アカウント名:
パスワード:
これらアップデートモジュールの導入にかかわらず、 身に覚えのない電子メールに添付されている一太郎の文書ファイル、並びに、信頼性が保証されていないWebサイトなどにある、 出所の不明な一太郎の文書ファイルを開かないよう、ご注意ください。
とのことですが、一太郎のファイルは「文章ファイル」なのですから、開いてみないと出所が不明かわからないことも多いのではないでしょうか。
例えば、企業のメールアドレスに 「発注書を添付しました。ご査収の程、よろしくお願い致します。」 というメールが来たとして、既に取引関係にある会社であることがメールアドレスから明らかでない限り、文章ファイルを開かないなんて運用が可能でしょうか? 企業名・住所・担当者名などは発注書本文(ドキュメントファイル)にしか書かれていない場合もあり得ます。
ジャストシステム社は出所が不明なファイルを開かないように要求するなどユーザーに責任転嫁するのではなく、脆弱性の無いコーディングを心がけ、万が一の場合に備えてサンドボックス上で処理をするといった、二重三重のセキュリティ対策を行うべきです。
出所が不明な文章を安心して開けないようなワープロソフトは使いたくありません。
Microsoft も以前は 「出所が不明なWebサイト / メール は IE / OE で開くな」 などと言ってましたが、過ちを認め、そのような無意味な主張はしなくなりました。たかだか文章ビューアなのですから、せめて MUA 並に安心して文章を開けるようにしていただきたいものです。
※マクロについては、マクロの自由度によってはやむを得ない場合がありますので、別途セキュリティ警告を表示させ、信頼できないマクロを実行しないようにユーザに要求しても良いでしょう。
するべきでそうなりゃ苦労はない
互換性を取るか、セキュリティを取るか。
同意そもそも作りに問題ありますよね
読む・見るだけなら丸ごと画像でいいわけで
テキストコピーについても別途テキストを格納し座標なりIDなどでテキストエリア情報を管理していれば脆弱性が生まれる余地を減らせるのに
さすがに編集作業はそうもいかないでしょうけれど回覧文章のファイルフォーマットは改善してほしいですねPDFですら危なっかしいんですから
# まぁそれでも画像レンダリングでの脆弱性は残ってしまいますが
お前の言う事は評論家だなドヤ顔で言ってるんだろうが、すでにそうなってるよ
MS「早くWindows8にしてください」
ジャストシステム社は出所が不明なファイルを開かないように要求するなどユーザーに責任転嫁するのではなく、脆弱性の無いコーディングを心がけ、万が一の場合に備えてサンドボックス上で処理をするといった、二重三重のセキュリティ対策を行うべきです。出所が不明な文章を安心して開けないようなワープロソフトは使いたくありません。Microsoft も以前は 「出所が不明なWebサイト / メール は IE / OE で開くな」 などと言ってましたが、過ちを認め、そのような無意味な主張はしなくなりました。たかだか文章ビューアなのですから、せめて MUA 並に安心して文章を開けるようにしていただきたいものです。
とおっしゃっておりますが、半年前リリースされた、マイクロソフト セキュリティ情報 MS14-034 - 重要 [microsoft.com]や、一週間前にリ
でも、見ず知らずのURLを開いてはいけない、っていうウェブブラウザはないよね。極論を好みすぎて論理に影響がでていませんか?
