2004年11月23日 - Ad-aware SEをインストール
Ad-aware SE、初体験
今更なのだが、もうAd-Aware 6のサポートも終了した事だし、次期バージョンのAd-Aware SEをインストールしてみる。
lavasoftよりダウンロードする。
おや?AD-AWARE 6 STANDARD EDITIONがまだあるのだが。
まさかこれは単純にサイトの更新ミスなのだろうか、それともまだ配布しているのだろうか。
気になったので、これをやってみる事にした
Download.comを開いて・・・ありゃ、「Ad-Aware SE Personal Edition 1.05 」のダウンロードページになったよ。
(やはり更新ミスか)
インストールしたらば、Ad-Aware SE Personalのアイコンができた。いきなり勝手にスキャンが開始されたので、停止してOSを再起動する。
再起動後、Ad-Aware SE Personalをまた起動しアップデートを試みるも、「No updated componets available」の表示だ。
どうやらこれで最新らしい。
なおInstalled definitions file:SE1R19 14.11.2004、Installed core application:1.05 Personalであった。
とりあえずはテストしたいのが人情ではないか
Windows2000にSP4を適用し、再度Ad-aware SEをインストールした。
あまり代わり映えはしないな。
興味深いのは、Default SettingsのDefault IE Pagesと言う項目。ホームページ(つまりはInternet Explorerを開いたらば表示されるサイト)がここに表示されるのは、恐らくはブラウザハイジャッカー対策のためなのだろう。
えーっと。Scan Nowより「Perform full system scan」を選択して実行する。
ってか20秒足らずで終わったんですが、「10 Objects Recognized」、「0 Objects Ignored」、「10 New Critical Objects」との結果だ。
それぞれ「1 Registry Keys Identified」、「8 Registry Values Identified」、「1 Files Identified」であった。
だがいずれもAlexaとTracking Cookies(doubleclickの)である。
それぞれブチブチと潰す。
再度スキャン。
MRU Listなるものが幾つも引っかかる。
えーっと。これって極めてクリーンな環境でのテストなんですが(笑
何ですかこりゃ。後で何なのか調べておこう。
Mさんのコメントにより、MRU Listの謎が解けた。
Most Recently Used Listと書いてあるので、「最近使ったファイル」関係じゃないかと思うのですが。
「Lucablog 2004-11-23 Ad-aware SEをインストールしてみた(http://d.hatena.ne.jp/LucaLuca/20041123)」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-11-23 Ad-aware SEをインストールしてみた(http://d.hatena.ne.jp/LucaLuca/20041123)を修正・加筆し移転したものです。
Posted by Luca at 23:02
│
│
2004年11月15日 - スパムメールの件名から送信者の悲哀を感じる
最近スパムメールとか迷惑メールの件名が罠っぽく、うっとおしい。
「メアド変えました」「覚えてる?」「掲示板見たよ」「ごぶさたですけど!」「アドレス変わりました? 」
こんなの送られたら、どこかで知り合った人からのものと勘違いして開くのだろうか。
このような記事があった。友人知人を装うような悪質なスパムは、いずれ法律の網にかかるようだ。
最近しみじみと感じるのだが。
これらの友人知人を装う悪質なスパムメールは、ひょっとしたらばなのだが、送信した業者の担当者が受け取りたいと希望している内容なのではないかと言う点だ。
つまり考え抜いた件名は、送信者自身の悲しい過去や人生の悲哀を含むような気がする。馬鹿っぽい本文は、何か歪んだ妄想が為せる業なのだろう。
「メアド変えました」「アドレス変わりました? 」、これは以前何度かメールのやりとりをした相手に何度送信しても無視された悲しい経験を持つのだろう。
「覚えてる?」「ごぶさたですけど!」、はるか昔に振られた女からのメールを膝を抱えて待っている日々なのか、寂しすぎるぞ。
「掲示板見たよ」、日頃どこに書き込んでも無視される駄文しか書けない奴なんだろう。
「友達募集!」、誰からも慕われない悲しい日々に対するうっぷんとしか思えない。
「セフレになってください」、あーどっかの風俗にでも行って下さい。
「特定電子メールの送信適正化に関する法律」と「特定商取引に関する法律の改正」以後、スパムに対する規制は一見厳しくなったように思い込んでいたのだが。
これにより件名に「未承諾広告※」と表記し、送信者はその住所と電話番号を書き、そしてスパムの配信停止を要望する方法を明記するよう定められた。
ところが全く件数は減らないのだな。
スパムについて最もわかりやすい解説は、迷惑メールを受け取ったら(JAIPA:日本プロバイダー協会)なのだが。
世の中には配信停止処理をするように推奨するアドバイスを書くサイトも多々あったのだが*1、ここではこのように適切な処置を(つまり放置すべしと)明記している。
情報提供するとしたらば、このような窓口がある。
「迷惑メールに関するご相談、お問合せ、情報提供は、特定電子メール送信適正化業務を行う指定法人である日本データ通信協会において受け付けています」と総務省の迷惑メール対策ページにて書かれているのだ。
特定電子メールの送信適正化に関する法律(財団法人日本データ通信協会)
特定商取引に関する法律に抵触する場合は財団法人日本産業協会になるらしい。
