パスワードを忘れた? アカウント作成
14711 story
Google

Google Desktop に XSS 脆弱性 25

ストーリー by mhatta
Crack-2.0か 部門より

yourCat 曰く

Google Desktop に XSS 脆弱性が発見された (発見した Watchfire の説明 [PDF] とデモITmediaの日本語記事)。ローカルの検索範囲を指定する under クエリーに埋め込まれたスクリプトの実行を許してしまうものだが、これによりユーザー固有のシグネチャを取得し、第二段階で Google Desktop にマルウェアを実行さることが可能になる。現在はこの脆弱性は修正されていて、Google Desktop ユーザーは自動的にアップデートが行われる。
Watchfire は、アンチ・ウイルス・ソフトやファイヤーウォールをかいくぐるれることと、Google Desktop が Google web サービスと統合されていることがローカルへの攻撃の窓口になったことに注目し、web ブラウザーと web アプリケーションが強力になったことで、JavaScript のみでローカル・システムをコントロールする「次世代の攻撃法」が登場したと警告している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2007年02月23日 6時47分 (#1115325)
    デスクトップ検索導入してる人って、なにがいいと思って使ってるの?

    メールだけでも数十GBあって、
    ビデオ・写真はテラの大台に乗っちゃったから、
    インデックス作らせるのなんて重くて考えただけでぞっとするし、
    フォルダ単位で整理してるから
    検索しなくてもすぐ目的のファイル見つかるし。

    セキュリティ上の懸念もあったら
    導入する意義が見出せない。
    • スタートメニューの項目も検索できるのでCtrl二回押して、OpenOfficeとか打ち込んで起動するという使い方もしていたり。 後は、Gmailの検索とか。 POP3だと、複数のマシンから使うときに一度一台のマシンからダウンロードしたメールは受信されないので使いにくい。
      親コメント
    • Re:つーか (スコア:1, 参考になる)

      by Anonymous Coward on 2007年02月23日 7時10分 (#1115326)
      > フォルダ単位で整理してるから
      > 検索しなくてもすぐ目的のファイル見つかるし。

      これが面倒な人のためでしょう。
      実際、エクセルなどの文書から検索するのは便利ですよ。
      基本的にビジネス向けのツールだしね。
      親コメント
    • Re:つーか (スコア:1, 興味深い)

      by Anonymous Coward on 2007年02月23日 7時53分 (#1115334)
      多人数で多プロジェクトのファイルを共有しているとき、そこから検索できるのは非常に便利ですよ。他人が作ったファイルを探すにはうってつけです。
      自分一人で使う限りにおいては、メール(とその添付ファイル)検索ぐらいしか意味がありませんが。
      親コメント
    • by liv88 (32526) on 2007年02月23日 9時09分 (#1115363)
      PCのデータというのは、ある意味では自分の部屋と同じようにも思えます。几帳面な人はデータをキッチリとフォルダ分けしたり、自分なりの命名規則を持たせていますが、そうでない人はかなり適当にデータを保存しているものですから。

      個人的には、デスクトップ検索は導入はしたくありませんね。別に導入しなくても保存した場所くらい憶えていますから。
      画像の整理用の「Picasa」 [google.co.jp]は便利だと思っていますけど。
      親コメント
      • by Anonymous Coward
        >別に導入しなくても保存した場所くらい憶えています
        デスクトップ検索のメリットは、それ(位置記憶)だけがメリットではないのだけど、
        Windows標準のファイル検索がショボイからそういう事になるのでしょうねえ。
        イメージ的には、解っている事象でも一応ググって見る人が少なくないのと同じ事。

        グーグル製品に限らず、デスクトップ検索というのは仕事がPCに依存するほど効果が高まります。
        「google誕生」という本だったと思いますが、自分のPCに自分が必要としている情報が
        ある事に自分が気付いていない事に気付かされたというような記述が実に適切でしょう。

        >個人的には、デスクトップ検索は導入はしたくありませんね
        試して、正確にメリット・デメリットを把握しての意見ではなさげですね。
        間違った認識から食わず嫌いしているのは、勿体無いと思いますけど、
        まあそれ(使う使わない)はそれで構わないと思います。
        間違っている特性理解でウンチクたれると恥をかくだけで。
        • Re:つーか (スコア:2, 参考になる)

          by Stealth (5277) on 2007年02月23日 14時19分 (#1115572)

          Vista だと MSN Desktop Search 相当機能が最初から乗っていますね。アプリケーション側が電子メールとしてインデックス化してくれる場合はメールからのみの検索とかも出来るので、IMAP では特に便利です。

          デスクトップ検索一般で言うと、RFC や各種公開仕様を HDD に保存しておいての検索や、API 名とかで開発ツール添付のサンプルコードや自分が書いたコードを後で参照する時にも結構威力を発揮してくれます。

          きっちりとファイルをフォルダに分類していたとしても、複数フォルダにわたる横断検索を行いたい場合などもありますし、メールを IMAP にしていたりすると、そもそも過去のメールは手元にコピーを持っていない、などという場合も出てくるでしょう。(インデックス化する過程で勝手にコピー持ってきますけど……) こうした場合にはデスクトップ検索は便利だと思いますね。

          親コメント
    • by epsilon-minder (32074) < > on 2007年02月23日 13時05分 (#1115534) 日記
      HDDがあまりにカオスなので、3日前にとうとういれてしまいました。

