Gmail、拡張子が「.js」のファイルの添付を禁止へ 87
ストーリー by hylom
危険なJS 部門より
危険なJS 部門より
あるAnonymous Coward 曰く、
Gmailが「.js」という拡張子を持つファイルの添付を2月13日より禁止するとのこと。すでにセキュリティ上の理由で「.exe」などの実行ファイルの添付は禁止されており、これに新たに「.js」が加わることになる(ITmedia)。
Windowsでは.jsファイルがダブルクリックで実行でき、これを悪用してマルウェアをダウンロードさせたり、何らかの脆弱性を突いて攻撃するというケースがあるらしい。
ブロックされるファイル形式 (スコア:5, 参考になる)
ブロックされるファイル形式
https://support.google.com/mail/answer/6590#messageswattachments [google.com]
.ade、.adp、.bat、.chm、.cmd、.com、.cpl、.exe、.hta、.ins、.isp、.jar、.jse、.lib、.lnk、.mde、.msc、.msp、.mst、.pif、.scr、.sct、.shb、.sys、.vb、.vbe、.vbs、.vxd、.wsc、.wsf、.wsh
およびにそれらを含んだアーカイブ
Re:ブロックされるファイル形式 (スコア:2)
applescriptは入ってない?
Re: (スコア:0)
ps1も入っていないですしlibが危険なシステムってなんでしょうかね
Re: (スコア:0)
ps1 はそもそも最近の Windows では デフォルトでは実行できない [atmarkit.co.jp]ですよ。
そこの制限を緩める方法を知っているような人は自衛してね、という考えでもそんなに悪くないんでは。
Re:ブロックされるファイル形式 (スコア:1)
直接添付したものが弾かれるのはまぁいいとして、アーカイブしたものまで弾くのはなんとかしてほしいですよね。
メールでそーすかとプログラム送りたい時に面倒で面倒で
別の手段が容易に用意できる場合はいいんですが、メールしかないときに困る
Re: (スコア:0)
7-Zipみたいにファイル名ごと暗号化できるアーカイバで暗号化すればいい
Re:ブロックされるファイル形式 (スコア:1)
ishしてからzip他で固めるとかしたら良さげ。
Re: (スコア:0)
その場合はGmailを使わないと言う選択しか無いのでは。
Re: (スコア:0)
拡張子変更すれば送れた気がするけど、変わったんかな。
最近は送ってないけど、たとえば圧縮して拡張子zipになってれば、それ外して送って、
受け取った側で復元して展開すればおけ、だった。
#それこそ暗号化しとけば、いくらぐぐるさんでも中身は分からんだろ
Re:ブロックされるファイル形式 (スコア:1)
zipの暗号化は、中の人のファイル名は読めるでしょう。だからチェック可能。
前は圧縮したあとzipの拡張子を適当に変えればチェックされなかったけど今はどうだろね。
Re: (スコア:0)
> #それこそ暗号化しとけば、いくらぐぐるさんでも中身は分からんだろ
楽観的な観測は身を亡ぼす原因になりかねません。
Re: (スコア:0)
GMAIL使ってるならGOOGLEドライブも使えるはず。
GOOGLEドライブに上げてリンク共有かなぁ。まさかドライブにもjs上げられなくなってるのか?
Re: (スコア:0)
GMAIL使ってるならGOOGLEドライブも使えるはず。
GOOGLEドライブに上げてリンク共有かなぁ。まさかドライブにもjs上げられなくなってるのか?
Googleドライブってアカウント変えれないのが困る。
Re:ブロックされるファイル形式 (スコア:1)
>Googleドライブってアカウント変えれないのが困る。
やったことないけど、ブラウザのシークレット(プライベート)タブ開いてそこで別アカウントでのloginでもダメ?
Re: (スコア:0)
そんなときにはLZHですよ。
と思っていたのですが、今確認したらLZHでもブロックされますね…
Re: (スコア:0)
パスワード1234の暗号化zipにしてる
Re: (スコア:0)
全く同じことをマルウェア送りつける人たちが考えているので、
アーカイブしても弾くのは仕方ないですね。
世の中には、不審なメールの添付の圧縮ファイルをわざわざ解凍して
実行するくらいリテラシ低いユーザが、結構な数いるんですよ。
jsだけじゃなく (スコア:2)
Re:jsだけじゃなく (スコア:1)
jeとde, ds, dc, dkが抜けてるよ。
Re:jsだけじゃなく (スコア:1)
そんなのでは抜いたことないや。
jk専門なので。
Re: (スコア:0)
jdとjjの間はなんだろう。いや、jdを超えたらjjという人もいるか。
(人によってはjkを超えたら、もっと業が深いとjcやjsを超えたら・・・)
Re:jsだけじゃなく (スコア:1)
超えたら#3151080でしょう。
それも超えたら……?
-- う~ん、バッドノウハウ?
Re:jsだけじゃなく (スコア:1)
d{s,c,k}もNG?
Re: (スコア:0)
jkは大丈夫な場合もあるんじゃない?
