchangeサーバのクライアントとして仕方なくOutLookを使っている人はいると思う。
       そんな会社辞めたれと言うのはちょっと酷な話。

       ただここまで酷い事を知っていてなおかつ個人で使い続ける人の気持ちは私にはわからないです
       いわゆるMなのでしょうか(笑)
       あーM$様ぁ今度もすてきな穴をありがとうございます。とか(^^;
      親コメント
      • by a Coward (5383) on 2001年12月11日 19時41分 (#45565) ホームページ
        >ただここまで酷い事を知っていてなおかつ個人で使い続ける
        >人の気持ちは私にはわからないです

        「やっと使い方を覚えたのに変えるのなんて面倒だ」
        といったところでしょう。コンピュータ業界の人以外は
        そんなものです。
         業界の人以外には最初からOutlook以外
        のメーラーを教えておくしか...
        親コメント
        • > 「やっと使い方を覚えたのに変えるのなんて面倒だ」
          > といったところでしょう。
          > コンピュータ業界の人以外はそんなものです。

          甘いです。
          コンピュータ業界の人でもそういう人はいます。
          セキュリティに対する意識の低いひとも。
          会社がExchangeなのでOutlookというのは仕方ないとは思いますが、
          自宅で使うメーラに穴があきっぱなしというのもいかがなものかな。
          親コメント
    • by take0m (4948) on 2001年12月11日 20時00分 (#45573) 日記
      軽いからですかねー。

      最初はBeckyだったのですが、受信箱に5000通くらい入れていると遅くって使い物にならなかったので・・・Outlookに乗り換えました。今日現在受信トレイに7576通入っています。振り分けしたり、たまに消しているんですが、どんどんたまっていく・・・

      Expressは使ったことないなぁ・・・
      親コメント
      • by tietew (6130) on 2001年12月11日 22時49分 (#45646) ホームページ
        軽いからですかねー。

        そうですかねえ。私は Becky! Ver.2 ですが,1フォルダに1万通以上平気で溜めています。それでいても軽くて快適です。

        親コメント
        • by take0m (4948) on 2001年12月11日 23時15分 (#45654) 日記
          そうそう、Ver2でかなり最適化されたんですよねー。やっとかよって感じですけど・・・部分的にDatulaに追い越されてましたしねー

          私が使っていた頃は酷かったんですよ。Beckyが出てMHから乗り換えたんですけど、学生時代は良かったんですが、仕事で使うようになって、件数も増えるし、添付ファイルのサイズもどんどん大きくなるしで、大変だったんですよ。あくまでも当時の事実なんであしからずー
          親コメント
    • by bun (5081) on 2001年12月11日 19時14分 (#45550) 日記
      それは、パソコン買ったときに入っているから。

      じゃダメ?
      親コメント
    • by hiroski (3667) on 2001年12月11日 20時32分 (#45594) 日記
      判って使えば、予定表との連動は至極便利だし、ビジネスユースとしては悪くないです。
      自宅ではOutlook Expressだけど、もちろん制限付サイトで全ての機能をオフにしているので、ウィルスチェックと組み合わせていればまあまあ大丈夫。ウィルスを受信したことは無いけど・・・
      親コメント
    • PCは、もはや家電の域に達しているから、、なんて話しを聞いた
      ことがありますが、とすると、多少色のにじみが出て映りの悪くな
      ったTVでも見れればいい、多少入り辛いラヂヲであっても聞けれ
      ばよい。多少ファイルが消えようが他人に迷惑掛けようが(罪の意
      識はないかもしれない)読めればいい。。てな感じなんでしょうか。。
      で、どうしようもなくなったらTVやラヂヲは叩けば少しは回復し
      ます。が、、ソフトのばやいは、、ハハハ。。。
      ところで、不具合いはリコールで、、、っていう概念はソフトの世
      界にはないのかな。。
      --
      −・・ ・   ・ −・−・ ・・・・ −−−
      手垢で汚れた少年漫画とソースの香りがいい感じ
      親コメント
      • by thor (5250) on 2001年12月12日 0時19分 (#45684) 日記
        どうしようもなくなったらTVやラヂヲは叩けば少しは回復し ます。が、、ソフトのばやいは、、ハハハ。。。

        テレビを叩くのに相当するのは、ソフトだと「リブート」になるのだろうか。

        でも不思議なことに、Windows系だとそれで直っちゃう、ということが往々にしてあるのですよね。なんでだろう?

