Google Desktop Searchに検索結果が漏れる脆弱性 30
ストーリー by Oliver
ふと部門名を忘れてしまう年末 部門より
ふと部門名を忘れてしまう年末 部門より
kei100 曰く、 "INTERNET Watchの記事によると、Google Desktop Search(以下GDS)に悪意あるJAVAアプレットにより接続され、検索結果のサマリからファイルの内容が第三者に漏れる可能性がある脆弱性が発見された。例えばPasswordで検索すると、その前後に書いてあるだろうパスワードが漏れるといったケースが考えられる。もちろん機密や個人情報に関連するキーワードでも同じ事が言える。
GDSには自動更新機能があるが、環境によっては更新されない場合もあるという事なので念のために確認しておくと良いだろう。記事によればタスクトレイのアイコンからAboutを選び、バージョンがBeta 121004以降であれば問題は解消されてるという。
特に以前/.-Jで取り上げられた際にインストールした身の覚えがある人は忘れずにチェック。なお、この問題を発見したRice University Computer Security Labから詳細[PDF]が出ている。GoogleでもHelp Centerで案内しているようだ。(見つけるのにちょっと苦労したけど)"
WUIのほかにUIは? (スコア:2, 興味深い)
で、いまさらながらエンジンとユーザインターフェイスの分離っていう至極当たり前のことを意識させられた。UI部分の代表的なものの一つがWebブラウザだけど、やはり疎なユーザインターフェイス(つまり高度なリアルタイムインタラクティビティが要求されないもの)に関しては Web ブラウザを使うのが柔軟性もあってお手軽でいいんですかね。
WUI(Web User Interface) [e-words.jp] のほかにフロントエンドに使えそうなアプリケーションというかコンポーネントとかってどんなものがありますかね。前いた仕事先では Exchange Server を使っていたせいか、 Outlook が標準アプリケーションの一つだったので、Outlook User Interface なんてどうだろう、って話が出たこともありましたが。
#メールソフトは Telnet User Interface (telnet ore.no.host.local 25)が一番安全。か?
屍体メモ [windy.cx]
早いですよねぇ…… (スコア:1, 参考になる)
前は「そういうもんだ」と思えてたんですが。
txt以外のテキストファイルを検索対象に含められないものですかね。
特定のアプリケーション(というかエディタ)に関連付けられた全ファイルを一括で対象登録、とかできたらいいんですけど。
Re:早いですよねぇ…… (スコア:2, 参考になる)
Re:早いですよねぇ…… (スコア:1)
「txt and other」の other には拡張子 .txt 以外のテキストファイルっぽいファイルも含むみたいです。どんな基準があるのかは知りませんが、うちの環境では .cpp や .h、.pl なんかも検索対象に含まれているみたいです (.bat は含まれないみたいですが。でもうちは ActivePerl 入れてるから .pl も含めないで欲しかったり ^_^;)。
むらちより/あい/をこめて。
Re:早いですよねぇ…… (スコア:1, 参考になる)
これのこと?
"ファイルに含まれる単語または句" 検索条件が機能しない [microsoft.com]
Re:早いですよねぇ…… (スコア:0)
検索結果が見られるという危険性 (スコア:1)
GDSがどれだけセキュアになっても、ブラウザに表示する以上ブラウザ自体に穴があったりするとアウトだし、運用方法自体に注意が必要な気がします。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:検索結果が見られるという危険性 (スコア:2, 参考になる)
重要なキーワードでの検索が危険というのはなにかずれてる気がします。
後者はもちろんですね。
機密情報を扱うならそもそもインストールしない。
特定フォルダ等は検索されないように設定する。 [google.com]
といった対処が必要かと。
その他の検索されないようにする方法はこちら [google.com]
Re:検索結果が見られるという危険性 (スコア:1)
>重要なキーワードでの検索が危険というのはなにかずれてる気がします。
うーん、InternetWatchの記事には「検索結果が盗み見られる」としか書いてないから、ローカルで検索したときの結果がこっそり送信されるのかと勘違いしてました。
PDFのレポートのほうには任意のクエリーが実行できるみたいなことが書いてあるみたいですね。(英語力皆無なので不安
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:検索結果が見られるという危険性 (スコア:0)
全くです。セキュリティホールが悪い
Re:検索結果が見られるという危険性 (スコア:0)
Re:検索結果が見られるという危険性 (スコア:1)
GDI+の時の穴は、大騒ぎになってたのに
libpngの時は静かでしたなあ・・。
libpngの方が影響範囲多いのに・・。
Re:検索結果が見られるという危険性 (スコア:1)
1を聞いて0を知れ!
無意識の自動アップデートの是非 (スコア:1)
今回のアップデートには全然気が付きませんでした‥‥。
強制Windows Updateの是非が以前どこかで議論されていましたが、
今回はこの観点(強制アップデート)の議論はどこかでされていますか?
Re:無意識の自動アップデートの是非 (スコア:0)
Re:無意識の自動アップデートの是非 (スコア:0)
これがMSだと、
「裏で個人情報送信してるに決まってる」
「自動更新ウザい」
「ユーザに判断する余地を与えないとは何事だ」
とテンプレ通りに叩かれてるんだろうなw
Re:無意識の自動アップデートの是非 (スコア:1)
「堂々と個人情報送信してるよなぁ」
「自動更新あるけど、たいして何も起こらないしまぁいいか」
「嫌なら入れなけりゃいいんだしなー」
って思えてくる。
一番下のはMSに関しても言えるはずだけどなぜかそう思えなかったり。
1を聞いて0を知れ!
インデックスは何を?N-gram? (スコア:1)
単純に N-gram ? N=2 ?
わたしはまだインストールしてないんですが、インデックスってどれくらいのファイルサイズになるんでしょうか。
そういや、Microsoft の Indexing Service はどんなインデックス方式なのかな。
屍体メモ [windy.cx]
Re:インデックスは何を?N-gram? (スコア:2, 参考になる)
%USERPROFILE%\Local Settings\Application Data\Google\Google Desktop Search
にインデックスが作られるようです。
> Total searchable items 13,822
程度で 142MB だから意外と大きい感じ。
Re:インデックスは何を?N-gram? (スコア:1, 参考になる)
Re:インデックスは何を?N-gram? (スコア:0)
インデックス化する元データの大きさが変われば、サイズが変わるのは当たり前でしょうに…。
80G 三台ついたデスクトップと20G のノートPCでどちらも1Gだったら確かに凄いけどそんなのあり得ないでしょ。
部門名の真意は? (スコア:0)
# 単なる2get阻止だったりするのでAC。
Re:というわけで (スコア:0)
おれなら「ヤハーリ」とか書いちゃいそ
Re:というわけで (スコア:0)
ふと部門名を忘れてしまう年末 部門より.
だそうです
Re:部門名の真意は? (スコア:0)
って意味だと思った。
Re:部門名の真意は? (スコア:0)
検索検索! (スコア:0)
Re:検索検索! (スコア:1)
#普通の文章の区切りを集めるとプログラムだったり、、、
Re:検索検索! (スコア:0)
マスコットが置いてあるとか、資料が置いてあるとか。
むかし、国民投票ネタであったような気が...