Google Desktop に XSS 脆弱性 25
ストーリー by mhatta
Crack-2.0か 部門より
Crack-2.0か 部門より
Google Desktop に XSS 脆弱性が発見された (発見した Watchfire の説明 [PDF] とデモ、ITmediaの日本語記事)。ローカルの検索範囲を指定する under クエリーに埋め込まれたスクリプトの実行を許してしまうものだが、これによりユーザー固有のシグネチャを取得し、第二段階で Google Desktop にマルウェアを実行さることが可能になる。現在はこの脆弱性は修正されていて、Google Desktop ユーザーは自動的にアップデートが行われる。
Watchfire は、アンチ・ウイルス・ソフトやファイヤーウォールをかいくぐるれることと、Google Desktop が Google web サービスと統合されていることがローカルへの攻撃の窓口になったことに注目し、web ブラウザーと web アプリケーションが強力になったことで、JavaScript のみでローカル・システムをコントロールする「次世代の攻撃法」が登場したと警告している。
つーか (スコア:0)
メールだけでも数十GBあって、
ビデオ・写真はテラの大台に乗っちゃったから、
インデックス作らせるのなんて重くて考えただけでぞっとするし、
フォルダ単位で整理してるから
検索しなくてもすぐ目的のファイル見つかるし。
セキュリティ上の懸念もあったら
導入する意義が見出せない。
Re:つーか (スコア:2)
Re:つーか (スコア:1, 参考になる)
> 検索しなくてもすぐ目的のファイル見つかるし。
これが面倒な人のためでしょう。
実際、エクセルなどの文書から検索するのは便利ですよ。
基本的にビジネス向けのツールだしね。
Re:つーか (スコア:1, 興味深い)
自分一人で使う限りにおいては、メール(とその添付ファイル)検索ぐらいしか意味がありませんが。
Re:つーか (スコア:1)
個人的には、デスクトップ検索は導入はしたくありませんね。別に導入しなくても保存した場所くらい憶えていますから。
画像の整理用の「Picasa」 [google.co.jp]は便利だと思っていますけど。
Re:つーか (スコア:0)
デスクトップ検索のメリットは、それ(位置記憶)だけがメリットではないのだけど、
Windows標準のファイル検索がショボイからそういう事になるのでしょうねえ。
イメージ的には、解っている事象でも一応ググって見る人が少なくないのと同じ事。
グーグル製品に限らず、デスクトップ検索というのは仕事がPCに依存するほど効果が高まります。
「google誕生」という本だったと思いますが、自分のPCに自分が必要としている情報が
ある事に自分が気付いていない事に気付かされたというような記述が実に適切でしょう。
>個人的には、デスクトップ検索は導入はしたくありませんね
試して、正確にメリット・デメリットを把握しての意見ではなさげですね。
間違った認識から食わず嫌いしているのは、勿体無いと思いますけど、
まあそれ(使う使わない)はそれで構わないと思います。
間違っている特性理解でウンチクたれると恥をかくだけで。
Re:つーか (スコア:2, 参考になる)
Vista だと MSN Desktop Search 相当機能が最初から乗っていますね。アプリケーション側が電子メールとしてインデックス化してくれる場合はメールからのみの検索とかも出来るので、IMAP では特に便利です。
デスクトップ検索一般で言うと、RFC や各種公開仕様を HDD に保存しておいての検索や、API 名とかで開発ツール添付のサンプルコードや自分が書いたコードを後で参照する時にも結構威力を発揮してくれます。
きっちりとファイルをフォルダに分類していたとしても、複数フォルダにわたる横断検索を行いたい場合などもありますし、メールを IMAP にしていたりすると、そもそも過去のメールは手元にコピーを持っていない、などという場合も出てくるでしょう。(インデックス化する過程で勝手にコピー持ってきますけど……) こうした場合にはデスクトップ検索は便利だと思いますね。
Re:つーか (スコア:1)
自分の場合、全文検索ができるソフトが欲しかったので、とりあえず導入が簡単そうだという理由だけで選びました。
インストールも楽でしたし、インデックスの作成も一晩放っておけば十分でした。
