★阿修羅♪ 現在地 HOME > 掲示板 > IT6 > 233.html
 ★阿修羅♪
次へ 前へ
SP2 vs プラグイン―Active Xの変更に困惑するソフトウェアメーカー (1/3)【くたばれActive X(笑
http://www.asyura2.com/0406/it06/msg/233.html
投稿者 クエスチョン 日時 2004 年 9 月 08 日 00:50:42:WmYnAkBebEg4M
 

(回答先: SP2のインストールで社内PCの10%に不具合!? 慎重な対応を求める調査レポートを発表 投稿者 クエスチョン 日時 2004 年 9 月 08 日 00:44:40)

SP2 vs プラグイン―Active Xの変更に困惑するソフトウェアメーカー (1/3)【困惑するな、くたばれActive X(笑)】
http://www.itmedia.co.jp/news/articles/0409/06/news003.html

Windows XP SP2ではセキュリティ重視の立場から、サイト上のActiveXプラグインの扱いを変更したが、プラグインを使ったビジネスを展開しているソフトメーカーに困惑が広がっている。


 Microsoftが最近リリースしたWindows XP Service Pack 2(SP2)はセキュリティ専門家の間では評判が良い。しかしウェブ経由でソフトウェアを配信している企業のなかには、SP2の登場を恐れと疑いのまなざしで眺めているところもあるようだ。

 ソフトウェア開発者らは長年にわたり、「ActiveX」というMicrosoftの強力なプロプライエタリAPI(アプリケーションプログラミングインターフェース)を通じて、Internet Explorer(IE)ユーザーにアプリケーションを提供してきた。ActiveXは、ウェブページ内で「プラグイン」と呼ばれる外部アプリケーションを起動する技術だ。

 しかしこのツールが、ブラウザ上できちんとしたソフトウェアを動かせる一方、悪質なソフトウェアを起動してしまうおそれもある。その結果、ActiveXはさまざまなセキュリティの侵害に悪用されてきており、ごく最近では広告業者がアドウェアやスパイウェアを密かにインストールするのにActiveXが利用されていた。

 Microsoftは数回の延期の末、問題の多いSP2を8月にリリースした。セキュリティに重点が置かれたWindowsのこのアップデート版には、これまでより手の込んだアラートシステムを加えることでActiveXに制限が加えており、ウェブサイトがActiveXコントロールを実行したり、ポップアップウィンドウを開いたり、あるいは別のコードを実行しようとすると、こうしたアラートが発せられるようになっている。

 これまで、IEではプラグインのインストール時にセキュリティ画面が開き、ユーザーが「はい」か「いいえ」をクリックして確認する簡単なやり方をとっていた。ところが、SP2ではActiveXコントロールはデフォルトで使用不可になっており、未知のソフトウェアはPCに危害をもたらす可能性があるという警告が表示される。また、インストールを許可する方法がやや分かりにくくなっている。

 こうした変更に、ActiveXを利用しているソフトウェアメーカーの一部は警戒感を抱いており、Microsoftがセキュリティという緊急要件を戦略目的に利用しているのではないかとの疑いが持ち上がってきている。

 「われわれは今、SP2が完全に浸透するのを固唾を飲んで見守っているところだ」と言うのは、Microsoftに在籍した1992年から1997年の間、同社のDirectXグラフィックソフトウェアの開発に携わり、現在は「WildTangent」3Dゲームサイトを運営しているAlex St. Johnだ。「ユーザーはSP2の警告に驚いて混乱し、単純に全てをキャンセルしてしまう可能性が高い。そして大半の人々は、最初の時点で何が起きたのか理解できていないと思われる.....これでは、ブラウザ上でのコンテンツ再生機能に関連する全てのビジネスモデルが崩れてしまう」(St. John)

 別のメーカーもこれに同意見で、SP2によって自社の3Dプラグイン製品をウェブベースで配信できなくなると述べている。

 Media Machines(本社:サンフランシスコ)の創業者で、VRML(Virtual Reality Modeling Language)とX3D(Extensible 3D)ウェブグラフィックス仕様の共同作成者でもあるTony Parisiは、次のように述べている。「SP2はエンドユーザーを混乱させる。それに、ウェブとIEによって実現した、比較的安価で素晴らしい製品配信方法を利用している独立系ソフトウェア開発会社(ISV)をも妨害することになるだろう。セキュリティ問題が重要なのは理解できるが、これではISVの妨げとなってしまう」

SP2 vs プラグイン――Active Xの変更に困惑するソフトウェアメーカー (2/3)
http://www.itmedia.co.jp/news/articles/0409/06/news003_2.html

ActiveXへの苦情は何年も前から

 このセキュリティに関する変更は決して些細な事柄ではない。Microsoftはシステムの保護を重視していないという苦情や、特にActiveXのセキュリティに関する苦情がかなり前から出ていたため、同社ではこれを受けてActiveXの機能を制限することにした。なお、同社の共同創業者兼チーフソフトウェアアーキテクトのBill Gatesは2年半前、セキュリティの強化をMicrosoftの最優先事項としていた。

