愛車:マツダアテンザ
Webを中心とした、ビジネス&テクノロジーに関する思いつき
by F-shin
[ このサイトについて ] [ F-shinについて ] [ トップ ]
iPhoneアプリ

他人に教えたくないようなお店も安心して記録しておけるアプリ
”ShopCard.me”
author:えふしん
photo_20.jpg
藤川真一について

初代モバツイ開発者
想創社再創業 / KMD博士課程
著書〜100万人から教わったウェブサービスの極意―「モバツイ」開発1268日の知恵と視点 [Kindle版]
お求めやすい夏休み特価!
このカテゴリ[Web系]の最新30件
本ブログは移転しました インターネットの遊び方を身につけよう ネットでの選挙活動と投票率 Web2.0がうまくいかなかったワケ WebにおけるMVCアーキテクチャの勃興と変遷 何故、PCはブラウザ、スマホはアプリなのか。 言っとくけどスマホは退化でもあるからな。 アイコン5000円とか、Web受注(発注)価格について。 残念なWeb論の骨子 HTMLってホントよく出来てるな。 「やまもといちろう×イケダハヤト対談イベント」のログを読んで ネットサービスの成功者は「とりあえず受託」という言葉使うのやめません? 全収集型RSSリーダーの終焉とソーシャル化するWeb 頑張ると報われるプログラマーの社会とは。 Perlが○○な話 アメリカ製品のすごさと不思議とワイヤフレーム どの人件費を考えても絶対にお得!利用規約ナイトがきっかけの本が出ます。 クラウドやモバイルを、もっと仕事で活用したいけど、どうやって会社を説得したら良いかわからない! スマホアプリらしいUXとは。 インターネットの変化に対して起こるモヤモヤすることを考え、整理する活動 Facebookは見なくてもいい情報が出てくるSNS 「あなたは影響力があるから、そんなことを言っちゃいけません」の問題点 Facebookに時間を取られすぎる対策 Paypalの本人確認がむかつく件 ネット系イベントがとても主催しやすくなった件 モバイルファーストが失敗なハズはないが、今はまだ時期尚早 やりがいはソートできない…非情なデータベース社会 2012年までのふりかえりと2013年へ ブラウザという平面の限界 ブログ記事の流通の難しさ
[このカテゴリをもっと見る]
Syndicate this site (XML)
Powered by
Movable Type

March 20, 2004

MSのセキュリティ不具合に対する安易な対策[Web系]
スポンサーリンク

IEのURLで、ステータスバーに表示するURLが偽装できてしまうという話が今年の頭に話題になっていた。

http://うそつきURL%00%00@こっちにとばしたいURL/というものだ。

対策として、そういうURL記述ではリンクできないようにするという修正が出ている。

しかし、そもそもこの記述法は、Basic認証などのID/パスワードをURLで入力するための

http://id:password@URL

という記述のために存在する仕様。つまり、この記述でIDとパスワードを記述しておけば、認証ダイアログで聞かれることなく一発でアクセス可能であるというものだ。

しかし、そこでのヌル文字の処理がテキトーで、今回の不具合を起こしたというもので、本来は機能は残したまま表示を直すべきなのが筋なのだが、結局のところ、その修正範囲は膨大なものになるからなのか、この記述法そのものを無効にするという簡単な方での対策になった。

この仕様退化で、とばっちりを受けたのは、一応、Basic認証はかけておきたいが、まぁある人達にはアクセシブルにしておきたいかなケースで、あるイントラページからは、http://id:password@urlというリンクを貼っていたりする場合。

結局、この場合、Basic認証をはずす方向に話が進むのでセキュリティ的には退化である。

重要なのは、ITリテラシーというか、基本的にID/パスワードがあるものは使うのが面倒になるという根本的な部分への対応を行うために、Basic認証が使えなくなったこと。セキュリティの本質からすると論外かもしれないが、それが現実の運用というもの。これが甘いといわれても、相手にとっては別にどうでもいいが、こちらには必要なシステムに目を通してもらいたいケースなどで、Basic認証の壁を作るのは得策ではないなどの曖昧なケースは必ず存在する。