        親コメント
      • by redbrick (4865) on 2001年12月12日 2時27分 (#45728) 日記
        >ところで、不具合いはリコールで、、、っていう概念は
        >ソフトの世界にはないのかな。

        リコールしてしまうというのはいい手かも。
        #ついでにIEとWindowsのMAPIアプリケーション・システムも
        #リコールしたい・・・。
        --
        ---- redbrick
        親コメント
  • にも類似のものがあります。
    Outlook 2000 SR-1 アップデート: 電子メール セキュリティ (更新版) [microsoft.com]
    一部抜粋:
    Outlook の既定のセキュリティ設定の強化によって、Outlook 内での既定のインターネット セキュリティ ゾーンの設定が "インターネット" から "制限付きサイト" に強化されます。また、制限付きサイト内でのアクティブ スクリプトの設定が、既定で無効になります。このセキュリティ機能によって、スクリプトを実行することによって感染する多くのウィルスからユーザーが保護されます。
    このパッチの存在があまり知られていないだけでは…。

    # RTFの処理に問題があって云々、という問題がそのうち出てくるかもね :-p
    • 元記事の方では、HTMLでメールを送ることそのものが悪意を持つコードの温床になってまずいと、問題をもっと大きくとらえています。それに対してはHTMLの送信および受信を止めることが必要となります。前者はよくMUAのオプションを変更してなどとやるわけですが、後者に関する意識が今までなかなか認められませんでした。

      あるいは「だれでもHTMLが読めるわけじゃないんだぞ」というのを思い知らせるために使うこともできますが。

      親コメント
      • by officepig (3266) on 2001年12月11日 20時13分 (#45583) 日記
        企業からのDMやメルマガではよく
        「(テキストメールに比べ)より表現力の高まったHTMLメールでのご購読を推奨いたします」
        等という表現があたりまえのように出てくる…

        意識改革の道は険しい。
        親コメント
        • by thor (5250) on 2001年12月11日 23時50分 (#45668) 日記
          「(テキストメールに比べ)より表現力の高まったHTMLメールでのご購読を推奨いたします」

          HTMLはあくまでHyper Text Markup Languageであって、色や文字のサイズをいじって装飾するためのものではない。だからHTMLを表現力を高めるためと捉えるのはそもそもHTMLというものを誤解していますね。スタイルシートというのはありますが、スタイルシートを使ったHTMLメールは私は見たことがありません。

          そもそも、メールで装飾に頼ろうという精神がなってないと思います。そんなことより文章の中身そのものを磨くことに力を入れてほしいですね。

          親コメント
          • by Dot.Zeile (1169) on 2001年12月12日 0時11分 (#45679) 日記
            HTMLというのはwwwの発展に伴ってデータやプログラムのコンテナとしての役割を強化されてここまで来たわけだから、メールの本文パートの記述に使うには「装飾」以外の部分の機能が高すぎて危険なんですよね。単にリッチテキストのメールが書きたいだけならその目的に沿って開発されたrtfみたいなのを使うべきだったと思います。というのは、いまさら後知恵ですが。
            親コメント
        • by thor (5250) on 2001年12月12日 0時13分 (#45680) 日記

          plain textの(伝統的な)メールというのは、メールスプールのファイル、あるいはメールの生データを直接読むという原始的な方法でも内容が分かるという利点があります。わざわざ大がかりなアプリケーションを立ち上げなくても、あるいは普段使っているMUAが何らかの理由で壊れて立ち上がらなくなっても何とかメールを読むことができます。

          HTMLメールとなると、その利点が失われてしまいますね。特に日本語だとquoted-printableやbase64でエンコードされていることが多く、こうなると原始的な方法ではとても読めなくなってしまいます。

          でもエンドユーザーは、メールの生データなんていうものは全く頭になく、メールはメールを読むためのアプリケーションを通してのみ読めるものだ、と思い込んでいるでしょう。そういう人には上の利点は理解しがたいでしょうね。

          私は今はfetchmailをdaemonモードで動かし(取り込んだメールはMaildir形式で格納される)、xbuffyをbiffとして使っています。メールのFromやSubjectがポップアップして表示されるので、SPAMと思ったメールはlessでファイルを直接読み、SPAMであることが確認できたら即rmで消しています。これは簡単でいいです。