      自分の場合、全文検索ができるソフトが欲しかったので、とりあえず導入が簡単そうだという理由だけで選びました。
      インストールも楽でしたし、インデックスの作成も一晩放っておけば十分でした。
      もちろん、Windows標準の検索でもなんとかならないことはないんでしょうが、
      1つのファイルを検索するのに何分も待たされるとイライラします。

      ただ、タレコミでも出ているように、セキュリティの面では少々不安です。
      #だからこそ今までいれてなかったんですが
      親コメント
    • by Anonymous Coward
      二年前にメールで受け取ったと思ったけどもしかしたら
      テキストに書き写したかもしれない、とあるサービスの
      シリアル番号。パスワードではなく。
      # 因みにここ一年使ってない

      こういうのを、検索するより速く探し出す自信は無いね。
      保存してあるものが多いからこそ。
      • Re:つーか (スコア:1, 参考になる)

        by Anonymous Coward on 2007年02月23日 10時10分 (#1115403)
        そう、何年も昔のファイルまで含めて、
        保存したときとは異なる切り口で横断検索したいとき、
        OS付属の検索より圧倒的高速にそれなりの結果を得られるのは有り難いです。

        web と同じで過不足なく正確な結果を得られるわけでは無いのが難点ですが、
        それなりの精度の結果をいくつか参照して済むような用事であれば非常に有用。
        親コメント
      • by Anonymous Coward
        そういうものはヒマなときにのんびり探せばいいのでは?
        リスクを背負ってまで検索するほどのものじゃないと思う。
        一年間も使ってないものなんだから。
        • by Anonymous Coward
          だから暇がないんだってば。
          • by Anonymous Coward
            暇がないからといって一年間も使わないようなサービスは、
            元々その人にとって真に必要なサービスじゃないと思う。
            • by Anonymous Coward
              暇がないからといって一年間もメンテされないようなソースは、
              元々このプロジェクトにとって真に必要なソースじゃないと思う。

              社会を知らな過ぎ。書類でも何でも、好きなリソースに置き換えてくれ。
              それとも氷河期終わって、こんな甘ちゃんでも職にありつける時代になったのかな。
            • by Anonymous Coward
              たった一年使わないだけで不必要なサービス?
              一年間シリアル確認しなかったサービスなんてごまんとあるだろ。
              自分で書いていることの意味分かってるのか?
      • by Anonymous Coward
        使ってないので外してるかもしれないけど、膨大なファイルの中から「シリアル番号みたいなもの」という検索条件だけで引っ掛けられるものなの?
        • by Anonymous Coward
          >「シリアル番号みたいなもの」という検索条件

          普段Google使っているときそんな検索条件で検索しているわけでもないでしょうに。

          例えば「HogeFuga」というソフトのシリアル番号しりたければ、
          シリアル番号が書いてある文書に入っていそうな語句で検索するんですよ。

          「"HogeFuga" "How to install"」とか。
          だいたいこれで一発。
      • by Anonymous Coward
        私が使っているメールクライアントの検索機能が貧弱だから、GoogleDesktopは必須だ。

        という主張ですかね?
        あいまい検索とか正規表現とか検索で使えないメールクライアントなら、
        GoogleDesktopとかも必要かも。

        1年も使う必要がなかった様な使用頻度のアプリケーションなら、
        アプリケーション名で検索をかければ、簡単に出てきたりしないの?

    • by Anonymous Coward
      欲しくてインストールしたわけではない人多数だと思う。

      例えばDELLのユーザ。
      Google Desktop & Toolbar なんて要らないし、むしろこういう
      危険を考えたら入れたくない。
      なのに、DELLのやつ、勝手に入れてしまう。

      他にもJREを入れようとしたら"Googleも入れる?"なんて姑息な
      やり方でインストールさせたり。
      知らない人は入れちゃうだろうな。

  • by Anonymous Coward on 2007年02月23日 8時34分 (#1115346)
    PDFがブラウザで開くのではなくダウンロードになってびっくりした。
  • これ、どうやって確認したらいいんでしょう?

    そういえば、Google Desktopのバージョン情報ってどこで参照すればいいんだろうか?
    Betaってことしか分からないぞ。
  • by Anonymous Coward on 2007年02月23日 12時57分 (#1115530)
    そもそもブラウザにローカルなファイル扱わせるのが色々問題含んでると思う。
    セキュリティ的にも何か欠陥あった時点で死亡だし、操作性の面でも。
    以下、前にGDS使ってた時に不自由感じた点。

    特定のファイルをまとめて消す時に、対象を検索はできたけどそっから一括消去する方法がないっぽい。(URLからでも実現したら真っ先に悪用されそうだけど)
    検索対象から特定ディレクトリを外したりするUIがわかりづらい。(picasaと共通の使えばいいのに)
    そもそもDB作成がやたら時間かかるうえ、picasaとかGの他ソフト消した時になぜかDB初期化。

    まぁ現在は解決してるのかもしれないけど、Gは知らんうちに細々修正するからなぁ。
    • by Anonymous Coward
      そもそもブラウザにローカルなファイル扱わせるのが色々問題含んでると思う。
      それって結果的にActiveXだよね…。

      何を考えているGoogle
typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...