アカウント名:
パスワード:
Hello
い ま さ ら か よ w
Windows 98の頃からある仕様だぞ?15年前にツッコんどけよ
当時は他人が作ったexe易々と実行してた時代なので、HTAだけ特別扱いしても意味は無かったでしょう。皆ネットから落としたexeを、警告も無しでそのまま実行していた時代ですから。
当時、Netscape他がやろうとしてたことと同じだから歴史を知らないと理解できない
だからあなたは自由にアプリケーションを実行できないWindowsRTを使ってるんですね!
いや、Windows10なのかも。
もちろん教育向けのWindows10 Sなんだろうね
electronとかコンセプトは同じ。後だしドヤ顔で狂って文句言ってる様にしか見えないぞ。
この手の怪しいファイルを開くような人は大抵警告を読まずに開く。ひどい場合で警告を読んだ上で開く。最悪以前も読んだことがある警告文なので読まずに開く。それにガジェットはVistaからあるけどね。# 叩きや煽りは根拠の裏取りしないと恥かくだけですよ
>でHTAがelectronより後出しってどこの世界の話でしょうだれもそんなこと言ってない。ちゃんと読んで。
当然セキュリティはHTAやGadgetはIEベースでセキュリティ ゾーン無視でローカル権限electronはChromiumとNode.jsのセキュリティに依存となります
Electronも、メインプロセスで実行するコード(main.js側)はローカル(実行しているユーザー)の権限で、そこはHTAと同じではありませんか?そこから隔離されたレンダラプロセスが用意されているなど、Electronが進化している点はありますが。
Electronの初期にXSSで超簡単に電卓起動まで持っていけるみたいなデモがサクサク公開されてたなー。さすがに修正されてるだろうけど根本対処しない(できない)ままツギハギを繰り返してるのはHTAと変わらないし
VBScriptがダメなら、UNIXのPythonもダメなんだな
実行権限が無いから何もおきないのでは?
Windowsでpythonを書いて、zipに固めてUnixで解凍すると、実行権限がついてるんだよな。
マジで?!安全性とは逆方向の筋が悪いメタデータ操作ですな。
今のWindows10とかではやったことないけど、Windows XPは、エクスプローラの「送る」→「圧縮」でzipを作ると、テキストファイルにも実行権限が付くってのがあるあるネタ。
Windowsで作成したzipファイルに実行権限の概念あるの? UNIX側の展開ツールが忖度してるんじゃないの?
ググったら、zipファイル内にUnixパーミッションを記録することは可能らしいことをたった今知りました。Windows側でzip作るときに、故意かバグで実行ビット付けてしまう可能性があるということですね。The zip format's external file attribute - Unix & Linux Stack Exchange [stackexchange.com]
似たような問題として、Windows上の7-Zipでtar作ると、中身のパーミッションが777になることに困っています。
便利だな
http://www.itmedia.co.jp/enterprise/articles/0703/02/news010.html [itmedia.co.jp]こういう記事とかも原因なんだろうけど、マジでxbitを誤解(過信)してる人多すぎだろ
ユーザーの権限でユーザーのファイルにxbit立てるのに特別な権限なんて要らないしtarとかは中で元のpermissionを保持してるから伸長した時点でxbitも再現されるしもし仮にxbit立てられなくても「/usr/lib/ld-linux-x86-64.so.2 ./maliciousfile」みたいに直接ローダを起動してやればmaliciousfile自体にはxbitなんて立ってなくても実行出来るし
実行ファイルのxbitにセキュリティ上の効果なんて実質的にはほぼ無いせいぜい誤操作防止ぐらい
UACを無効にしようとする馬鹿ばっかりなのに?
攻撃があったから記事になってんだろ読んでねえのか
6ヶ月何もなかったらトピックにしてください。という文章を真剣に読解してみる。A.6ヶ月間何もないなんてことは起きないのでMSオフィスの脆弱性関連の出来事はストーリーにならない。B.6ヶ月間何もないなんてことは一般的なのでMSオフィスの脆弱性関連の出来事をストーリーとして大量に掲載していい。C.トピックにしてください。つまりストーリーにはしないでください。つまりスラド以外でやってください。
MSアンチの釣り堀だからねー。headless氏もわかって投稿してるんですよ。サイトが賑わって見えるでしょ(笑)。
毎回毎回、運営の狙い通りに釣られてくれるアンチの皆さんもご協力ありがとうございます(笑)。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
Hello (スコア:0)
Hello
Re:HTAファイルは百害あって一理なし (スコア:3, すばらしい洞察)
い ま さ ら か よ w
Windows 98の頃からある仕様だぞ?15年前にツッコんどけよ
Re:HTAファイルは百害あって一理なし (スコア:1)
当時は他人が作ったexe易々と実行してた時代なので、HTAだけ特別扱いしても意味は無かったでしょう。
皆ネットから落としたexeを、警告も無しでそのまま実行していた時代ですから。
Re: (スコア:0)
当時、Netscape他がやろうとしてたことと同じだから
歴史を知らないと理解できない
Re: (スコア:0)
だからあなたは自由にアプリケーションを実行できないWindowsRTを使ってるんですね!