再送信禁止義務違反メールの情報提供について(財団法人日本産業協会)
表示義務違反メールの情報提供について(財団法人日本産業協会)
*1:ここではそのような不適切な処置をユーザーに推奨した幾つかの対策相談サイトの名前は出さないでおくのだが。このような無理解がスパム業者の名簿作成に手を貸してしまい、より多くの被害者を生んだ歴史は知ってもらいたい。下手に配信停止処理を行うと、それは利用中のメールアドレスと判断され、裏での名簿価格は上がり、より一層頻繁にスパムが送信されるようになるのだ。
出会い系スパム中の登場人物と名前
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-11-15 スパムメールの件名に透けて見える、送信者の悲哀(http://d.hatena.ne.jp/LucaLuca/20041115)を修正・加筆し移転したものです。
「メアド変えました」「覚えてる?」「掲示板見たよ」「ごぶさたですけど!」「アドレス変わりました? 」
こんなの送られたら、どこかで知り合った人からのものと勘違いして開くのだろうか。
このような記事があった。友人知人を装うような悪質なスパムは、いずれ法律の網にかかるようだ。
「元気?」と友人を装って送るなど手口が巧妙化している迷惑メールについて、総務省は15日、規制強化の方針を固めた。携帯電話やパソコンなど不特定多数のアドレスに一方的に送信する迷惑メール規制は、現行の特定電子メール法では広告メールだけが対象のため、友人偽装型などのメールを新たに対象に加える。
総務省の「迷惑メールへの対応の在り方に関する研究会」が同日、規制メールの対象拡大などを盛り込んだ規制強化の素案を発表。意見募集した上で来年の通常国会に同法改正案を提出する。
「友人偽装」なども規制へ 迷惑メール巧妙化で法改正(flash24)
最近しみじみと感じるのだが。
これらの友人知人を装う悪質なスパムメールは、ひょっとしたらばなのだが、送信した業者の担当者が受け取りたいと希望している内容なのではないかと言う点だ。
つまり考え抜いた件名は、送信者自身の悲しい過去や人生の悲哀を含むような気がする。馬鹿っぽい本文は、何か歪んだ妄想が為せる業なのだろう。
「メアド変えました」「アドレス変わりました? 」、これは以前何度かメールのやりとりをした相手に何度送信しても無視された悲しい経験を持つのだろう。
「覚えてる?」「ごぶさたですけど!」、はるか昔に振られた女からのメールを膝を抱えて待っている日々なのか、寂しすぎるぞ。
「掲示板見たよ」、日頃どこに書き込んでも無視される駄文しか書けない奴なんだろう。
「友達募集!」、誰からも慕われない悲しい日々に対するうっぷんとしか思えない。
「セフレになってください」、あーどっかの風俗にでも行って下さい。
スパムと法の規制
「特定電子メールの送信適正化に関する法律」と「特定商取引に関する法律の改正」以後、スパムに対する規制は一見厳しくなったように思い込んでいたのだが。
これにより件名に「未承諾広告※」と表記し、送信者はその住所と電話番号を書き、そしてスパムの配信停止を要望する方法を明記するよう定められた。
ところが全く件数は減らないのだな。
スパムについて最もわかりやすい解説は、迷惑メールを受け取ったら(JAIPA:日本プロバイダー協会)なのだが。
世の中には配信停止処理をするように推奨するアドバイスを書くサイトも多々あったのだが*1、ここではこのように適切な処置を(つまり放置すべしと)明記している。
返信することは得策ではありません。あなたのメールアドレスが有効であることを悪質業者に教えてしまうことになる可能性があります。
「違法ではないが迷惑なメールを受け取ったら(JAIPA)
情報提供するとしたらば、このような窓口がある。
「迷惑メールに関するご相談、お問合せ、情報提供は、特定電子メール送信適正化業務を行う指定法人である日本データ通信協会において受け付けています」と総務省の迷惑メール対策ページにて書かれているのだ。
特定電子メールの送信適正化に関する法律(財団法人日本データ通信協会)
特定商取引に関する法律に抵触する場合は財団法人日本産業協会になるらしい。
再送信禁止義務違反メールの情報提供について(財団法人日本産業協会)
表示義務違反メールの情報提供について(財団法人日本産業協会)
*1:ここではそのような不適切な処置をユーザーに推奨した幾つかの対策相談サイトの名前は出さないでおくのだが。このような無理解がスパム業者の名簿作成に手を貸してしまい、より多くの被害者を生んだ歴史は知ってもらいたい。下手に配信停止処理を行うと、それは利用中のメールアドレスと判断され、裏での名簿価格は上がり、より一層頻繁にスパムが送信されるようになるのだ。
関連記事
出会い系スパム中の登場人物と名前
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-11-15 スパムメールの件名に透けて見える、送信者の悲哀(http://d.hatena.ne.jp/LucaLuca/20041115)を修正・加筆し移転したものです。
Posted by Luca at 22:52
│
│
2004年11月13日 - 盗用した卒論がネット上に公開されているんだが
大学の卒業論文は大学在学中の集大成であり、それは学生個人の業績として評価されるものである。最近ではこれをネット上に成果発表の形で公表している大学・研究室も散見される。専門学校の卒業研究(場所により呼び名は異なる)などもそうだ。
以前から気になってたんだけど、最近調べ物をやってる過程で改めて認識した話がある。
どこかのメーカーや団体のサイトの文書を盗用して卒論に仕立て上げている例が、多数存在するのだ。
このような公の性質が高い文書中に他人の文書を引用の事実も記載せずに盗用すれば、ネット上に公開されて第三者の目に晒され発見されるとは予期できなかったんだろうか。
これらは個人の汚点の証拠として永久に残るのにも関わらず、だ。
