アカウント名:
パスワード:
なぜMicrosoftは、Active XやHTAファイルなどといった狂った規格を作りたがるのか?他人に易々とVBScript実行を許可させておきながら、微塵も不安を感じないのか?
誰がどう見ても、こんなもんエクスプロイト上等のために存在してるとしか思えない。そもそもHTML ApplicationなどというシロモノをWindowsに取り入れようと決めた時。Microsoft社内からは誰一人「おいこれ悪用されたら非常に危険じゃね?」と声を上げる人は居なかったのか?
性善説信仰とかマジ勘弁。せめてHTAファイルには、どこから実行される場合であっても漏れ無く「この発行元による、お使いのコンピューターでのソフトウェアの実行はブロックされています。」警告出すくらいやって。
VBScriptがダメなら、UNIXのPythonもダメなんだな
実行権限が無いから何もおきないのでは?
Windowsでpythonを書いて、zipに固めてUnixで解凍すると、実行権限がついてるんだよな。
マジで?!安全性とは逆方向の筋が悪いメタデータ操作ですな。
今のWindows10とかではやったことないけど、Windows XPは、エクスプローラの「送る」→「圧縮」でzipを作ると、テキストファイルにも実行権限が付くってのがあるあるネタ。
Windowsで作成したzipファイルに実行権限の概念あるの? UNIX側の展開ツールが忖度してるんじゃないの?
ググったら、zipファイル内にUnixパーミッションを記録することは可能らしいことをたった今知りました。Windows側でzip作るときに、故意かバグで実行ビット付けてしまう可能性があるということですね。The zip format's external file attribute - Unix & Linux Stack Exchange [stackexchange.com]
似たような問題として、Windows上の7-Zipでtar作ると、中身のパーミッションが777になることに困っています。
便利だな
http://www.itmedia.co.jp/enterprise/articles/0703/02/news010.html [itmedia.co.jp]こういう記事とかも原因なんだろうけど、マジでxbitを誤解(過信)してる人多すぎだろ
ユーザーの権限でユーザーのファイルにxbit立てるのに特別な権限なんて要らないしtarとかは中で元のpermissionを保持してるから伸長した時点でxbitも再現されるしもし仮にxbit立てられなくても「/usr/lib/ld-linux-x86-64.so.2 ./maliciousfile」みたいに直接ローダを起動してやればmaliciousfile自体にはxbitなんて立ってなくても実行出来るし
実行ファイルのxbitにセキュリティ上の効果なんて実質的にはほぼ無いせいぜい誤操作防止ぐらい
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
HTAファイルは百害あって一理なし (スコア:-1)
なぜMicrosoftは、Active XやHTAファイルなどといった狂った規格を作りたがるのか?
他人に易々とVBScript実行を許可させておきながら、微塵も不安を感じないのか?
誰がどう見ても、こんなもんエクスプロイト上等のために存在してるとしか思えない。
そもそもHTML ApplicationなどというシロモノをWindowsに取り入れようと決めた時。
Microsoft社内からは誰一人「おいこれ悪用されたら非常に危険じゃね?」と声を上げる人は居なかったのか?
性善説信仰とかマジ勘弁。
せめてHTAファイルには、どこから実行される場合であっても漏れ無く「この発行元による、お使いのコンピューターでのソフトウェアの実行はブロックされています。」警告出すくらいやって。
Re: (スコア:0)
VBScriptがダメなら、UNIXのPythonもダメなんだな
Re:HTAファイルは百害あって一理なし (スコア:0)
VBScriptがダメなら、UNIXのPythonもダメなんだな
実行権限が無いから何もおきないのでは?
Re: (スコア:0)
Windowsでpythonを書いて、zipに固めてUnixで解凍すると、実行権限がついてるんだよな。
Re: (スコア:0)
マジで?!
安全性とは逆方向の筋が悪いメタデータ操作ですな。
Re:HTAファイルは百害あって一理なし (スコア:1)
今のWindows10とかではやったことないけど、Windows XPは、エクスプローラの「送る」→「圧縮」でzipを作ると、テキストファイルにも実行権限が付くってのがあるあるネタ。
Re: (スコア:0)
Windowsで作成したzipファイルに実行権限の概念あるの? UNIX側の展開ツールが忖度してるんじゃないの?
Re: (スコア:0)
ググったら、zipファイル内にUnixパーミッションを記録することは可能らしいことをたった今知りました。Windows側でzip作るときに、故意かバグで実行ビット付けてしまう可能性があるということですね。The zip format's external file attribute - Unix & Linux Stack Exchange [stackexchange.com]
似たような問題として、Windows上の7-Zipでtar作ると、中身のパーミッションが777になることに困っています。
Re: (スコア:0)
便利だな
Re: (スコア:0)
http://www.itmedia.co.jp/enterprise/articles/0703/02/news010.html [itmedia.co.jp]
こういう記事とかも原因なんだろうけど、マジでxbitを誤解(過信)してる人多すぎだろ
ユーザーの権限でユーザーのファイルにxbit立てるのに特別な権限なんて要らないし
tarとかは中で元のpermissionを保持してるから伸長した時点でxbitも再現されるし
もし仮にxbit立てられなくても「/usr/lib/ld-linux-x86-64.so.2 ./maliciousfile」みたいに直接ローダを起動してやればmaliciousfile自体にはxbitなんて立ってなくても実行出来るし
実行ファイルのxbitにセキュリティ上の効果なんて実質的にはほぼ無い
せいぜい誤操作防止ぐらい