官庁ではまだ使われているLHA 156
ストーリー by hylom
どうしてこうなった 部門より
どうしてこうなった 部門より
脆弱性問題から使用が非推奨となっているアーカイバ(圧縮ソフト)のLHA(ファイル拡張子は.LZH)だが、国土交通省の入札説明書等の電子的提供ではLHAがまだ使われている模様(「黒翼猫のコンピュータ日記 2nd Edition」ブログ)。
また、それ以外でもLZH形式の圧縮ファイルで入札関連の情報を公開している組織が複数存在するようだ。
脆弱性問題から使用が非推奨となっているアーカイバ(圧縮ソフト)のLHA(ファイル拡張子は.LZH)だが、国土交通省の入札説明書等の電子的提供ではLHAがまだ使われている模様(「黒翼猫のコンピュータ日記 2nd Edition」ブログ)。
また、それ以外でもLZH形式の圧縮ファイルで入札関連の情報を公開している組織が複数存在するようだ。
日々是ハック也 -- あるハードコアバイナリアン
パッと見、問題はなさげ (スコア:2, すばらしい洞察)
みんな大好き☆Windowsなら、OSが標準で対応していたりするする。
セキュリティ的には、常識的に考えて問題は無いハズ。
一々、圧縮だとか書庫に突っむとか、行わなくても良さげ。
Re:パッと見、問題はなさげ (スコア:1)
そういう奴だと実際にファイルとして作成された訳じゃないので検疫をすり抜けて、
例えば細工された画像ファイルを表示して感染する可能性があるって話。
2006年当時の事なので現在のウィルス対策ソフトでどうなってるかは知らない。
別に問題ないのでは? (スコア:2)
悪意の無い官公庁発のデータを取り扱うのは別に問題ないのではないの?
そもそも星の数ほどある展開側の対応例を一つ持ち出して、全面禁止とか著しく妥当性に欠けると思う。
Re:別に問題ないのでは? (スコア:2)
LZHを使わないようにすべき理由は有る (スコア:2, フレームのもと)
諸君が愛してやまないWindows 10では、普通に『圧縮 (zip形式) フォルダー』を作成できるが、LZHには未対応だから。
WordもExcelも無かったあの頃 (スコア:1)
一太郎・ロータス123・LHAが三種の神器でしたなぁ。
とは言え、PCが2世代くらい変わった数年前でも
しれっと一太郎ビューワーが入っていたのは若干アレでしたが。
#古いファイルを見るかもしれないってのは分かるんですが、当時は既に外部記録の類は接続禁止だったし。
入稿データ (スコア:0)
ワープロ専用機からのFD入稿は5年ぐらい前に無くなったかと記憶してますが、印刷関係の官公庁と関係関係の入札案件ではMOと一太郎が条件に入ってる所も普通にありますからねえ・・・(ドライブのデッドストック探さないと仕事にならない・・・)
#
たまに何時間かけたんだよと思うような、一太郎の本気出した文字組を見ましたが、どちらにしろ組版ソフトで組み直すから関係ない(;´Д`)
Re:入稿データ (スコア:2)
LZHで…MOで…
ここで一句「ZIPじゃだめなんですか?」
Re:入稿データ (スコア:2)
ZIPは車内に放置する可能性があるから
Re:入稿データ (スコア:1)
ZIPディスク [wikipedia.org]で寄越されても、再生するドライブが現役で残っていない気が。
圧縮ファイル LZH形式のみ (スコア:1)
例えばこんな感じ
ファイル形式:
提出資料のファイル形式については以下のいずれかの形式にて作成すること。
a.一太郎 2011以下
b.MicrosoftWord2010以下
c.MicrosoftExcel2010以下
d.その他のアプリケーション
PDFファイルAcrobat10以下
画像ファイルJPEG形式又はGIF形式
圧縮ファイルLZH形式のみ ※ZIP等、他の圧縮形式は認めない。
http://e2ppiw01.e-bisc.go.jp/CALS/Publish/KokaiBunshoServlet?AnkenKanr... [e-bisc.go.jp]
Re: (スコア:0)
告示日が平成28年8月4日でいまだにこうなのか。
えーと? (スコア:0)
ZIPだと中身が表示されるから困る場合があるのかな?