(この場合の盗用とは単語の解釈などの知見を参考にする程度ではなく、引用の事実を記載せずに、いずこからかの文書を数行から数十行、数百行にわたってそのまま丸写しして記載しているような悪質なものを指す)
具体的にどこの大学のどの研究室のどれがとは、この場では指摘しないでおくが。
(そこまで鬼ではないし、それにここで晒すよりは関係者に通報する方がよりスマートだ)
ウイルスやマルウェア関連の内容を含む卒論で、このような盗用を多数発見できるであろう。
しかもだな、所属する大学・学部・研究室・氏名・学年などとセットで公開されているので、一瞬でこのような卒論を書いた学生の身元を特定できてしまう。
まずはこの辺を見てもらいたい。
Symantec Security Responseのreference area
http://www.symantec.com/region/jp/avcenter/index.html
Trend Microのウイルス対策基礎知識 - 用語集
http://www.trendmicro.com/jp/security/general/glossary/overview.htm
IPAのコンピュータウイルス用語集
http://www.ipa.go.jp/security/virus/beginner/dic/dic_top.html
McAFEEのウイルス用語集
http://www.mcafeesecurity.com/japan/security/glossary.asp
検索するコツとしては。
じっくり調べればかなりの数の盗用を含む卒論が見つかり、その実体に驚くであろう。
タチが悪い一例として、複数の企業・団体の文書を、卒論中の文書全体の少なくとも20から30%は盗用しそのまま丸写しして利用しているものもあった。
こんな奴にセキュリティがうんぬんとか、ユーザーの倫理がなんて言われたくないような。
知人から最近面白い話を教わったんで紹介する。
どこかのメーカーの技術情報に含まれる単語やフレーズなどをGoogleで検索すると、それを転載した個人サイトが上位表示される例がある。
そのうちの何割かは、引用元を明らかにしていない。
厳密に考えれば盗用なんだが、他愛の無いものが多いし個人レベルなんで、それは著作権に対する理解不足や「引用元をたまたま書き忘れた」と言う事で許されるかもしれず。
しかし教えてもらった中には、法的に危険なのではと思われるレベルのものが幾つかあった。
紹介された例として、一字一句メーカーのページと同一だったり、何行にも渡って引用しつつ助詞や言い回しを変えただけの確信犯なものもあった。
これっていいのかな・・・・・・
具体的にはどこかの業者の公的サイトのユーザー向けページとか。ニュース系ポータル、どこかの団体の何とか対策情報とか。
また雑誌や有名なサイトで何度か名前を目にする、誰でも知ってる有名人が書いた記事の「引用元」も教えてもらった。
それも一人や二人ではない。
それらとは逆に、ネット上で極めて知名度が高い個人サイトの内容を、某ニュースポータルの特集記事が丸ごと書き写している例もあった。
(逆恨みでもされたら嫌だし、教えてくれた知人に了解を得ていないんで、この場では具体的には紹介しないでおく)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-11-13 盗用を含む卒論がネット上に公開されているんだが(http://d.hatena.ne.jp/LucaLuca/20041113)、Lucablog 2005-01-16 GoogleでのPhrase searchの凄さ(http://d.hatena.ne.jp/LucaLuca/20050116)を修正・加筆し移転したものです。
以前から気になってたんだけど、最近調べ物をやってる過程で改めて認識した話がある。
どこかのメーカーや団体のサイトの文書を盗用して卒論に仕立て上げている例が、多数存在するのだ。
このような公の性質が高い文書中に他人の文書を引用の事実も記載せずに盗用すれば、ネット上に公開されて第三者の目に晒され発見されるとは予期できなかったんだろうか。
これらは個人の汚点の証拠として永久に残るのにも関わらず、だ。
(この場合の盗用とは単語の解釈などの知見を参考にする程度ではなく、引用の事実を記載せずに、いずこからかの文書を数行から数十行、数百行にわたってそのまま丸写しして記載しているような悪質なものを指す)
具体的にどこの大学のどの研究室のどれがとは、この場では指摘しないでおくが。
(そこまで鬼ではないし、それにここで晒すよりは関係者に通報する方がよりスマートだ)
ウイルスやマルウェア関連の内容を含む卒論で、このような盗用を多数発見できるであろう。
しかもだな、所属する大学・学部・研究室・氏名・学年などとセットで公開されているので、一瞬でこのような卒論を書いた学生の身元を特定できてしまう。
まずはこの辺を見てもらいたい。
Symantec Security Responseのreference area
http://www.symantec.com/region/jp/avcenter/index.html
Trend Microのウイルス対策基礎知識 - 用語集
http://www.trendmicro.com/jp/security/general/glossary/overview.htm
IPAのコンピュータウイルス用語集
http://www.ipa.go.jp/security/virus/beginner/dic/dic_top.html
McAFEEのウイルス用語集
http://www.mcafeesecurity.com/japan/security/glossary.asp
検索するコツとしては。
- 知名度が低い(検索結果表示数が少ない)単語を狙って検索する。メーカー独自の用語が望ましい。
- Googleで個別の単語のみではなく、幾つかの複数の単語を含むフレーズを丸ごと検索する。つまりは上記で記載したサイトの文書に含まれる文章、「XXXはXXXXでXXなXXXXXである」などで検索してもらいたい。
じっくり調べればかなりの数の盗用を含む卒論が見つかり、その実体に驚くであろう。
