アカウント名:
パスワード:
どうみても仕様。こういうのをどや顔で脆弱性報告しちゃうのはどうかと思うし、受け付けちゃうのもびっくりする。日本のITスキルの水準がわかる事例。
これって、exeやmsiを生でダウンロードさせるという慣習に問題があるのかも。zipとかで固めてあれば、当然解凍時に別ディレクトリ作るよね。だから、実行ファイルの同一ディレクトリに何かが紛れ込むことは基本的にないわけで。(解凍時に同一名のディレクトリが既にあったら混入の可能性はあるけど、さすがにそれは不用心すぎる)
昔はlzhとかzipで固めるのが普通だったと思うんだけど(cygwinのsetup.exeが生だったのに驚いた覚えが……)、いつの間にかexeを生で配ることが多くなってきたよね。その悪しき風習を改めるべきなのかもしれない。
もっとそれ以前の勝手にとりあえずダウンロード仕様が犯人だと思うんですよね。インジェクションの単体.dllがダウンロードフォルダに入り込まなければ問題は起きにくいので。
lzhやzipで固めていたのは、・消費帯域を減らすため・複数ファイルをまとめるため・ファイルが壊れていないかの破損チェックのためで、上2つは回線の高速化で自己解凍で済んで、破損チェックも電子署名すれば生exeで出来るからかも。
次期WindowsでマニフェストにシステムディレクトリからしかDLL読み込まないオプションとか付くのかね。そいつがディレクトリを掘って自己解凍すれば大分緩和されるかな。
次期Windows を期待せんでも、昔から 読込むDLLの署名要求できる。署名が違ったら同じバージョンでも読込まずに別のを探させることが出来る。
アプリの提供側が、その設定をやってるかどうかってことだけど、Windows って開発者がプラットホームの事を知らなさすぎるってケースが多いので、やってないが多いだろうな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
イミフ (スコア:0)
どうみても仕様。こういうのをどや顔で脆弱性報告しちゃうのはどうかと思うし、受け付けちゃうのもびっくりする。日本のITスキルの水準がわかる事例。
Re: (スコア:0)
これって、exeやmsiを生でダウンロードさせるという慣習に問題があるのかも。
zipとかで固めてあれば、当然解凍時に別ディレクトリ作るよね。だから、実行ファイルの同一ディレクトリに何かが紛れ込むことは基本的にないわけで。
(解凍時に同一名のディレクトリが既にあったら混入の可能性はあるけど、さすがにそれは不用心すぎる)
昔はlzhとかzipで固めるのが普通だったと思うんだけど(cygwinのsetup.exeが生だったのに驚いた覚えが……)、いつの間にかexeを生で配ることが多くなってきたよね。
その悪しき風習を改めるべきなのかもしれない。
Re: (スコア:0)
もっとそれ以前の勝手にとりあえずダウンロード仕様が犯人だと思うんですよね。
インジェクションの単体.dllがダウンロードフォルダに入り込まなければ問題は起きにくいので。
lzhやzipで固めていたのは、
・消費帯域を減らすため
・複数ファイルをまとめるため
・ファイルが壊れていないかの破損チェックのため
で、上2つは回線の高速化で自己解凍で済んで、
破損チェックも電子署名すれば生exeで出来るからかも。
次期WindowsでマニフェストにシステムディレクトリからしかDLL読み込まないオプションとか付くのかね。
そいつがディレクトリを掘って自己解凍すれば大分緩和されるかな。
Re:イミフ (スコア:0)
次期Windows を期待せんでも、昔から 読込むDLLの署名要求できる。署名が違ったら同じバージョンでも読込まずに別のを探させることが出来る。
アプリの提供側が、その設定をやってるかどうかってことだけど、Windows って開発者がプラットホームの事を知らなさすぎるってケースが多いので、やってないが多いだろうな。