ダウンロード出来ない的な
Re:えーと? (スコア:1, 興味深い)
以前関わった所のお客さんのシステムでも現役でLZHが使われていて、懐かしさと共に驚いたもんですが、使用していた理由はこんなもんでした。
・稼動している古いシステム、アプリが対応しているアーカイブがLZH形式のみ
・メンテナー兼責任者(元開発者)がDOSerの老害でZIPを認めない
「今でも動いているから」と稼動しているシステムをリプレースする気がないので、そのままなんですよね。
多分、似たようなもんなのではないかなぁ。
Re:えーと? (スコア:1)
あと、「意味も解らず古文書通りにやってるだけ」で「古文書を読み解いて今様に翻訳できる人がいない」ってのもありそうですな。
Re: (スコア:0)
・メンテナー兼責任者(元開発者)がDOSerの老害でZIPを認めない
ZIP形式ってもとはDOSのPKZIPだろ。何馬鹿なこと言ってんの?
Re: (スコア:0)
>老害って蔑む事に意図はお在りで?
更に追い打ちかけて貶める卑しさよ
Re: (スコア:0)
ZIPを認めない老害と書いてあるだろ。
Re:えーと? (スコア:1)
LZHに限った話ではないですが、特に主立った理由はないはずですよ。
日本の官公庁の場合、法律や政令/省令を含め、様々な決定事項は膨大な量の根回し
(末端の担当者同士の非公式な会話)で成立する構造になっているため、
後からその決定を覆そうにも、膨大な量の依存関係(=根回しの結果)を解決しなければならず、
しかもその依存関係はどこにも文書化されていない(文書化されているのは公式の会議のみ)ので、
スパゲッティ状に絡まりまくったものを丁寧に解くという、
気の遠くなるような作業から始めなければならないのです。
従って、政治的に圧力でもかからない限り、変わることはないでしょう。
Re: (スコア:0)
タレコミのソース先を見るとどれも建築関係の入札なんですよね。
電子入札にしてもデータの納入方式にしても、データを納入する方はそういう土木・建築関係の会社。
比較的規模の大きな企業ならともかく、中小のそういった企業でIT専門の職員はいるわけでもなく事務職が兼務してると思われます。セキュリティといっても業務の電子化が進んでなければIT企業のように敏感になる必要もなく。
なので従来のやり方を変えるにはお役所の中だけでなく、入札に関与する企業へどう通達して新しい環境を整備させるかもあってちょっと気の遠くなる作業ですね。
Re:えーと? (スコア:3, 興味深い)
役所の中の人だが、東証一部の大企業の本社の某部署の人達に、某提出物を暗号化zipで送るよう半ば強制する形でお願いしたけど、なかなか大変だった
まず暗号化の必要性とその理由を文書を、パスワードの悪い見本など一通りの資料を添えて送ったら、とりあえずご理解は頂けたようで、暗号化zipが届くようになった
ところが、いざファイルを受け取ってみたら、
・パスワードが1文字/会社名/機密としたい事項
・ファイル名がパスワード
・本文に「パスワードは○○です」と明記
とか脱力ものでした
自分で言うのモアレだけど、そこからも悪戦苦闘の日々…
重要なデータは基本的に会社から役所に届くので、会社側に危機感もってもらわないとどうしようもない
でも個別具体的な手続きとかはIT部門通さないから、改善図るのはかなり難しい
もっとも、こちらも情シスを通さない担当ベースで勝手にやってただけだし、とっくに異動した今では「なんでパスワードかけてるの?役所に暗号化ファイル送り付けるとかふざけてるの?」とかなってるかもしれない
同じようなことは中小企業にもお願いしてたけど、最初からちゃんとできる会社も少なからずあったし、会社の規模や部門は関係ないとおもうよ
むしろ担当者の危機感や問題意識、ITへの習熟度といったセンスに依存していると思う
Re:えーと? (スコア:1)
#3078913 です
必要の度に紙文書でお願いするのが役所の流儀なので、パスワードの見本を20くらい書いた紙を一緒に送り、メール送信後に電話で「○○番使いました」と電話してもらうことにしました