タチが悪い一例として、複数の企業・団体の文書を、卒論中の文書全体の少なくとも20から30%は盗用しそのまま丸写しして利用しているものもあった。
こんな奴にセキュリティがうんぬんとか、ユーザーの倫理がなんて言われたくないような。
盗用問題は、個人レベルに留まらない
知人から最近面白い話を教わったんで紹介する。
どこかのメーカーの技術情報に含まれる単語やフレーズなどをGoogleで検索すると、それを転載した個人サイトが上位表示される例がある。
そのうちの何割かは、引用元を明らかにしていない。
厳密に考えれば盗用なんだが、他愛の無いものが多いし個人レベルなんで、それは著作権に対する理解不足や「引用元をたまたま書き忘れた」と言う事で許されるかもしれず。
しかし教えてもらった中には、法的に危険なのではと思われるレベルのものが幾つかあった。
紹介された例として、一字一句メーカーのページと同一だったり、何行にも渡って引用しつつ助詞や言い回しを変えただけの確信犯なものもあった。
これっていいのかな・・・・・・
具体的にはどこかの業者の公的サイトのユーザー向けページとか。ニュース系ポータル、どこかの団体の何とか対策情報とか。
また雑誌や有名なサイトで何度か名前を目にする、誰でも知ってる有名人が書いた記事の「引用元」も教えてもらった。
それも一人や二人ではない。
それらとは逆に、ネット上で極めて知名度が高い個人サイトの内容を、某ニュースポータルの特集記事が丸ごと書き写している例もあった。
(逆恨みでもされたら嫌だし、教えてくれた知人に了解を得ていないんで、この場では具体的には紹介しないでおく)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-11-13 盗用を含む卒論がネット上に公開されているんだが(http://d.hatena.ne.jp/LucaLuca/20041113)、Lucablog 2005-01-16 GoogleでのPhrase searchの凄さ(http://d.hatena.ne.jp/LucaLuca/20050116)を修正・加筆し移転したものです。
Posted by Luca at 22:41
│
│
2004年11月12日 - Apple社、オンラインストアでの評価操作
オンラインショッピングにおいては、実際に商品を手にし眺め評価できないため、購入にあたっての判断は大変難しいものである。
日本語版のオンラインストアは、これなんだけど。このような評価はあったかなぁ、見覚えが無い(忘れているだけなら、すまないんだが)。
The Apple Store (Japan)
俎上に上げられてる英語版は、これ。
The Apple Store (U.S.)
現時点では「Customer rating」しか表示されていないが、以前は5-Appleなる項目があったのだ。
アップルの「五つ星」が消えた--オンラインストアでの自社製品評価を中止(CMET Japan)
製品に対する評価は様々な視点から得られるものなんだろうが。
一例としてダウンロードサイトの、ソフトウェアについてのユーザーの評価が書かれているCNET-Downloadを見てみよう。
Downloads - CNETAsia
ここでは有名なソフトウェアであっても、ユーザーからの忌憚の無い意見でバッサリと評価されている。 このような中立的な評価は、導入にあたっての判断基準としては一定の価値がある。
(もちろん悪意があるユーザーやメーカー側の自作自演の可能性はつきまとう)
例としてある有名なスパイウェア対策ソフトは、ワールドワイドで利用されている最もメジャーなものであるのだが、これで解決できなかったユーザーからマイナス評価を受けて評価のレベルはプラスマイナスゼロ程度である。
(つまりは、異常なほどポジティブな評価を受けているマルウェア対策製品は、その点で既にいかがわしいのだ)
評価の形での製作者へのフィードバックは、メーカーへの改善要求の形でより良い製品作りのために叱咤激励となるであろう。
ちなみにある悪質なインチキっぽいセキュリティソフトの評価をCNET-Downloadで見たところ、あまりにも評価が駄目駄目であった。
少しは自作自演で盛り上げてもらいたかったのだが、そこまでは気が回らなかったのだろう。
今回のApple社の問題は、メーカーのおすすめ!と、ユーザーの評価を混同させ誤解させた点で不適切なものであった。
これはユーザーの購買行動における判断基準を不当に操作したものだと書くブログも海外にはあるようだが。
Apple社のコメントがあまりにもユーザーを馬鹿にしたものであった点はどうかとは思われるものの、シャレをそこまで本気に叩かなくてもいいのになぁ、的感覚である。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-11-12 MacのApple社、オンラインストアでの評価操作(http://d.hatena.ne.jp/LucaLuca/20041112)を修正・加筆し移転したものです。
Appleは同社のオンラインストアで、ユーザーがMacやiPod用として各社から出ている製品について自分の評価を載せられるようにしたが、しかし同社の製品には自動的に最高ランクの「5-Apple」(5つ星)が付くようにしている。
これについて、同社はFAQページで次のように説明している。
「Appleの全製品に『5 Apples』を与えるのは、これらが素晴らしい製品だと考えるからです。それに、リンゴが1つでも足りなかったら製品を信頼していただけないと思います」。なお、後半の一文は4日午後に削除されてしまった。
アップル、自画自賛の「5つ星」--オンラインストアで顧客評価を掲載(CNET Japan)
日本語版のオンラインストアは、これなんだけど。このような評価はあったかなぁ、見覚えが無い(忘れているだけなら、すまないんだが)。
The Apple Store (Japan)
俎上に上げられてる英語版は、これ。
The Apple Store (U.S.)