ウェブブラウザは用途から考えて「見ず知らずのURLを開いてはいけない」とは書いてない(し、そもそもエンドユーザに対して商品として販売されているウェブブラウザは少ない)けど、サンドボックスをもっていたとしても、実装の甘さからきた脆弱性を突かれることがないわけじゃないです。ブラウザの脆弱性なんて、いくらでもアナウンスされてます。
「ブラウザに脆弱性がある」のと「ブラウザベンダが出所不明のファイルを開かないように要求する」のは全くレイヤの違う話。たとえブラウザに脆弱性があっても、Microsoft/Google/Mozilla/Operaが「出所不明のURLを開かないように要求する」ことは決してない。もちろん、損害賠償とかは負ってくれないけど、「使い方が悪い」っていう言い訳はしない。だって、バグを仕込んだ方が悪いに決まってるんだから。だから、彼らは迅速に修正する。
みんなそんなことは百も承知で「出所不明のURL」を開くし、それが社会にとっての利便性になっている。
spamにのってる見ず知らずのURLを思わずクリックするひとが多くて、そのあとトラブルに巻き込まれるケースもありますね。やっぱ、しらないドキュメントを読み込むのってコワイことにはかわりないと思うのです。
フィッシングは脆弱性ではあっても特権のセキュリティホールではないんだから、そこを一緒くたにすると、議論が成り立たない。
フィッシングに限定した話など誰がしましたか?さすがにspamのURLが指すもの全部がフィッシングサイトだけと思ってる人とは議論が成り立ちませんよ・・・
> でも、見ず知らずのURLを開いてはいけない、っていうウェブブラウザはないよね
そういうセキュリティホールも以前にあったような・・・。ウェブのサンドボックスだって完全だという証明は出来ないわけで、過信は禁物ですよ。
あるだろ。セキュリティに対する意識低すぎ。
なになに?発注書とな?ぽちっと…「現在作成者の署名を確認しています」…うーむ、しょうがないか。でも署名とかちゃんとやってそうでもないが…「文書の整合性を確認しています」…まあ、変な文書は困るからな…「サンドボックスで仮想実行し、問題がないか検証しています」…うむむ、仮想実行?何を実行しているんだ?まあ、待つしかないか…「正確な判定のため、ジャストシステムのクラウドサーバに送信して検証しています」…え?クラウド?送信?なんか最近何でもクラウドだなあ…「送信中。再送信しています。送信中」…まあ、文書が大きいのかな?ネットワークも速いとは言えないしな…「メモリエラーが発生しました。メモリを増設してください」
おい!いつになったら見えるんだよ!
ってなことにならなきゃいいけども。
今の時代そんなことはないだろう。多分。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
「出所の不明な文章」を開いても問題が無い設計をすべき (スコア:5, すばらしい洞察)
とのことですが、一太郎のファイルは「文章ファイル」なのですから、開いてみないと出所が不明かわからないことも多いのではないでしょうか。
例えば、企業のメールアドレスに 「発注書を添付しました。ご査収の程、よろしくお願い致します。」 というメールが来たとして、既に取引関係にある会社であることがメールアドレスから明らかでない限り、文章ファイルを開かないなんて運用が可能でしょうか? 企業名・住所・担当者名などは発注書本文(ドキュメントファイル)にしか書かれていない場合もあり得ます。
ジャストシステム社は出所が不明なファイルを開かないように要求するなどユーザーに責任転嫁するのではなく、脆弱性の無いコーディングを心がけ、万が一の場合に備えてサンドボックス上で処理をするといった、二重三重のセキュリティ対策を行うべきです。
出所が不明な文章を安心して開けないようなワープロソフトは使いたくありません。
Microsoft も以前は 「出所が不明なWebサイト / メール は IE / OE で開くな」 などと言ってましたが、過ちを認め、そのような無意味な主張はしなくなりました。たかだか文章ビューアなのですから、せめて MUA 並に安心して文章を開けるようにしていただきたいものです。
※マクロについては、マクロの自由度によってはやむを得ない場合がありますので、別途セキュリティ警告を表示させ、信頼できないマクロを実行しないようにユーザに要求しても良いでしょう。
Re:「出所の不明な文章」を開いても問題が無い設計をすべき (スコア:2, すばらしい洞察)
するべきでそうなりゃ苦労はない
Re:「出所の不明な文章」を開いても問題が無い設計をすべき (スコア:1)
互換性を取るか、セキュリティを取るか。
Re: (スコア:0)
同意
そもそも作りに問題ありますよね
読む・見るだけなら丸ごと画像でいいわけで
テキストコピーについても
別途テキストを格納し座標なりIDなどで
テキストエリア情報を管理していれば
脆弱性が生まれる余地を減らせるのに
さすがに編集作業はそうもいかないでしょうけれど
回覧文章のファイルフォーマットは改善してほしいですね
PDFですら危なっかしいんですから
# まぁそれでも画像レンダリングでの脆弱性は残ってしまいますが
Re: (スコア:0)
お前の言う事は評論家だな
ドヤ顔で言ってるんだろうが、すでにそうなってるよ
「出所の不明な実行ファイル」を開いても問題が無い設計をすべき (スコア:0)
MS「早くWindows8にしてください」
Re: (スコア:0)
とおっしゃっておりますが、半年前リリースされた、マイクロソフト セキュリティ情報 MS14-034 - 重要 [microsoft.com]や、
一週間前にリ
Re: (スコア:0)
でも、見ず知らずのURLを開いてはいけない、っていうウェブブラウザはないよね。極論を好みすぎて論理に影響がでていませんか?