Re: (スコア:0)
悪用できる「可能性があれば」遮断するんだから、大丈夫じゃないに決まってる
諸悪の根源 (スコア:0)
拡張子でファイルの内容を推定する MS-DOS が悪い。
21世紀にもなってこんな負の遺産が受け継がれているなんて信じられない。
Re:諸悪の根源 (スコア:2)
「推定」じゃなくて「断定」してます。
Re: (スコア:0)
MacOSも9以前は拡張子なんか無かったんだけど
改悪、なのかな
Re: (スコア:0)
あらゆるファイルに余計な物をくっつけてくれるあれね
Re: (スコア:0)
拡張子で推定しないようにすると、どんな拡張子のファイルでも実行できるようになりますよ?
#セキュリティー的にどっちがいいんだろ
Re:諸悪の根源 (スコア:1)
ファイルシステムから外したら実行権も外れるでいいんじゃないすか。
転送 or 受信後に実行させるときは chmod +x とか。
Re: (スコア:0)
結局今のgmailと何も変わらないのでは。
Re:諸悪の根源 (スコア:1)
ファイル名に「ファイル名」と「ファイル形式」2つの機能を持たせる設計が悪い。
Re: (スコア:0)
全くその通りですね
ファイル名がドットから始まってたら隠しファイル、という謎仕様もただちに廃止すべきです
Re: (スコア:0)
名称(しかも自称)で判断することに合理性ってあるの?
Re: (スコア:0)
Classic MacOSやLinux(Unix)はもともとは拡張子で判断という概念がなく、ファイルにアクセスしてなんなのか判定してた。
Linuxもいまは拡張子優先(なはず)だけど。
Re:諸悪の根源 (スコア:1)
# いくつかのアプリで拡張子を判定に使うケースはありますが (make と cc が典型)。
Re: (スコア:0)
Classic MacOSやLinux(Unix)はもともとは拡張子で判断という概念がなく、ファイルにアクセスしてなんなのか判定してた。
Linuxもいまは拡張子優先(なはず)だけど。
Unixなんて、今も昔もバイナリかshebang以外に、OSレベルではファイルの種類の能動的な判断なんてしてないんじゃないの?
若干の例外はあるかもしれないけど。
Linuxが拡張子優先なんて聞いたことない。gnomeとかのレベルのレベルの話でしょう。
Re: (スコア:0)
MS-DOSは拡張子で判断、Classic MacOSはリソースフォークで判断、
Linuxはmagicパターンファイルを参照して判断、でいいのかな。
他OSとの互換性も考えて、magicパターンファイルで判断するのが
一番妥当な気がする。セキュリティ的には実行形式ファイルと
スクリプトをもれなく水際で食い止められる率が高いはず。
Re:諸悪の根源 (スコア:1)
Re:諸悪の根源 (スコア:1)
DOSもWindowsも実行ファイルはmagicパターンで判断してるけど?
MZヘッダーとかPEヘッダーとか聞いたことないか?
判断してなかったのはCP/M由来のcom時代だけだぜ。
適当なファイルを.exeにして実行できるか試せば一目瞭然だと思うのだが。
ウィルスとかマルウェアって正規の実行ファイルなんだから
magicパターンで判断したからって何の効果も無いだろう。
Re: (スコア:0)
セキュリティでいうなら、拡張子で判定することよりも、
拡張子を隠してしまう(それゆえ画像.exeのようなファイルを実行してしまう)最近の風潮が悪いんじゃね
Re: (スコア:0)
一概に拡張子を隠すのが悪いとは言えないんだよ。
Unicodeが標準となってしまった今、RLOを悪用されると Virusfdp.exeというファイル名をVirusexe.pdfなんて形に偽装できるからな。
拡張子を表示しないようにしていた場合、RLOを悪用して拡張子を反転させていたらすぐわかるんだよね。
Re:諸悪の根源 (スコア:1)
セキュリティポリシーを設定してRLOを使用できなくするという対策方法もありますが、Windowsのエディションによっては設定できなかったり、詳しくない人が設定できるかどうかという前提部分で難点がありそうです。
IPA 独立行政法人 情報処理推進機構:コンピュータウイルス・不正アクセスの届出状況[2011年10月分]について [ipa.go.jp]
>【iii】RLOを悪用するウイルスへの対策
Re: (スコア:0)
インターネットから落としてきた怪しげなファイルをダブルクリックしちゃうような人はどっちでも同じ。
それで何かおかしいと気づける人は拡張子が見えていた方がいい。
Re: (スコア:0)
CP/MじゃなくてDOSが悪いんですか?
テキストファイルなんだから (スコア:0)
デフォルトでメモ帳で開くようにしておけば一般の方への影響は遮断できるよね。
逸般人の方々はそれぞれ好みのエディタに関連付けしてあるだろうから、そもそも影響ない。
#.jsのデフォルトの関連付けって今どうなってるの?
Re: (スコア:0)
今も昔もwscript.exeではないですかね。
Re: (スコア:0)
よく考えたら.jsをスクリプトとして直接実行しなきゃならない人ってほとんど居ないのに(普通はブラウザでしか使わない)何故デフォルトそっちなのかね。
使う人だけ使えるようにすりゃあ解決するのに。
Re: (スコア:0)
バッチファイル(.bat)をやめたかったから。