セキュリティの度合いがさほど高くないが、一応、ブロックしておきたいというニーズに対しては、この安易な修正は、大変迷惑といわざるを得ない。とっとと直してくれ。いつも使うURLに1クリックでアクセスできなくてウザイんで。

ひょっとしたら社内システムなどで、情報ポータルからアクセス連携するコンテンツサーバによってはカスタマイズの範疇で、この仕様で接続させるようなシステムもあったんじゃないでしょうかね。あー可愛そう。

あと、もう一つOutlook Expressの添付ファイルを自動削除扱いにするポリシーというのがあって、新しいOutlook Expressで、とあるファイル拡張子の添付ファイルは開けなくなっているというものがある。

自社でソフトを開発したアプリのデータを添付ファイルで送ったら、OEでファイル削除扱いで、ローカルにも落とせないことが判明し、こういうポリシーを始めて知った。OEは普段使わないのでテストで試して発覚した。

Webで探すと、IEのUnsafeファイルリストに登録してるファイルは、OEで開くことができなくすることができるというものだ。ふふーん、なるほどレジストリにでも設定一覧が書かれてるのかな?と思って、そのUnsafeリストとやらのありかを調べようと思ったら、新しい拡張子をこのリストに追加するには、ウインドウズのファイルの関連付けのところに「ダウンロード後に常に開くように設定する」という機能にチェックが入ってると、この添付ファイルは無効になるのだそうだ。

QA [Outlook Express 6] Internet Explorer の [Unsafe File] の一覧にある添付ファイルを、受信しないようにブロックするには

これはインストーラーを作るときに設定したりするものなので、知らずにその属性を付加するとOEでは開けないというマヌケな事態に陥る。うーん、現象の対策がテキトーすぎでは?IEとかOEに対話式のUIつけて別途リスト管理するのが正しいんじゃないでしょうか?今は、OSの機能で「開くように設定」すると、それとは無関係なハズのメーラーの添付ファイルが「開けなくなる」わけですね。

世の中、Zipファイルなどが開けない設定になっちゃってる人もいるらしく、そういう人はZipファイルの拡張子をリネームして送ったりしてるそうだ。ひょっとしてアーカイブツールの設定で、とばっちりを受けてしまったのだろうか。MSの対策は確かにOEとしては問題を回避しているが、ユーザーのニーズにはまったくあってないし、さもすれば別のヘリクツを誘発しかねないような対策に過ぎない。拡張子が変更されたZipファイルやExeファイルが送られてきたら、この人は実行してしまうかもしれない。

ちなみに、この問題のきっかけになったソフトでは、この対策を回避するように直して、ちゃんと「添付ファイルをクリックすると実行する」ようになりました。はい。

確かにMSのセキュリティに対する反応自体は早くなった。
しかし、その対策は思った以上にアバウトな印象がある。修正後の動きはMSっぽくない。やはりセキュリティ対策は、あくまで余計なコストとして考えられている感が否めない。スピードを求められるから仕方ないと言われてしまえばビジネスとしては同意するが、ユーザーとしてはありがたくない。今のXPというのは、思っていた以上に虫食いだらけのソフトウエアに成り下がってるのかもしれないな。

OEを試して初めて知ったんですが、OE使ってると、XPのログイン画面のユーザー選択のところで、その人の未読メール数が出るんですね。すげーなーと思いつつ、余計だとも思ったりして。

MSアプリの良いところはOSの機能に密接に繋がっていて高機能なところ。弱点はOSの機能に密接に繋がっていて不具合の影響が大きすぎること。

スポンサーリンク
■同じカテゴリ[Web系]のエントリー
<<前の記事 Orkutの目指すものって?
>>次の記事 RIAは正しき知識とアイディアなり

End Of 「MSのセキュリティ不具合に対する安易な対策」
■このblogの書き込み最新3件
本ブログは移転しました インターネットの遊び方を身につけよう トトロが陽なら、『風立ちぬ』は陰?〜『風立ちぬ』の感想