現時点では「Customer rating」しか表示されていないが、以前は5-Appleなる項目があったのだ。
アップルの「五つ星」が消えた--オンラインストアでの自社製品評価を中止(CMET Japan)
製品に対する評価は様々な視点から得られるものなんだろうが。
一例としてダウンロードサイトの、ソフトウェアについてのユーザーの評価が書かれているCNET-Downloadを見てみよう。
Downloads - CNETAsia
ここでは有名なソフトウェアであっても、ユーザーからの忌憚の無い意見でバッサリと評価されている。 このような中立的な評価は、導入にあたっての判断基準としては一定の価値がある。
(もちろん悪意があるユーザーやメーカー側の自作自演の可能性はつきまとう)
例としてある有名なスパイウェア対策ソフトは、ワールドワイドで利用されている最もメジャーなものであるのだが、これで解決できなかったユーザーからマイナス評価を受けて評価のレベルはプラスマイナスゼロ程度である。
(つまりは、異常なほどポジティブな評価を受けているマルウェア対策製品は、その点で既にいかがわしいのだ)
評価の形での製作者へのフィードバックは、メーカーへの改善要求の形でより良い製品作りのために叱咤激励となるであろう。
ちなみにある悪質なインチキっぽいセキュリティソフトの評価をCNET-Downloadで見たところ、あまりにも評価が駄目駄目であった。
少しは自作自演で盛り上げてもらいたかったのだが、そこまでは気が回らなかったのだろう。
今回のApple社の問題は、メーカーのおすすめ!と、ユーザーの評価を混同させ誤解させた点で不適切なものであった。
これはユーザーの購買行動における判断基準を不当に操作したものだと書くブログも海外にはあるようだが。
Apple社のコメントがあまりにもユーザーを馬鹿にしたものであった点はどうかとは思われるものの、シャレをそこまで本気に叩かなくてもいいのになぁ、的感覚である。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-11-12 MacのApple社、オンラインストアでの評価操作(http://d.hatena.ne.jp/LucaLuca/20041112)を修正・加筆し移転したものです。
Posted by Luca at 22:35
│
│
2004年11月10日 - Internet Explorerの旧バージョンは切り捨てなのか
WindowsXP SP2インストール時にアップデートされるInternet Explore SP2と、その他のサポート期間がまだ終わっていないIEブラウザとの違いはやはり大きすぎる。
XP SP2用IESP2では各種の脆弱性の影響を最初から受けないのにも関わらず、まだサポートが終了していない他の旧バージョンでは事後の対応しか望めない点で放置されているも同然なのだ。Microsoftは旧製品のセキュリティ対策はそれほど熱心ではないらしい。
(脆弱性は公表され悪用される前にメーカーが対応するのが望ましい)
また幾つかのブラクラ(ブラウザクラッシャー)に対して、XP SP2用IESP2は耐性を持っている。例としてポップアップのブロックなどだ。
これから先はブラクラを知らない世代が増えるのだろう。
よく使われるブラクラ(ブラウザクラッシャー)へ誘導する手口の一つを紹介する。
htmlファイルを作成後にその拡張子(エクステンション)をjpgやgifに変換してWebサーバー上にアップする手法である。
このファイルへのURLはjpgやgif画像であり、一見危険は無いと誤解するやもしれないが、Internet Explorerの旧バージョンはこれをhtmlファイルとして解釈して開いてしまう。
(もちろんInternet Explorer SP2はこれを回避しプレーンテキストとして開く*1)
今回はただ単に他のサイトへ転送するだけだが、主な使い道は危険なスクリプトを含むhtmlファイルを安心して開かせる目的で利用される。
このようなhtmlファイルの拡張子をgifにしてアップする。
http://www.geocities.jp/luca_lucanian/fakegif.gif
ジオの仕様のため外部から開けないので、そこでとりあえず http://www.geocities.jp/luca_lucanian/を開き、fakegif.gifを押してもらいたい。
Internet Explorer6 SP2以外ではリフレッシュタグにてGoogleに転送されるが、IE6SP2ではプレーンテキストとして扱われる。
IEの旧バージョンでも対応してもらえるとうれしいんだが。
<HTML>
<HEAD>
<META http-equiv="refresh" content="5;url=http://www.google.co.jp">
<TITLE></TITLE>
</HEAD>
<BODY>
<P>実はhtml</P>
</BODY>
</HTML>
テスト用としてWindows2000をインストールしSP4適用後、Windows Updateより「Microsoft Internet Explorer 6 Service Pack 1」と「Windows 2000 用セキュリティ更新プログラム (KB840987)」を除きその他全てをインストールして利用する。
(後者はインストール後に、起動時に不具合が起きる可能性が高いから適用しなかった)
このパソコンではInternet Explorerはバージョン: 5.00.3700.1000であった。またセキュリティの項目は「高」に設定した。
(なおIEのこのバージョンでは「その他」-「ページの自動読み込み」の項目は無い)
この環境ではhttp://www.geocities.jp/luca_lucanian/を開きfakegif.gifのリンクを開けば、自動的に5秒後にこの日記に転送されてしまう。