パスワードなんて自由に決めて欲しかったのですが、8桁以上にしてくれと言っても守らないし、FAXでパスワード送ってもらったら0かoかOかDか送った本人も混乱してついには誰も(受け取った私はもとより送った側も)開けなくなったりと、今となっては結構笑えます(当時は笑う余裕ありませんでした)
なんでこんなことしてるかというと、資料(ドラフト)の電子ファイルをもらって役所側で加除修正し、修正案を確認してもらって(この部分を何度か繰り返し)、問題なければ正式に提出してもらう、、としたほうが、その業務ではお互いの作業が格段に楽だったからです
役所と数十社が共同で作るものであれば、役所の外に設けた共有サーバにアップしても良いのですが(情シス説得するのが大変だ!)、この業務では企業間で知られては不味い情報を取り扱うため、共有フォルダに細かくアクセス制限するくらいならもうメールのほうが楽で良いや、と
企業の方々ばかり悪く書きましたが、私のほうが誤返信する可能性もありましたし、私のほうもメール送信後に電話して、雑談交じりに会話して誤送信してないことを確認してからパスワード伝えてました
結構気を使うハメになりましたが、当方の情シスに外部のサーバの利用許可を得、さらに相手企業の担当者が向こうの情シスに話を通す手間を考えるとまだマシだったかな、と…
Re: (スコア:0)
もう ish と tar でええやん
Re: (スコア:0)
いまだにWindows XPってこと?
# 普通にありそうだから困る
Re: (スコア:0)
Microsoft 圧縮 (LZH 形式) フォルダの使い方 [microsoft.com]
Re:えーと? (スコア:1)
「ZIPにはパスを付けること(パスワードは別メール)」という呪術を行っている現場はよくあるが、Windows Vista以降、標準のZIPフォルダーはパス付き圧縮ができなくなっている。したがって呪術を続けるには何らかのサードパーティー製ZIP圧縮ツールの導入が必要となってしまった。
# そこ、呪術をやめればいいとか言わない
Re:えーと? (スコア:1)
やっぱり互換性のためには無圧縮ZIPだな。
まあ最悪でも (スコア:0)
中の文書は署名して改竄しても即バレする位のことはしてるでしょ。
JPKIを作ってOSベンダーに登録要求するからには、そのくらいは最低でもやるさ。
Re: (スコア:0)
そういう話じゃないんだが・・・
LHAがまだ使われている模様? (スコア:0)
「LZH形式対応の解凍ソフトが必要」とは書いてあるけど、「LHAがまだ使われている」なんてどこに書いてあるの?
解凍ソフト(ウイルス対策ソフト含む)のバグ・脆弱性の問題なので、解凍ソフトが改善されていれば使って問題ないんじゃないの?改善されているかどうかは知らんけど。
Re: (スコア:0)
要は改ざんされたヘッダがあると、ウィルス対策ソフトが書庫内のそのファイルorそれ以降の全ファイルを検査しない事があるってのが問題なわけだから、ウイルス対策ソフトが未対応かもしれないのに、安易に改ざんされたヘッダでも解凍できちゃうソフト使うのは不味いんじゃねーかと。
Re: (スコア:0)
書庫ファイル内がウィルスチェックされないのは暗号化ZIPも同じじゃね?
お役所でメールなんかでZIP使うときなんか暗号化ZIP使うだろうし、「書庫内ファイルがウィルスチェックされない」は脆弱性の理由としては違うような。
Re: (スコア:0)
リンク先ではちゃんとLZH形式になってるよ。いつものhylomクォリティ。単なる誤字ならまだしもこういう論理的な誤りもたびたびやらかすから本当にたちが悪い。
Re:LHAがまだ使われている模様? (スコア:1)
リンク先を見ると、
> 作者がセキュリティホール直したんだけど、IPAが、ちゃんと説明もせずに、セキュリティホールが直ったということを認めなくて、お役所から見捨てられた
とあるけど、どういう事?