Re:「出所の不明な文章」を開いても問題が無い設計をすべき (スコア:1)
ウェブブラウザは用途から考えて「見ず知らずのURLを開いてはいけない」とは書いてない(し、そもそもエンドユーザに対して商品として販売されているウェブブラウザは少ない)けど、サンドボックスをもっていたとしても、実装の甘さからきた脆弱性を突かれることがないわけじゃないです。
ブラウザの脆弱性なんて、いくらでもアナウンスされてます。
Re: (スコア:0)
「ブラウザに脆弱性がある」のと「ブラウザベンダが出所不明のファイルを開かないように要求する」のは全くレイヤの違う話。たとえブラウザに脆弱性があっても、Microsoft/Google/Mozilla/Operaが「出所不明のURLを開かないように要求する」ことは決してない。もちろん、損害賠償とかは負ってくれないけど、「使い方が悪い」っていう言い訳はしない。だって、バグを仕込んだ方が悪いに決まってるんだから。だから、彼らは迅速に修正する。
みんなそんなことは百も承知で「出所不明のURL」を開くし、それが社会にとっての利便性になっている。
Re: (スコア:0)
spamにのってる見ず知らずのURLを思わずクリックするひとが多くて、そのあとトラブルに巻き込まれるケースもありますね。
やっぱ、しらないドキュメントを読み込むのってコワイことにはかわりないと思うのです。
Re: (スコア:0)
フィッシングは脆弱性ではあっても特権のセキュリティホールではないんだから、そこを一緒くたにすると、議論が成り立たない。
Re: (スコア:0)
フィッシングに限定した話など誰がしましたか?
さすがにspamのURLが指すもの全部がフィッシングサイトだけと
思ってる人とは議論が成り立ちませんよ・・・
Re: (スコア:0)
> でも、見ず知らずのURLを開いてはいけない、っていうウェブブラウザはないよね
そういうセキュリティホールも以前にあったような・・・。
ウェブのサンドボックスだって完全だという証明は出来ないわけで、過信は禁物ですよ。
Re: (スコア:0)
あるだろ。セキュリティに対する意識低すぎ。
Re: (スコア:0)
なになに?発注書とな?ぽちっと…「現在作成者の署名を確認しています」…うーむ、しょうがないか。でも署名とかちゃんとやってそうでもないが…「文書の整合性を確認しています」…まあ、変な文書は困るからな…「サンドボックスで仮想実行し、問題がないか検証しています」…うむむ、仮想実行?何を実行しているんだ?まあ、待つしかないか…「正確な判定のため、ジャストシステムのクラウドサーバに送信して検証しています」…え?クラウド?送信?なんか最近何でもクラウドだなあ…「送信中。再送信しています。送信中」…まあ、文書が大きいのかな?ネットワークも速いとは言えないしな…「メモリエラーが発生しました。メモリを増設してください」
おい!いつになったら見えるんだよ!
ってなことにならなきゃいいけども。
Re: (スコア:0)
今の時代そんなことはないだろう。多分。
Re: (スコア:0)
ファイルのプロパティもありますし、そもそも開いて書かれていた出所が正しい保証がどこにあるんですか?
> 既に取引関係にある会社であることがメールアドレスから明らかでない限り、文章ファイルを開かないなんて運用が可能でしょうか?
可能じゃないんですか?
本当に知り合いだったらどうしようと頭をよぎるのはあるとは思います。だからといって片っ端から開くんですかね?
英語でも開きますか?
開かないなら英語だったら英語なわけないから開かないなんて運用は可能なんですか?