パスワードを忘れた? アカウント作成
13134306 story
セキュリティ

Gmail、拡張子が「.js」のファイルの添付を禁止へ 87

ストーリー by hylom
危険なJS 部門より
あるAnonymous Coward 曰く、

Gmailが「.js」という拡張子を持つファイルの添付を2月13日より禁止するとのこと。すでにセキュリティ上の理由で「.exe」などの実行ファイルの添付は禁止されており、これに新たに「.js」が加わることになる(ITmedia)。

Windowsでは.jsファイルがダブルクリックで実行でき、これを悪用してマルウェアをダウンロードさせたり、何らかの脆弱性を突いて攻撃するというケースがあるらしい。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by ymasa (31598) on 2017年01月27日 11時55分 (#3151064) 日記

    ブロックされるファイル形式
    https://support.google.com/mail/answer/6590#messageswattachments [google.com]

    .ade、.adp、.bat、.chm、.cmd、.com、.cpl、.exe、.hta、.ins、.isp、.jar、.jse、.lib、.lnk、.mde、.msc、.msp、.mst、.pif、.scr、.sct、.shb、.sys、.vb、.vbe、.vbs、.vxd、.wsc、.wsf、.wsh

    およびにそれらを含んだアーカイブ

    • applescriptは入ってない?

      親コメント
      • by Anonymous Coward

        ps1も入っていないですしlibが危険なシステムってなんでしょうかね

        • by Anonymous Coward

          ps1 はそもそも最近の Windows では デフォルトでは実行できない [atmarkit.co.jp]ですよ。
          そこの制限を緩める方法を知っているような人は自衛してね、という考えでもそんなに悪くないんでは。

    • by Anonymous Coward on 2017年01月27日 12時20分 (#3151082)

      直接添付したものが弾かれるのはまぁいいとして、アーカイブしたものまで弾くのはなんとかしてほしいですよね。

      メールでそーすかとプログラム送りたい時に面倒で面倒で
      別の手段が容易に用意できる場合はいいんですが、メールしかないときに困る

      親コメント
      • by Anonymous Coward

        7-Zipみたいにファイル名ごと暗号化できるアーカイバで暗号化すればいい

      • by Anonymous Coward

        その場合はGmailを使わないと言う選択しか無いのでは。

      • by Anonymous Coward

        拡張子変更すれば送れた気がするけど、変わったんかな。

        最近は送ってないけど、たとえば圧縮して拡張子zipになってれば、それ外して送って、
        受け取った側で復元して展開すればおけ、だった。
        #それこそ暗号化しとけば、いくらぐぐるさんでも中身は分からんだろ

        • by Anonymous Coward on 2017年01月27日 14時24分 (#3151174)

          zipの暗号化は、中の人のファイル名は読めるでしょう。だからチェック可能。

          前は圧縮したあとzipの拡張子を適当に変えればチェックされなかったけど今はどうだろね。

          親コメント
        • by Anonymous Coward

          > #それこそ暗号化しとけば、いくらぐぐるさんでも中身は分からんだろ
          楽観的な観測は身を亡ぼす原因になりかねません。

      • by Anonymous Coward

        GMAIL使ってるならGOOGLEドライブも使えるはず。

        GOOGLEドライブに上げてリンク共有かなぁ。まさかドライブにもjs上げられなくなってるのか?

        • by Anonymous Coward

          GMAIL使ってるならGOOGLEドライブも使えるはず。

          GOOGLEドライブに上げてリンク共有かなぁ。まさかドライブにもjs上げられなくなってるのか?

          Googleドライブってアカウント変えれないのが困る。

      • by Anonymous Coward

        そんなときにはLZHですよ。
        と思っていたのですが、今確認したらLZHでもブロックされますね…

      • by Anonymous Coward

        パスワード1234の暗号化zipにしてる

      • by Anonymous Coward

        全く同じことをマルウェア送りつける人たちが考えているので、
        アーカイブしても弾くのは仕方ないですね。

        世の中には、不審なメールの添付の圧縮ファイルをわざわざ解凍して
        実行するくらいリテラシ低いユーザが、結構な数いるんですよ。

  • by hakikuma (47737) on 2017年01月27日 12時04分 (#3151067)
    jcやjkも児童ポルノだからNG
  • by Anonymous Coward on 2017年01月27日 12時20分 (#3151083)

    拡張子でファイルの内容を推定する MS-DOS が悪い。
    21世紀にもなってこんな負の遺産が受け継がれているなんて信じられない。

    • by hakikuma (47737) on 2017年01月27日 12時37分 (#3151098)
      >拡張子でファイルの内容を推定する MS-DOS が悪い。

      「推定」じゃなくて「断定」してます。
      親コメント
      • by Anonymous Coward

        MacOSも9以前は拡張子なんか無かったんだけど
        改悪、なのかな

        • by Anonymous Coward

          あらゆるファイルに余計な物をくっつけてくれるあれね

    • by Anonymous Coward

      拡張子で推定しないようにすると、どんな拡張子のファイルでも実行できるようになりますよ?

