現在地 HOME > 掲示板 > 昼休み4 > 449.html ★阿修羅♪ |
|
Tweet |
(回答先: ActiveXの裏側(その1)【がんばれ!!ゲイツ君】かなり前の記事ですが、拾っときます。 投稿者 クエスチョン 日時 2004 年 12 月 23 日 11:56:40)
ActiveXの裏側(その2)【がんばれ!!ゲイツ君】
http://www.asahi-net.or.jp/~FV6N-TNSK/gates/activex2.html
三人寄ればもんじゅの事故とは良く言ったものですが、しかしまぁ最近起きた例の動撚の事故はありゃもうどうしようもないですね。
もんじゅで起きた事故の時に平身平頭に安全体制の見直しをするとか調子こいたコトをぬかしていたのに、全くそれが嘘だったことが見事にばれてしまったわけです。あいかわらず嘘で塗固められた報告書を出して(なんでそんz嘘すぐにバレるってこと位気が付かないんでしょ)、さらに事故当日にノーテンキにも出入りの業者達と親睦のゴルフコンペをやっていたとはまぁ空いた口が塞がるどころか顎がハズレて二度と閉じなくなっちまいます。(例の重油流出事故の時も、「キレイな海が見たかった」なんて言ってグァムに遊びにいってたド顰蹙もののお役人もいたりましたけどね)
しかし先週お話ししたActiveXのバグだって、この動撚の問題とさほど変りはないです。あんなにバグが出ているのに、(先週も言いましたが、ActiveXはその構造自体に問題があるので、付け焼き刃のパッチなんて全然意味が無い)それを反省する気配なんて全然無い。それどころかそんな欠陥のあるものを只でインターネット上にバラまいているんだから余計たちが悪いと言われてもしょうが無いでしょう。
実はActiveXの欠陥は結構前から指摘されていまうるんですが、それが脚光を浴びたのが今年2月に発表された「ActiveX銀行強盗」事件ですね。
知らない人のために一応解説すると、ドイツのChaos Computer Groupと呼ばれる団体が国営放送でActiveXを使った銀行口座のアクセスソフトを使って他人の口座から自分の口座へお金を移すというデモを実演したってもの。(TVでそういうのを実演放送できるってのも凄いと思いまけどね)
これ、一度IEのユーザーだって認証されると次からはフリーパスになってしまうっていうActiveXのセキュリティ不備を付いたもので、結構話題になったんですが、MSは「Don't Take Candy from Strangers」というよくわからん説明をして逃げたみたいです。
要は運用でなんとかせい!というヤツですが、そうこうしてる間にSymantecがパッチ用のソフトをリリースしてくれました。まずこの件で、MSはユーザーサイドの安全性なんて二の次でしか考えていないことが解りましたね。まぁゲイツ君もやっとこさ結婚できもんだから、子作りに忙しくてガードかけることには無頓着だったのかもしれませんけどね(笑)。
それからしばらくして、CyberSnotなど(大問題になったCドライブの内容全消去のurlなど)の問題が多発し、MSはIEの修正版を何度もリリースした所まではよかったんですがそれが単にダウンロード時確認アラートを出すというだけのお粗末さ。
大体確認アラートを出したにしても、実際それがどういう動きをするものかなんてやってみないと解らないんだから何の対策にもなってないわけです。
しかししかしまだまだ話は盛り上がります(笑)
MSは対策版として13日にVer3.01bっていうバージョンを発表したんですが、その後がなんともお粗末。その万全の対策を施したIEをMSがリリースしたら、なんとまぁ今度はMSNのサイトが表示されないって問題が出ちゃったんですね(笑)。
MSNのサイトのトップページって、厭味ったらしくActiveXのshockwave Flash で塗りたくられているらしいんですが(といっても今手元にIEが無いので私は見たことはないですが)、新しくパッチをあてたIEでアクセスしに行くと、今回対処したIEのセキュリティチェックに引っかかって表示されないらしいんです(爆)。
で、おかしーなーと思ってしばらく放っておくと、今度はIEがページ違反で落ちてしまうとのこと。
さすがに私もこれには大笑いしましたが、もっとあきれたのは、MSのサイトに載っているその件についてのの対処方法です。
それによると、「IEのセキュリティレベルを下げろ」だそうです。
これ、実際やった「勇気ある」ユーザーがいるのか、大変興味深い所ですね。
この件、詳細はこちらをご参照下さい。
注:今は当該記事は削除されてしまってます。補足参照。また、MSNのページも無くなってまね。
何度も言ってますが、ActiveXってのは根本的にその構造を見直さないとセキュリティの問題は絶対に解決されない。だからMSNの例みたいに、あちらが立てばこちらが立たずみたいな事になってしまう。それに今回MSがパッチを出す前にサードパーティが出したケースが何度かありますが、本来なら自分達で出すものをサードパーティが出してくれたんだからお礼の一つでも言うべきなんでしょうに、今日MSのページ に行って見ると、「サードパーティ製のパッチは止めて、自分らの出したパッチを使って下さい」とのことでしたね。パッチを早急に出す技術力も持ち合わせてないくせに、よく言いますよね。
注:このページも、当該情報が既に無いようです。
さらに今回の問題についてMSは、「この問題はActiveXやIE固有の問題ではなく、INTERNET全体の問題でもあるので、今後他の企業と併せて対処していきたい」と寝ぼけたことまで言ってます。
当然私が言うまでもなく、いろんな所で責任転嫁だとか問題のすりかえだとか非難されてますね。まぁ当然でしょう。
そういえば例の爆発的に広まっているエクセルマクロに潜むウィルスの件って、MSはなんかパッチ出したんでしたっけ? あれ通常のウィルスチェックには引っかからないんでタチが悪いんですが、(最近対策用チェッカーがリリースされた)野放しにしているMSの企業責任ってどうなってるんでしょ。
ActiveXってOLEライクなものだから、Windows上で開発する人間にとっては、開発コスト等の面で魅力的だということはあるでしょう。ただ、そうして目先の利益にのみ因われたおかげで、結局あとで痛い目にあったケースってのを私何度も見てます。この際、良識ある会社はIEなんて会社全体で使用を禁止するようにして徹底させるべきでしょう。
Netscapeだって買っても数千円です。こんなもん、個人が一年に使う消耗品の額に比べると全然微々たるもんですよ。
この手の話しって言い出すときりが無くなるのでこのへんまでにしときますが、まぁそれでもIEを只だ只だって喜んで使っている会社には壁にこんな標語でもバーンって貼っておいたらいいかもしれません。
ActiveXやめますか?それとも、セキュリティやめますか?
(この項おわり)
3/30補足:実は上でリンクしたMSNについてのインプレスの情報には続きがあって、「実際にMSNサイト上に行ってShockwave Flashを入れようと思ってもインストールできない」ってのがあったんです。
先週私がこれを見たとき、セキュリティの話とはちょっと違うし、ちとうさんくさいなぁ・・・と思ったんであえてここでは紹介しなかったのですが、案の上この「インストールできない」という情報はガセネタであることが判明しました(笑)。
それを持ってインプレスは元記事を削除してしまったのですが、何も前半部分まで削ってしまわなくてもよかったのにねぇ。
9/07補足:このインプレスの記事、「おわび」の文章が追加されています。まぁそれはいいとしても、最後の取ってつけた言い訳は完全な蛇足ですね。