上記の構成のパソコンでWindows UpdateよりInternet Explorerを導入。再起動後、再度Windows Updateより最新の状態にした。
(Windows 2000 用セキュリティ更新プログラム (KB840987)はインストールしなかった)
この時点ではVersion: 6.0.2800.1106、更新バージョン: SP1; Q823353である。
IEのプロパティのセキュリティより、規定のレベルから「高」を選択し、レベルのカスタマイズより「ページの自動読み込み」を無効から有効に切り替えた。
これでもやはり、http://www.geocities.jp/luca_lucanian/を開きfakegif.gifのリンクを開けば、自動的に5秒後にこの日記に転送されてしまう。
Windows 2000 SP4はInternet Explorer 6 SP1を使うしかないのか・・・
テストに用いたのはバージョンは6.0.2900.2180xpsp_sp2_rtmである。
セキュリティ設定の「その他」-「ページの自動読み込み」は有効にしてある。
テスト用URLを開くと、htmlではなくプレーンテキスト(plain text)として解釈され、リフレッシュタグによる転送は行われない。
なおセキュリティ設定より「拡張子ではなく、内容によってファイルを開くこと」を有効にすれば、IE6SP2であってもリフレッシュタグにより転送されてしまう。つまりhtmlファイルとして認識される。
(これを適切な用語で表記するとしたらば、Content-Type Spoofingでいいのかな?それともFile Type Spoofingなのか)
なお関連するレジストリは、これ。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
ここのDWORD値はIEのインターネットゾーンの設定を反映する。
2100=dword:00000003で無効になり、2100=dword:00000000で有効になる。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\]以下のハイブも関係があるかと思い込んでたんだが、FeautureControlを丸ごと削除したものの、結果として何も変わりが無い。時間を見つけてもう少しやってみる予定。
URIを開くと壊れた画像ファイルとして扱われた。
これが一番いいような気もする、無理に怪しいgifをhtmlとして解釈して開く事もなかろうに。
今回紹介したInternet Explorerでの各バージョンでの違いは、あくまでも騙しURLを踏ませた後にどうなるかと言った問題である。
今回はリフレッシュタグによる転送に留めたが、実際には悪質なブラクラや危険なスクリプトなどを含むページを踏ませるために多用されている。
Windows XPをSP2にバージョンアップすればIE SP2が手に入るのだが、これは従来のIE以上に様々な機能の更新が含まれる。
Web サイト構築における Microsoft Windows XP Service Pack 2 (SP2) への対応について(Microsoft)
Windows XP Service Pack 2 への対応に向けた Web サイトの最適化(Microsoft)
Windows XP SP2で、IEのセキュリティはどう変わる?(ITmedia)
最も読んでもらいたいのは、これ。
「"Windows XP Service Pack 2 セキュリティ強化機能搭載" での機能の変更点 第 5 部 : ブラウズのセキュリティ強化(Microsoft)(http://www.microsoft.com/japan/technet/prodtechnol/winxppro/maintain/sp2brows.mspx)」
「MIME スニッフィング用のゾーンの設定」と「Internet Explorer の MIME 処理推進」の項目だ。
従来のIEはそれっぽいものであれば無理矢理レンダリングしてファイルを開いたのだが、IE SP2ではファイルの処理に当たってより慎重な対応をとっている。
IE SP2での仕様変更における拡張子とContent-TypeがおかしいURLの取り扱いについて、大変わかりやすいサイトを見つけたので紹介しておく。
「「XP SP2 は強力かも」に対するコメント(http://altba.com/bakera/hatomaru.aspx/ebi/topic/1310/comment)」
マイクロソフトは古い製品のサポートは順次終了していく。
今回テストしたInternet Explorer 5.01 SP4(Windows 2000 Professional SP4用)、そしてInternet Explorer 5.5 SP2(Windows Millennium用)はまだサポートは終了していない。
(Me用のIE SP2は「セキュリティ更新プログラムのみサポート」と説明されているが)
11月6日の日記に書いた通り、将来起こりうる「可能性」についての対応は、この2つではあまりにも現状は物足りないのだ。
Windows 2000 SP4ユーザーにとっては、XP SP2用IESP2にて行われている各種の対策は、裏でひっそりと取り残されたような違和感を感じるのだ。
それは前回の日記で紹介した各種の罠やExploitが、XP SP2用IESP2では実は既に無効なものだった点でより確信できるものとなった。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-11-10 IEの旧バージョンは切り捨てなのか(http://d.hatena.ne.jp/LucaLuca/20041110)を修正・加筆し移転したものです。
