2005年04月07日

,■「スクリプトを実行しても安全だとマークされているActiveXコントロール」は安全か
,■日本認証サービス
,■日本企業初!!フィッシング詐欺対策機能を持ったツールを導入
,■キーロガーという脅威
Title:■「スクリプトを実行しても安全だとマークされているActiveXコントロール」は安全か
Title:■「スクリプトを実行しても安全だとマークされているActiveXコントロール」は安全か
Title:「スクリプトを実行しても安全だとマークされているActiveXコントロール」は安全か Content-Type: text/html; charset=EUC-JP Last-Modified: Sat, 30 May 2020 03:15:29 GMT サーバ管理者日誌 「スクリプトを実行しても安全だとマークされているActiveXコントロール」は安全か

2005年04月07日(木) << 前の日記 | 次の日記 >>
これまでの04月07日 編集

■1「スクリプトを実行しても安全だとマークされているActiveXコントロール」は安全か[セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

「安全だ」とマークした人は配布者なので、配布者を信用できれば安全だけれども、自分が作ったプログラムを「安全だ」って言い切るためには相当の慎重さと覚悟が要る。
簡単に「安全だ」と言える人は、現実的なサイズのプログラムを書いたことが無いか、不正な引数を与えればプログラムはクラッシュしても当然と思っているか、世の中には良い人しかいないと信じているか、とても楽観的な性格を持っているか、人智を超えたプログラミング能力を備えているに違いない。
つい最近、コード署名付きのJavaアプレットを開発した知人がいる。彼のプログラミング能力は私から見ると天才的だし、セキュリティに関する知識も相当のものだ。
それでも、コード署名するコードを書くのには相当の気を使ったという。作り手が意識すればセキュリティが確保しやすいと言われるJavaにしてそうである。機会があったら、「スクリプトを実行しても安全だとマークされているActiveXコントロール」を書くのには、どれ位の気を使うか聞いてみたいと思っている。
「スクリプトを実行しても安全だとマークされているActiveXコントロール」は、悪意のあるパラメータを渡されても、「安全」でないといけない。これを保証するのは大変だ。当然、クラッシュすることも許されない。
攻撃者が意図した時に、しかも好きなパラメータを与えて起動することができるという点が、スタンドアロンにインストールされるアプリケーションとの決定的な違いだ。
こういう点で、ActiveXコントロールを受け入れるのは、普通にアプリケーションをインストールするよりも遙かに慎重である必要がある。
署名は誰にでもできるけれども、署名した人が署名の意味を分かっていなければ、コード署名モデルは役に立たないのだ *1
「安全だ」とマークした配布者が信用できるかどうかを利用者が見極めるのは残念ながら難しいだろう。迷ったらインストールすべきでない。マイクロソフトもそう言ってる。
*1: もちろんコード署名には改竄防止という役割があるけれども、そもそも署名した人が署名の意味を分かっていなければ改竄以前の問題だ。正当に配布されたものに問題がある場合は救いようがない。安全じゃないものに署名しても安全にはならない。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2005年04月 翌月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project