もちろん、Windows標準の検索でもなんとかならないことはないんでしょうが、
1つのファイルを検索するのに何分も待たされるとイライラします。
ただ、タレコミでも出ているように、セキュリティの面では少々不安です。
#だからこそ今までいれてなかったんですが
Re:つーか (スコア:0)
テキストに書き写したかもしれない、とあるサービスの
シリアル番号。パスワードではなく。
# 因みにここ一年使ってない
こういうのを、検索するより速く探し出す自信は無いね。
保存してあるものが多いからこそ。
Re:つーか (スコア:1, 参考になる)
保存したときとは異なる切り口で横断検索したいとき、
OS付属の検索より圧倒的高速にそれなりの結果を得られるのは有り難いです。
web と同じで過不足なく正確な結果を得られるわけでは無いのが難点ですが、
それなりの精度の結果をいくつか参照して済むような用事であれば非常に有用。
Re:つーか (スコア:0)
リスクを背負ってまで検索するほどのものじゃないと思う。
一年間も使ってないものなんだから。
Re:つーか (スコア:0)
Re:つーか (スコア:0)
元々その人にとって真に必要なサービスじゃないと思う。
Re:つーか (スコア:0)
元々このプロジェクトにとって真に必要なソースじゃないと思う。
社会を知らな過ぎ。書類でも何でも、好きなリソースに置き換えてくれ。
それとも氷河期終わって、こんな甘ちゃんでも職にありつける時代になったのかな。
Re:つーか (スコア:0)
一年間シリアル確認しなかったサービスなんてごまんとあるだろ。
自分で書いていることの意味分かってるのか?
Re:つーか (スコア:0)
Re:つーか (スコア:0)
普段Google使っているときそんな検索条件で検索しているわけでもないでしょうに。
例えば「HogeFuga」というソフトのシリアル番号しりたければ、
シリアル番号が書いてある文書に入っていそうな語句で検索するんですよ。
「"HogeFuga" "How to install"」とか。
だいたいこれで一発。
Re:つーか (スコア:0)
という主張ですかね?
あいまい検索とか正規表現とか検索で使えないメールクライアントなら、
GoogleDesktopとかも必要かも。
1年も使う必要がなかった様な使用頻度のアプリケーションなら、
アプリケーション名で検索をかければ、簡単に出てきたりしないの?
Re:つーか (スコア:0)
例えばDELLのユーザ。
Google Desktop & Toolbar なんて要らないし、むしろこういう
危険を考えたら入れたくない。
なのに、DELLのやつ、勝手に入れてしまう。
他にもJREを入れようとしたら"Googleも入れる?"なんて姑息な
やり方でインストールさせたり。
知らない人は入れちゃうだろうな。
PDF (スコア:0)
>Google Desktop ユーザーは自動的にアップデートが行われる。 (スコア:0)
そういえば、Google Desktopのバージョン情報ってどこで参照すればいいんだろうか?
Betaってことしか分からないぞ。
Re:>Google Desktop ユーザーは自動的にアップデートが行われる。 (スコア:1, 参考になる)
タスクトレイ上にあるGoogleDesktopアイコンで「概要」を選択すると出てきますよ。
Re:>Google Desktop ユーザーは自動的にアップデートが行われる。 (スコア:0)
ところで「Google デスクトップ 4.2006.1002.1212-ja-pb」となっており
まったく自動アップデートされないのですが、手動アップデートの手段ってあるのでせうか。
根本的な問題 (スコア:0)
セキュリティ的にも何か欠陥あった時点で死亡だし、操作性の面でも。
以下、前にGDS使ってた時に不自由感じた点。
特定のファイルをまとめて消す時に、対象を検索はできたけどそっから一括消去する方法がないっぽい。(URLからでも実現したら真っ先に悪用されそうだけど)
検索対象から特定ディレクトリを外したりするUIがわかりづらい。(picasaと共通の使えばいいのに)
そもそもDB作成がやたら時間かかるうえ、picasaとかGの他ソフト消した時になぜかDB初期化。
まぁ現在は解決してるのかもしれないけど、Gは知らんうちに細々修正するからなぁ。
Re:根本的な問題 (スコア:0)
何を考えているGoogle