XP SP2用IESP2では各種の脆弱性の影響を最初から受けないのにも関わらず、まだサポートが終了していない他の旧バージョンでは事後の対応しか望めない点で放置されているも同然なのだ。Microsoftは旧製品のセキュリティ対策はそれほど熱心ではないらしい。
(脆弱性は公表され悪用される前にメーカーが対応するのが望ましい)
また幾つかのブラクラ(ブラウザクラッシャー)に対して、XP SP2用IESP2は耐性を持っている。例としてポップアップのブロックなどだ。
これから先はブラクラを知らない世代が増えるのだろう。
URIは画像ファイルなのにhtmlファイルな罠
よく使われるブラクラ(ブラウザクラッシャー)へ誘導する手口の一つを紹介する。
htmlファイルを作成後にその拡張子(エクステンション)をjpgやgifに変換してWebサーバー上にアップする手法である。
このファイルへのURLはjpgやgif画像であり、一見危険は無いと誤解するやもしれないが、Internet Explorerの旧バージョンはこれをhtmlファイルとして解釈して開いてしまう。
(もちろんInternet Explorer SP2はこれを回避しプレーンテキストとして開く*1)
今回はただ単に他のサイトへ転送するだけだが、主な使い道は危険なスクリプトを含むhtmlファイルを安心して開かせる目的で利用される。
このようなhtmlファイルの拡張子をgifにしてアップする。
http://www.geocities.jp/luca_lucanian/fakegif.gif
ジオの仕様のため外部から開けないので、そこでとりあえず http://www.geocities.jp/luca_lucanian/を開き、fakegif.gifを押してもらいたい。
Internet Explorer6 SP2以外ではリフレッシュタグにてGoogleに転送されるが、IE6SP2ではプレーンテキストとして扱われる。
IEの旧バージョンでも対応してもらえるとうれしいんだが。
<HTML>
<HEAD>
<META http-equiv="refresh" content="5;url=http://www.google.co.jp">
<TITLE></TITLE>
</HEAD>
<BODY>
<P>実はhtml</P>
</BODY>
</HTML>
テスト結果
Internet Explorer 5.01 SP4(Windows2000 SP4)
テスト用としてWindows2000をインストールしSP4適用後、Windows Updateより「Microsoft Internet Explorer 6 Service Pack 1」と「Windows 2000 用セキュリティ更新プログラム (KB840987)」を除きその他全てをインストールして利用する。
(後者はインストール後に、起動時に不具合が起きる可能性が高いから適用しなかった)
このパソコンではInternet Explorerはバージョン: 5.00.3700.1000であった。またセキュリティの項目は「高」に設定した。
(なおIEのこのバージョンでは「その他」-「ページの自動読み込み」の項目は無い)
この環境ではhttp://www.geocities.jp/luca_lucanian/を開きfakegif.gifのリンクを開けば、自動的に5秒後にこの日記に転送されてしまう。
Internet Explorer 6 SP1(Windows2000 SP4)
上記の構成のパソコンでWindows UpdateよりInternet Explorerを導入。再起動後、再度Windows Updateより最新の状態にした。
(Windows 2000 用セキュリティ更新プログラム (KB840987)はインストールしなかった)
この時点ではVersion: 6.0.2800.1106、更新バージョン: SP1; Q823353である。
IEのプロパティのセキュリティより、規定のレベルから「高」を選択し、レベルのカスタマイズより「ページの自動読み込み」を無効から有効に切り替えた。
これでもやはり、http://www.geocities.jp/luca_lucanian/を開きfakegif.gifのリンクを開けば、自動的に5秒後にこの日記に転送されてしまう。
Windows 2000 SP4はInternet Explorer 6 SP1を使うしかないのか・・・
WindowsXP SP2上のIESP2
テストに用いたのはバージョンは6.0.2900.2180xpsp_sp2_rtmである。
セキュリティ設定の「その他」-「ページの自動読み込み」は有効にしてある。
テスト用URLを開くと、htmlではなくプレーンテキスト(plain text)として解釈され、リフレッシュタグによる転送は行われない。
なおセキュリティ設定より「拡張子ではなく、内容によってファイルを開くこと」を有効にすれば、IE6SP2であってもリフレッシュタグにより転送されてしまう。つまりhtmlファイルとして認識される。
(これを適切な用語で表記するとしたらば、Content-Type Spoofingでいいのかな?それともFile Type Spoofingなのか)
なお関連するレジストリは、これ。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
ここのDWORD値はIEのインターネットゾーンの設定を反映する。
2100=dword:00000003で無効になり、2100=dword:00000000で有効になる。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\]以下のハイブも関係があるかと思い込んでたんだが、FeautureControlを丸ごと削除したものの、結果として何も変わりが無い。時間を見つけてもう少しやってみる予定。
Netscape 7.1
URIを開くと壊れた画像ファイルとして扱われた。