      #セキュリティー的にどっちがいいんだろ

      • by nemui4 (20313) on 2017年01月27日 12時55分 (#3151115) 日記

        ファイルシステムから外したら実行権も外れるでいいんじゃないすか。
        転送 or 受信後に実行させるときは chmod +x とか。

        親コメント
        • by Anonymous Coward

          結局今のgmailと何も変わらないのでは。

      • by Anonymous Coward on 2017年01月27日 13時18分 (#3151134)

        ファイル名に「ファイル名」と「ファイル形式」2つの機能を持たせる設計が悪い。

        親コメント
        • by Anonymous Coward

          全くその通りですね
          ファイル名がドットから始まってたら隠しファイル、という謎仕様もただちに廃止すべきです

      • by Anonymous Coward

        名称(しかも自称)で判断することに合理性ってあるの?

      • by Anonymous Coward

        Classic MacOSやLinux(Unix)はもともとは拡張子で判断という概念がなく、ファイルにアクセスしてなんなのか判定してた。
        Linuxもいまは拡張子優先(なはず)だけど。

        • by nekopon (1483) on 2017年01月27日 13時26分 (#3151146) 日記
          実行可能ファイルを拡張子で判定することは無いですよ。
          # いくつかのアプリで拡張子を判定に使うケースはありますが (make と cc が典型)。
          親コメント
        • by Anonymous Coward

          Classic MacOSやLinux(Unix)はもともとは拡張子で判断という概念がなく、ファイルにアクセスしてなんなのか判定してた。
          Linuxもいまは拡張子優先(なはず)だけど。

          Unixなんて、今も昔もバイナリかshebang以外に、OSレベルではファイルの種類の能動的な判断なんてしてないんじゃないの?
          若干の例外はあるかもしれないけど。

          Linuxが拡張子優先なんて聞いたことない。gnomeとかのレベルのレベルの話でしょう。

        • by Anonymous Coward

          MS-DOSは拡張子で判断、Classic MacOSはリソースフォークで判断、
          Linuxはmagicパターンファイルを参照して判断、でいいのかな。
          他OSとの互換性も考えて、magicパターンファイルで判断するのが
          一番妥当な気がする。セキュリティ的には実行形式ファイルと
          スクリプトをもれなく水際で食い止められる率が高いはず。

          • by nekopon (1483) on 2017年01月27日 14時48分 (#3151196) 日記
            Linux は binfmt でしょ
            親コメント
          • by Anonymous Coward on 2017年01月27日 15時21分 (#3151221)

            DOSもWindowsも実行ファイルはmagicパターンで判断してるけど?
            MZヘッダーとかPEヘッダーとか聞いたことないか?
            判断してなかったのはCP/M由来のcom時代だけだぜ。

            適当なファイルを.exeにして実行できるか試せば一目瞭然だと思うのだが。

            ウィルスとかマルウェアって正規の実行ファイルなんだから
            magicパターンで判断したからって何の効果も無いだろう。

            親コメント
    • by Anonymous Coward

      セキュリティでいうなら、拡張子で判定することよりも、
      拡張子を隠してしまう(それゆえ画像.exeのようなファイルを実行してしまう)最近の風潮が悪いんじゃね

      • by Anonymous Coward

        一概に拡張子を隠すのが悪いとは言えないんだよ。

        Unicodeが標準となってしまった今、RLOを悪用されると Virusfdp.exeというファイル名をVirusexe.pdfなんて形に偽装できるからな。
        拡張子を表示しないようにしていた場合、RLOを悪用して拡張子を反転させていたらすぐわかるんだよね。

    • by Anonymous Coward

      CP/MじゃなくてDOSが悪いんですか?

  • by Anonymous Coward on 2017年01月27日 13時28分 (#3151148)

    デフォルトでメモ帳で開くようにしておけば一般の方への影響は遮断できるよね。
    逸般人の方々はそれぞれ好みのエディタに関連付けしてあるだろうから、そもそも影響ない。

    #.jsのデフォルトの関連付けって今どうなってるの?

    • by Anonymous Coward

      今も昔もwscript.exeではないですかね。

      • by Anonymous Coward

        よく考えたら.jsをスクリプトとして直接実行しなきゃならない人ってほとんど居ないのに(普通はブラウザでしか使わない)何故デフォルトそっちなのかね。
        使う人だけ使えるようにすりゃあ解決するのに。

        • by Anonymous Coward

          バッチファイル(.bat)をやめたかったから。

typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...