あるお役所は、見捨てたけど、別のお役所は未だに使い続けているという事か。
LZHを使って良いかという事とは別に、サポートしているアーカイバはまだまだあるようですが。
Re:LHAがまだ使われている模様? (スコア:1)
今回は、意味が正反対になっていないだけまだマシでしょうw
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re: (スコア:0)
また hyrom の余計な書き換えか
ちょっと Kazekiri、おたくの従業員なんとかしなさいよ
情報セキュリティ関係でこういうのはまずいよ
Re: (スコア:0)
headlessでも直してくれればよいんだけど、身内に気を遣って正しい事ができない感じ?
Re: (スコア:0)
> LHAがまだ使われている模様
「模様」ってのは推測を示すわけだから、LZH形式が採用されてるならLHAも使われてるかも知れないって意味じゃない?
論理的な誤りってなんなのかわからないんだけど、そこまで指摘するならちゃんと根拠があるのかな?説明して欲しいな。
それに、こういうのは記者の雑感だと思うから特に問題があるようには読めないんだけど?
Re: (スコア:0)
aptとかsvnとかでメジャーになったsubcommand方式って、LHAで発明されたもんでしょ。
当時はファイル名やオプション指定ではない文字列を、コマンド引数として与える発想が無かった。
Re:LHAがまだ使われている模様? (スコア:1)
当時はファイル名やオプション指定ではない文字列を、コマンド引数として与える発想が無かった。
echoコマンドすら知らん人かな?
Re: (スコア:0)
aptとかsvnとかでメジャーになったsubcommand方式って、LHAで発明されたもんでしょ。
当時はファイル名やオプション指定ではない文字列を、コマンド引数として与える発想が無かった。
うわ馬鹿がいる
Re: (スコア:0)
1. 安全ではない解凍ソフトが存在するから非推奨
2. メジャーな解凍ソフトに脆弱性があるから非推奨
3. メジャーな解凍ソフトの脆弱性が解決されたけど、それを役所が確認せず非推奨のまま放置
4. セキュリティソフトが対応していないことがあるから非推奨
1ではないよな。それじゃ使えるアーカイブ形式なんて存在し得ない。
リンク先を読むと、2から3に遷移したような話なのかな?
差し迫った実在の危険が有るわけではないけど、「こっちの役所が危ないと言ってるのに、こっちの役所は使えと言いよる」というツッコミ。
あるいは、少なくともオリジナルのソフトについては直ってるけど、直ってないメジャーなソフトが多いから2のまま?
4は、セキュリティソフトのベンダーが悪いと言うことになるかな。
どマイナーな形式にまで対応しろとは言わないけど、日本のお役所様が使うとおっしゃってるソフトぐらいには対応しやがれよ、と。
…うわぁ、市場価値が小さそうなお仕事。
けしからん (スコア:0)
「まったく、お役所は進歩というのがないのか」(XPを使いながら)
Re:けしからん (スコア:1)
「お役所はセキュリティ意識が低いな」(Windows2000を使いながら)
#Xpは使用制限がかかり、毎年廃棄台数の目標が設定されているけど、Xpより前のOSなら制限対象外。 らっきー!
##本当は廃棄したいけど、そのPCに入っている装置制御ソフトのメーカーが倒産してしまい、新OSに移行できないのよね
圧縮率のことも考えて (スコア:0)
セキュリティ云々よりも圧縮率のことを考えて
せめてbzip2、できれば7zipあたりが標準になってほしいもんです。
Re: (スコア:0)
メールの添付ファイルだとわりと容量制限が厳しいですしねえ。
Re: (スコア:0)
ファイルフォーマットではなくソフトウェア名で語る頭の悪さはhylom並。
よしりん (スコア:0)
まだご存命か。
LZH フォルダ (スコア:0)
日本向けにこんなのもありましたね。
https://support.microsoft.com/ja-jp/kb/900990 [microsoft.com]
Re:世界標準 (スコア:1)