          親コメント
        • by Fatalwedge (6623) <fatal@fuurai.org> on 2001年12月11日 20時26分 (#45591) 日記
          うちがちょっと関わってる話なんですが、
          ニュース配信用のメーリングリスト(メンバー1万人強)に対して
          一通あたり1MBものHTMLメールを送信しようとし、
          「配信にこんなに時間がかかるのはどういうことだ!」
          と怒ってらっしゃる方が居ます。

          ・・・どうしたらいいですか?
          親コメント
          • by zeissmania (3689) on 2001年12月12日 20時28分 (#46029)
            1.まず回線容量を100Mbpsクラスにしてもらう
            2.その接続先はNSPIXP2, 3に直接繋いでもらう
            3.マシンのCPU, メモリ容量を増大してもらう&HDDも現在得られる最速のものを使ってもらう
            4.qmailに入れ替える
            5.マシンを複数台にして、負荷分散する
            親コメント
          • by officepig (3266) on 2001年12月11日 20時50分 (#45597) 日記
            (1)「1万人にメールを送る」こと自体時間がかかる
            (2)「1MBのメール」などという容量のでかいメールを嫌がる人がいることを考慮していない
            (3) HTMLメール(に慣れること)の危険性が認識できていない

            以上3点を乗り越えないといけないのか…
            どうしたらいいかと言われても困りますねえ…

            とりあえず「なぜその方はHTMLでメールを送ろうとするのか」ですね。
            次に「どうしてそんなでかいHTMLを書くのか」で、
            そこまで分かれば説明しても無駄かどうかが分かるはずです。
            親コメント
            • by youkan (3208) on 2001年12月11日 23時43分 (#45665) 日記
              一つは、コンパイルすると小さくなるかもしれない。
              helpで使われるファイル形式ね。
               1万人に送るのは、qmailだと1時間ぐらいの仕事だから、それほど時間がかかるとは思えない。
               1MBのメールはMIMEでエンコードされたとき、太るかもしれない。そうすると、受信時のメール容量制限に引っ掛かるサイトが出てきそう。
              >「どうしてそんなでかいHTMLを書くのか」
               これは、単に自分とこのトップページをそのまま送りたいというような要望だと思う。
              親コメント
        • by moonbear (4602) on 2001年12月11日 22時04分 (#45628)
          それにしても,この先いつまでもplain textで貫き通すというわけにはいかないでしょう.もちろんHTMLごとき(といっても実際にはいろいろ余計なスクリプトなどもついてますが)を安全に表示できないレンダラがいけないんでしょうけど.今はメールでは通常plain textを使っていますが,個人的にはそろそろ不満になってます.メールでも数式や表が簡単に書けるようになって欲しいのですが.

          そもそもHTMLメールを開くのが危険なら,同じ内容をwebブラウザで表示するのも同じくらい危険なはずなのに,そっちはあまり問題になっていない(ように思える)のはなぜなんでしょうね.メーラとブラウザではセキュリティ設定が違うのかな?

          そういう私はWindowsでもMeadowでMewを使っているのでOutlookのことはよくわからないんですが.:-P
          親コメント
          • by Dot.Zeile (1169) on 2001年12月11日 23時57分 (#45672) 日記
            >そっちはあまり問題になっていない(ように思える)のはなぜなんでしょうね.

            問題になってないことはないでしょう。Webページを開くだけで感染するっていうのが散々問題になった、そのバリエーションとして今、メールで届く奴があるわけだから。
            親コメント
    • by Dot.Zeile (1169) on 2001年12月11日 19時39分 (#45563) 日記
      上にもコメントありますけど、最近のはIFRAMEタグを使って侵入してきますのでスクリプトを止めても、添付ファイルの拡張子をチェックしても無駄なんですよね。
      親コメント
    • > このパッチの存在があまり知られていないだけでは…。

      IMGタグだけでも十分に破壊的攻撃に使えてしまうので、
      やっぱり、NoHTMLの意義は大きいわけです。
      親コメント
  • やはり、国家安全保障と社会的損失とを考慮して、
    国家としてHTML非表示機能搭載と Default 設定を義務づけるように
    するべきではないでしょうか?
     サイバーテロ対策とすれば動いてくれる人もうるんじゃないかぁ・・・って(^^;
    --
    マクロの基本は検索置換(by y.mikome)
typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...