Status
りんく〜
- orkut
- mixi
- RuriRuri Antenna
- Silphium@moe
- Silphium@excite
- Silphium@jugem
- Silphium::Hiki
- 物欲リスト
- wishlist
- namazu検索
- 所持本リスト
- checkit! @ Eureka
- まひる語プロクシ(移転)
被捕捉してるアンテナ
さいきんのよてい
- 2004/09/04 P2P勉強会
- 2004/09/05-09 WIDE合宿
- 2004/09/16 プロマシアの呪縛 発売
Last-Modified: Mon Nov 27 06:06:17 2006
輪王さんが毎度書かれている
JavaScriptと ActiveX切っておけば大丈夫
というのを読んでいつも怖くなる。
試しに自分で検証してみた。
IE6SP2/WinXP Professionalにおいて、
セキュリティの設定を[高]にしてexploitを開いたところ、
1,2はブラウザがクラッシュしました。
3,4は[×]になって表示されず。
これは、今回の輪王さんだけの話じゃない。 検証してみるまでもなく、Exploitの名前を読めば、 スクリプト等とは関係がなさそうなのは分かりそうな脆弱性ですら、 それらを切ればとにかく安全、と思わせてしまうこの風潮は本当に怖い。
重要なことは、 「自分が安全ではないことを知る、知らせる」 ことである。
このご時世、スクリプトを切ることによって失う利便性はきわめて大きく、 ただそれらを切れば安全というのには、全く持って同意できない。 利便性と安全性は真っ向から反するものなんかじゃない。 そういう触れ込みは、「不便になるならセキュリティイラネ」と思わせてしまうだけなのではないだろうか。
(追記: 07/22)
21日に訂正されました。
(追記: 08/02)
高木浩光さんの日記で、
もっと分かりやすく問題点が指摘されています。
おー、NTT頑張るね。 特長のスライドは面白いな。
もちろん、安全性が全く違うので、DESより悪いなんてことはないけど、 なるほどなあと思う。
ぐぐってたら、「Crypto-Gram日本語訳」バックナンバー なんての見つけた。