これが一番いいような気もする、無理に怪しいgifをhtmlとして解釈して開く事もなかろうに。
今回のトラップの解説
今回紹介したInternet Explorerでの各バージョンでの違いは、あくまでも騙しURLを踏ませた後にどうなるかと言った問題である。
今回はリフレッシュタグによる転送に留めたが、実際には悪質なブラクラや危険なスクリプトなどを含むページを踏ませるために多用されている。
Windows XPをSP2にバージョンアップすればIE SP2が手に入るのだが、これは従来のIE以上に様々な機能の更新が含まれる。
Web サイト構築における Microsoft Windows XP Service Pack 2 (SP2) への対応について(Microsoft)
Windows XP Service Pack 2 への対応に向けた Web サイトの最適化(Microsoft)
Windows XP SP2で、IEのセキュリティはどう変わる?(ITmedia)
最も読んでもらいたいのは、これ。
「"Windows XP Service Pack 2 セキュリティ強化機能搭載" での機能の変更点 第 5 部 : ブラウズのセキュリティ強化(Microsoft)
「MIME スニッフィング用のゾーンの設定」と「Internet Explorer の MIME 処理推進」の項目だ。
従来のIEはそれっぽいものであれば無理矢理レンダリングしてファイルを開いたのだが、IE SP2ではファイルの処理に当たってより慎重な対応をとっている。
IE SP2での仕様変更における拡張子とContent-TypeがおかしいURLの取り扱いについて、大変わかりやすいサイトを見つけたので紹介しておく。
「「XP SP2 は強力かも」に対するコメント
まとめ的雑文
マイクロソフトは古い製品のサポートは順次終了していく。
今回テストしたInternet Explorer 5.01 SP4(Windows 2000 Professional SP4用)、そしてInternet Explorer 5.5 SP2(Windows Millennium用)はまだサポートは終了していない。
(Me用のIE SP2は「セキュリティ更新プログラムのみサポート」と説明されているが)
11月6日の日記に書いた通り、将来起こりうる「可能性」についての対応は、この2つではあまりにも現状は物足りないのだ。
Windows 2000 SP4ユーザーにとっては、XP SP2用IESP2にて行われている各種の対策は、裏でひっそりと取り残されたような違和感を感じるのだ。
それは前回の日記で紹介した各種の罠やExploitが、XP SP2用IESP2では実は既に無効なものだった点でより確信できるものとなった。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-11-10 IEの旧バージョンは切り捨てなのか(http://d.hatena.ne.jp/LucaLuca/20041110)を修正・加筆し移転したものです。
Posted by Luca at 22:25
│
│
2004年11月06日 - SP2XP2以外のInternet Explorerは切り捨てか?
WindowsXP SP2をインストールすると、Internet ExplorerのバージョンはSP2になる。これは目に見えない様々な修正点があるようだ。その点に常々不満がある。
例えばこれ。Internet Explorer SP2では問題が起きないようだが、これはMicrosoftは問題を認識して予め対策していたのだろうか。
さまざまなアプリケーションを異常終了させるGIF画像がネット上に流出(窓の杜)
他にもこのような例がある。
この記事なども。
おかしくないかい、これって。
なんでWindows XP SP2を使うユーザーだけがこのような未知の脆弱性から保護され、他のユーザーは一旦事が起こるまで対応してもらえないんだろうか。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-11-06 Internet Explorer SP2以外は切り捨てか?(http://d.hatena.ne.jp/LucaLuca/20041106)を修正・加筆し移転したものです。
例えばこれ。Internet Explorer SP2では問題が起きないようだが、これはMicrosoftは問題を認識して予め対策していたのだろうか。
さまざまなアプリケーションを異常終了させるGIF画像がネット上に流出(窓の杜)
他にもこのような例がある。
Windows XP Service Pack 2(SP2)はこの問題の影響を受けないと、FranzとMicrosoftは認めている。
Microsoftは「SP2より前のWindowsバージョンにも今後同様の変更を実装する可能性を検討する」と言い添えた。
マイクロソフト、偽称テクニックを脆弱性とするセキュリティ専門家に反論(CNET Japan)
この記事なども。
この欠陥にはパッチが存在しないが、SecuniaとCERTによれば、Windows XP Service Pack 2を適用したコンピュータは保護されているという。
未パッチのIE 6脆弱性、MSは「調査中」(ITmedia)
おかしくないかい、これって。
なんでWindows XP SP2を使うユーザーだけがこのような未知の脆弱性から保護され、他のユーザーは一旦事が起こるまで対応してもらえないんだろうか。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-11-06 Internet Explorer SP2以外は切り捨てか?(http://d.hatena.ne.jp/LucaLuca/20041106)を修正・加筆し移転したものです。
Posted by Luca at 22:08
│
│