 IEではかなり前から、ユーザーがActiveXコントロールをロードしたい場合に確認が必要とされていた。しかしSP2がリリースされるまで、この確認プロセスでは悪質なハッカーに騙されるおそれがあり、また繰り返しによる慣れや簡単なクリックで確認が済んでしまうことから十分な効果がないことがわかっていた。

 「ほとんどのユーザーは(ActiveXの警告)ダイアログを読まずに『はい』をクリックすることに慣れてしまっている」と、SP2開発に携わったIEグループプログラムマネージャー、Doug Stamperは述べている。「ユーザーが意図しないダウンロードが行なわれるケースがあったため、われわれはActiveXに変更を加えた」(Stamper)

 この変更の中心となるのは、ウェブアドレスバーのすぐ下にある新「情報バー」で、この細いバーに警告メッセージが表示される。SP2はユーザーが情報バーを見逃さないよう、情報バーを指し示すダイアログボックスをポップアップさせる。このダイアログボックスは、ユーザーが今後表示しないオプションを選択するまで、毎回ポップアップする。

 この情報バーは、ウェブサイトが意図していることに応じてさまざまな警告を表示する。たとえばあるサイトがActiveXコントロールを実行しようとしている場合、バーには「このサイトでは次のActiveXコントロールが必要になる可能性があります...インストールするにはここをクリックしてください("This site might require the following ActiveX control...Click here to install.")」というメッセージが表示される。

 また一部のソフトウェアダウンロード--たとえば無料のRealPlayerなど--では、「お使いのコンピュータのセキュリティを保護するため、 Internet Explorer はこのサイトからのファイルのダウンロードをブロックしました。オプションを表示するには、ここをクリックしてください...("To help protect your security, Internet Explorer blocked this site from downloading files to your computer. Click here for options.")」という文章がバーに表示される。

 Microsoftは、同社での研究の結果、新システムは完璧ではないものの、大半の人々はこのシステムを利用できたと述べている。

SP2 vs プラグイン――Active Xの変更に困惑するソフトウェアメーカー (3/3)
http://www.itmedia.co.jp/news/articles/0409/06/news003_3.html

「セキュリティを自社戦略に利用」との声も

 Windows関連のセキュリティ問題により、ネットが続けざまに危機にさらされていることから、ある業界アナリストはMicrosoftにActiveX制限の動きを擁護している。

 「全てのユーザーのためにセキュリティを強化すると、一部のISVやエンドユーザーに不便が生じるというトレードオフがあるとしても、選択の余地はあまりないだろう」とBurton Groupのアナリスト、Peter O'Kellyは述べている。

 Microsoftに批判的な人々は、同社のセキュリティ方策が、他社を犠牲にして自社のビジネスを強化するようなやり方で実装されていると示唆する。

 たとえばSt. Johnは、一般的なウェブ技術からMicrosoftの.NetフレームワークとC#プログラミング言語に切り替えれば、新ActiveXセキュリティプロトコルを迂回することが可能だと指摘する。St. Johnのサイトで遊ぶゲーマーの多くはダイアルアップで接続しているため、.Netは比較的ダウンロード量が多く好ましくないと同氏はいう。

 「ActiveXが使えなくなることで、.Netを検討せざるをえなくなるかもしれない。これらは全て、セキュリティが口実になっているのだ」(St. John)

 ActiveXが使いにくくなることで、Microsoftの技術と競合するいくつかのソフトウェアに不利な影響が生じる可能性もある。AppleのQuickTimeメディアプレイヤー、RealNetworksのRealPlayer、Adobe SystemsのAcrobatドキュメントリーダー、MacromediaのFlashアニメーションソフトウェアやFlexアプリケーションサーバソフトウェアなどが、こうしたソフトウェアに当てはまる。

 Flashを利用した、インターネットベースのアプリケーション作成用ソフトウェアのメーカーは、事態をもっとシンプルに捉えている。

 「ネットでのセキュリティ問題の多くは、ActiveXとは無関係だ」とLaszlo Systems(本社:サンフランシスコ)の最高技術責任者(CTO)David Temkinは述べる。「Microsoftはセキュリティを、クライアント技術の支配を強めるチャンスとして利用しているのだ。これはFlexやReal、QuickTimeなどなどにとっては望ましい事態ではない」

 これに対し、Microsoftは、セキュリティを戦略の口実に利用しているとの意見を却下した。

 「われわれが変更を加えたのは顧客の利益のためであり、顧客に最大限の情報と権限を与え、インフォームドコンセントを図るためだ」(Stamper)

原文へのリンク
関連記事
IEのドラッグ&ドロップの脆弱性を突くトロイの木馬「Akak」出現

Windows Updateサーバ増強、サポート窓口土日開放でSP2に備えるMS

特集:セキュリティが大きく変わるWindows XP SP2


[Paul Festa,CNET News.com]

 次へ  前へ

IT6掲示板へ


フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。