Re: (スコア:0)
いや、Windows10なのかも。
Re: (スコア:0)
もちろん教育向けのWindows10 Sなんだろうね
Re: (スコア:0)
electronとかコンセプトは同じ。
後だしドヤ顔で狂って文句言ってる様にしか見えないぞ。
Re: (スコア:0)
この手の怪しいファイルを開くような人は大抵警告を読まずに開く。ひどい場合で警告を読んだ上で開く。最悪以前も読んだことがある警告文なので読まずに開く。
それにガジェットはVistaからあるけどね。
# 叩きや煽りは根拠の裏取りしないと恥かくだけですよ
Re: (スコア:0)
>でHTAがelectronより後出しってどこの世界の話でしょう
だれもそんなこと言ってない。ちゃんと読んで。
Re: (スコア:0)
当然セキュリティは
HTAやGadgetはIEベースでセキュリティ ゾーン無視でローカル権限
electronはChromiumとNode.jsのセキュリティに依存
となります
Electronも、メインプロセスで実行するコード(main.js側)はローカル(実行しているユーザー)の権限で、そこはHTAと同じではありませんか?そこから隔離されたレンダラプロセスが用意されているなど、Electronが進化している点はありますが。
Re: (スコア:0)
Electronの初期にXSSで超簡単に電卓起動まで持っていけるみたいなデモがサクサク公開されてたなー。
さすがに修正されてるだろうけど根本対処しない(できない)ままツギハギを繰り返してるのはHTAと変わらないし
Re: (スコア:0)
VBScriptがダメなら、UNIXのPythonもダメなんだな
Re: (スコア:0)
VBScriptがダメなら、UNIXのPythonもダメなんだな
実行権限が無いから何もおきないのでは?
Re: (スコア:0)
Windowsでpythonを書いて、zipに固めてUnixで解凍すると、実行権限がついてるんだよな。
Re: (スコア:0)
マジで?!
安全性とは逆方向の筋が悪いメタデータ操作ですな。
Re:HTAファイルは百害あって一理なし (スコア:1)
今のWindows10とかではやったことないけど、Windows XPは、エクスプローラの「送る」→「圧縮」でzipを作ると、テキストファイルにも実行権限が付くってのがあるあるネタ。
Re: (スコア:0)
Windowsで作成したzipファイルに実行権限の概念あるの? UNIX側の展開ツールが忖度してるんじゃないの?
Re: (スコア:0)
ググったら、zipファイル内にUnixパーミッションを記録することは可能らしいことをたった今知りました。Windows側でzip作るときに、故意かバグで実行ビット付けてしまう可能性があるということですね。The zip format's external file attribute - Unix & Linux Stack Exchange [stackexchange.com]
似たような問題として、Windows上の7-Zipでtar作ると、中身のパーミッションが777になることに困っています。
Re: (スコア:0)
便利だな
Re: (スコア:0)
http://www.itmedia.co.jp/enterprise/articles/0703/02/news010.html [itmedia.co.jp]
こういう記事とかも原因なんだろうけど、マジでxbitを誤解(過信)してる人多すぎだろ
ユーザーの権限でユーザーのファイルにxbit立てるのに特別な権限なんて要らないし
tarとかは中で元のpermissionを保持してるから伸長した時点でxbitも再現されるし
もし仮にxbit立てられなくても「/usr/lib/ld-linux-x86-64.so.2 ./maliciousfile」みたいに直接ローダを起動してやればmaliciousfile自体にはxbitなんて立ってなくても実行出来るし
実行ファイルのxbitにセキュリティ上の効果なんて実質的にはほぼ無い
せいぜい誤操作防止ぐらい
Re: (スコア:0)
UACを無効にしようとする馬鹿ばっかりなのに?
Re: (スコア:0)
攻撃があったから記事になってんだろ
読んでねえのか
Re: (スコア:0)
6ヶ月何もなかったらトピックにしてください。という文章を真剣に読解してみる。
A.6ヶ月間何もないなんてことは起きないのでMSオフィスの脆弱性関連の出来事はストーリーにならない。
B.6ヶ月間何もないなんてことは一般的なのでMSオフィスの脆弱性関連の出来事をストーリーとして大量に掲載していい。
C.トピックにしてください。つまりストーリーにはしないでください。つまりスラド以外でやってください。
Re: (スコア:0)
MSアンチの釣り堀だからねー。headless氏もわかって投稿してるんですよ。サイトが賑わって見えるでしょ(笑)。
毎回毎回、運営の狙い通りに釣られてくれるアンチの皆さんもご協力ありがとうございます(笑)。