F's Garage @fshin2000 ：MSのセキュリティ不具合に対する安易な対策

author：えふしん

藤川真一について

モバツイの中の人
マインドスコープ（株）社長
人の良いジョンカビラと言われます。
Follow @fshin2000

AMN sponsor rolls

モバツイの２つのスマートフォン

アンドロイドアプリ！

全てのスマートフォンブラウザと、Nintendo3DSで！

本を書きました！

100万人から教わったウェブサービスの極意　~「モバツイ」開発1268日の知恵と視点

Google Friend Connect

このカテゴリ[Web系]の最新30件

インターネットの可能性を信じて〜本を書きました。ネットショップに２０万円は高いという感覚は割と普通の感覚だと思う。ソーシャルメディアの生かし方インターネットは芸術だ ECサイトはGoolge検索エンジンのプラットフォームに乗ってることを自覚せよ Ubuntu 8.0.4でTwitter apiのSSL通信ができなくなった人向けのメモインターネットを支える仮想共同体 twitterとfacebookのレイヤーは違う文脈が共有できていないフロー型コミュニケーションの問題点身も蓋もなくなるインターネットフェイスブックページっで起きるかなぁ？！って思ってること。非公式RTじゃないとできないこと。公式RTが目指したもの。ツイッターのつぶやき価値ネットコミュニケーションは万人の手段ではない AWS東京リージョンとtwitter apiの関係 Facebookがインターネットになると困るデジタルネイティブではない３０代のつぶやきネチケットとアーキテクチャという法律のあいだに。相撲の八百長問題に見られる、ITによるフローのストックという構図 Webエンジニアスキルの勘所ツイッター面白いね WebSig一日学校で考えてたことソーシャルメディアについてのメモ User Streamの先にあるtwitter Web Creation Awardsにノミネートされました。携帯Webのクッキー利用について調べてみたメモ【update】 twitterドラマと今後のツイッターデジハリの杉山学長賞をいただきました。日経電子版を流行らせる一つの思いつき商品の良さとリンクは、１４０文字で伝えなさい
[このカテゴリをもっと見る]

Syndicate this site (XML)

マインドスコープ

March 20, 2004

MSのセキュリティ不具合に対する安易な対策[Web系]

IEのURLで、ステータスバーに表示するURLが偽装できてしまうという話が今年の頭に話題になっていた。

http://うそつきURL%00%00@こっちにとばしたいURL/というものだ。

対策として、そういうURL記述ではリンクできないようにするという修正が出ている。

しかし、そもそもこの記述法は、Basic認証などのID／パスワードをURLで入力するための

http://id:password@URL

という記述のために存在する仕様。つまり、この記述でIDとパスワードを記述しておけば、認証ダイアログで聞かれることなく一発でアクセス可能であるというものだ。

しかし、そこでのヌル文字の処理がテキトーで、今回の不具合を起こしたというもので、本来は機能は残したまま表示を直すべきなのが筋なのだが、結局のところ、その修正範囲は膨大なものになるからなのか、この記述法そのものを無効にするという簡単な方での対策になった。

この仕様退化で、とばっちりを受けたのは、一応、Basic認証はかけておきたいが、まぁある人達にはアクセシブルにしておきたいかなケースで、あるイントラページからは、http://id:password@urlというリンクを貼っていたりする場合。

結局、この場合、Basic認証をはずす方向に話が進むのでセキュリティ的には退化である。

重要なのは、ITリテラシーというか、基本的にID／パスワードがあるものは使うのが面倒になるという根本的な部分への対応を行うために、Basic認証が使えなくなったこと。セキュリティの本質からすると論外かもしれないが、それが現実の運用というもの。これが甘いといわれても、相手にとっては別にどうでもいいが、こちらには必要なシステムに目を通してもらいたいケースなどで、Basic認証の壁を作るのは得策ではないなどの曖昧なケースは必ず存在する。

セキュリティの度合いがさほど高くないが、一応、ブロックしておきたいというニーズに対しては、この安易な修正は、大変迷惑といわざるを得ない。とっとと直してくれ。いつも使うURLに１クリックでアクセスできなくてウザイんで。

ひょっとしたら社内システムなどで、情報ポータルからアクセス連携するコンテンツサーバによってはカスタマイズの範疇で、この仕様で接続させるようなシステムもあったんじゃないでしょうかね。あー可愛そう。

あと、もう一つOutlook Expressの添付ファイルを自動削除扱いにするポリシーというのがあって、新しいOutlook　Expressで、とあるファイル拡張子の添付ファイルは開けなくなっているというものがある。

自社でソフトを開発したアプリのデータを添付ファイルで送ったら、OEでファイル削除扱いで、ローカルにも落とせないことが判明し、こういうポリシーを始めて知った。OEは普段使わないのでテストで試して発覚した。

Webで探すと、IEのUnsafeファイルリストに登録してるファイルは、OEで開くことができなくすることができるというものだ。ふふーん、なるほどレジストリにでも設定一覧が書かれてるのかな？と思って、そのUnsafeリストとやらのありかを調べようと思ったら、新しい拡張子をこのリストに追加するには、ウインドウズのファイルの関連付けのところに「ダウンロード後に常に開くように設定する」という機能にチェックが入ってると、この添付ファイルは無効になるのだそうだ。

QA [Outlook Express 6] Internet Explorer の [Unsafe File] の一覧にある添付ファイルを、受信しないようにブロックするには

これはインストーラーを作るときに設定したりするものなので、知らずにその属性を付加するとOEでは開けないというマヌケな事態に陥る。うーん、現象の対策がテキトーすぎでは？IEとかOEに対話式のUIつけて別途リスト管理するのが正しいんじゃないでしょうか？今は、OSの機能で「開くように設定」すると、それとは無関係なハズのメーラーの添付ファイルが「開けなくなる」わけですね。

世の中、Zipファイルなどが開けない設定になっちゃってる人もいるらしく、そういう人はZipファイルの拡張子をリネームして送ったりしてるそうだ。ひょっとしてアーカイブツールの設定で、とばっちりを受けてしまったのだろうか。MSの対策は確かにOEとしては問題を回避しているが、ユーザーのニーズにはまったくあってないし、さもすれば別のヘリクツを誘発しかねないような対策に過ぎない。拡張子が変更されたZipファイルやExeファイルが送られてきたら、この人は実行してしまうかもしれない。

ちなみに、この問題のきっかけになったソフトでは、この対策を回避するように直して、ちゃんと「添付ファイルをクリックすると実行する」ようになりました。はい。

確かにMSのセキュリティに対する反応自体は早くなった。
しかし、その対策は思った以上にアバウトな印象がある。修正後の動きはMSっぽくない。やはりセキュリティ対策は、あくまで余計なコストとして考えられている感が否めない。スピードを求められるから仕方ないと言われてしまえばビジネスとしては同意するが、ユーザーとしてはありがたくない。今のXPというのは、思っていた以上に虫食いだらけのソフトウエアに成り下がってるのかもしれないな。

OEを試して初めて知ったんですが、OE使ってると、XPのログイン画面のユーザー選択のところで、その人の未読メール数が出るんですね。すげーなーと思いつつ、余計だとも思ったりして。

MSアプリの良いところはOSの機能に密接に繋がっていて高機能なところ。弱点はOSの機能に密接に繋がっていて不具合の影響が大きすぎること。

■同じカテゴリ[Web系]のエントリー
<<前の記事 Orkutの目指すものって？
>>次の記事 RIAは正しき知識とアイディアなり

End Of 「MSのセキュリティ不具合に対する安易な対策」