Last update 2002/06/01
ここには過去の「MS Watch」が集めてあります。
これより古い分については、こちらへ。
これより新しい分については、こちらへ。
Excelのセキュリティホール
ASAHIネットのjouwa/salonから。
標題: Excelのセキュリティホール --- ExcelのXSLTのスタイルシート処理に問題があって、何でも実行できて最悪 パソコンの乗っ取りも可能だそうです。詳しくは、 http://www.zdnet.co.jp/news/0205/28/nebt_01.html ExcelのXMLスタイルシート処理に問題点? http://www.guninski.com/ex$el2.html Georgi Guninski氏のセキュリティ警告 をどうぞ。 なぜ、XSLTのスタイルシートという、一見無害そうなもので、任意コマンド の実行ができるかというと、XSLTの拡張としてスクリプトが書けるからです。 XSLTはプログラミング言語じゃないので、何か凝ったことをやろうとすると、 そのままじゃ手も足もでなくなるので、拡張ができるようになっていて、Java ベースのXSLTプロセッサは、Javaのコードをスタイルシートに混ぜることがで きる拡張がよくあります。 スクリプトといってもJava Scriptくらいだったらそんなに危なくないんで しょうが、WSHのスクリプトが書けるのが、MSのXSLTプロセッサの拡張ですか ら、何でもやれるわけです。便利は便利だけど、それだけ危険も大きいです。 ところで、この前、XML関係で有名な村田真さんと、ひょんなことから会う ことがあって、ぼくは、XSLTの設計ってすばらしいと思う。あんなにぴったり 中途半端な設計はなかなかできないなんて、皮肉をいってしまいました。 個人的には、XSLTは便利は便利なんですが、帯に短し、たすきに長しの感が どうしてもあるんです。だから、ぼく、XSLTのスタイルシートはなかなか書く 気にならないんですよ。だもんで、簡単なものしか書けません。 あれでテクニックを駆使して、長大なスクリプトを書ける人は尊敬します。 アンテナハウスには当然、そういう人がいるわけですが。
Windows updateに要注意
ASAHIネットのjouwa/salonから。
標題: Windows updateに要注意 --- Windows XPでWindows updateをやると、フリーズしまくるようになるという お話。築さんから。 --- ここから --- 今回、necのサポートサイトに以下の情報があがりました。 すでにご存知かとも思ったのですが、「とりあえずwindows updateかけてりゃ 大丈夫」と言ってたmicrosoftに、致命的な打撃をあたえかねないケースなの で、あえてメールいたしました。 情報システム部門関係者の噂話ないし愚痴レベルでは、よくあったのですが、 windowsUpdateを実行すると、かえって不安定になることが公式にあきらかに なったのは初めてではと思います。 http://121ware.com/support/pc/r2/data/kb/004/004785/004785.htm 1週間たっていますが、microsoftのサイトでは、それらしき情報はありませ ん。 それにしてもNECのサポート部隊もよく調べたものだと思います。 あの、パッチの嵐の中から検証したものだと、びっくりしています。 (もっともNECを下請けにしちゃってるってことなんでしょうがね え) 取り急ぎお知らせまで。 --- ここまで --- Windows updateは、昔からトラブルの元凶ですよね。 ぼくも、東芝のリブレットffでトラブルったとき、秋葉原のサポートセンタ ーに持ち込んだから、開口一番、「Windows updateは、お使いになりました?」 って訊かれたもん(爆笑)。昔、ここに書いたかもしれませんが、このときの東 芝の人は、非常に親切にフォローしてくれました。帰省していたときだったか な。自宅に何度も留守電が入っていて、申し訳なかったですね。 NECは、ぼく個人の経験からいえば、頼りになります。 10年前のWindows 3.0/3.1のころ、日本語Windowsのプリンタドライバはぼろ ぼろで、プリンタドライバ内でUAEになったりしてました。特にグラフィック は全然だめでした。 当時は、ソフト開発時にそういうトラブルがあったとき、MSKK(マイクロソ フト日本法人)の技術サポートに質問を投げても、さっぱりまともな回答がな かったんですが、NECからはすぐ電話で現場の技術者とコンタクトが取れたり、 ちゃんとした回答があるんです。 やっぱ、日本の大メーカーの蓄積ってすごいなあと思ったことがあります。 外資系メーカーって質問してもそれを本社に取り次ぐだけのことが多くて、 そうなると、回答が来るまで2週間から1ヵ月くらいかかったりするんですよ ね。 いまはインターネットもあるし、いろんなメーリングリストもあって情報源 が増えたので、そもそもメーカーに質問しなくても大体解決できるようにはな ってきましたが。 結論、「Windows updateは、ウイルスだ(笑)」。
MS SQL Serverを狙うワーム
ASAHIネットのjouwa/salonから。
標題: MS SQL Serverを狙うワーム --- MS SQL Serverを狙うワームの被害が広がっているようです。詳しくは、 http://www.zdnet.co.jp/news/0205/22/ne00_spida.html SpidaワームがSQLサーバを急襲 http://japan.cnet.com/Enterprise/News/2002/Item/020522-4.html 『SQL Server』を利用するワームが登場 をどうぞ。 ぼくの個人マシンにも、MS SQL Serverのポートを狙ったスキャンが何度か あって、ノートンがブロックしています。^^;
MSの新ライセンスは損か得か
ASAHIネットのjouwa/salonから。
標題: MSの新ライセンスは損か得か --- ガートナーが、MSの新ライセンスは値上げになる可能性があると再び警告し ました。詳しくは、 http://japan.cnet.com/Enterprise/News/2002/Item/020522-2.html MSの新ライセンスは損か得か をどうぞ。 MSで固めた企業ユーザは、ずっと税金のように搾り取られますからね。 記事にもあるように、怒ったユーザがMS Officeから別のソフトに乗り換え る動きもあるとか。もっと怒って、この動きが顕著になれば、MSも考え直すか もしれませんが。
Re: Netscape6.2.3の日本語版
ASAHIネットのjouwa/salonから。元々セキュリティホールの話だったので、ここに書いています。
標題: Re: Netscape6.2.3の日本語版 --- >私もなかなかgetできないので、いろいろやってみました。 >Win2K+Netscape 4.7でアクセスしてみましたが、NGでした。 >ところがNetscape 6.2だとダウンロード画面を表示し、get >できました。?-) 小杉さんからは、こういう話がきています。 --- ここから --- 良く見たら、MacOS 8.1はサポート外という事でしたので、自宅で再度テスト してみました。環境は、MacOS 9.1 + Netscape Communicator 4.7です。 http://wp.netscape.com/ja/download/ ではOSその他が判断され、適切なダウンロード先に誘導される筈なのですが... http://wp.netscape.com/ja/download/thanks.html?http:/ftp.netscape.com/ pub/netscape6/japanese/6.2.3/mac/macos8/MacNetscape6Installer.sea.bin 良く見ると、2つめのhttp://の部分のスラッシュが1つ抜けている様です。 「サポートに連絡したほうがいいのかな」と思いまして、色々探したのですが、 連絡先が判らなくてそのままです。一体、どこに連絡してよいものやら... --- ここまで --- ここに書くと、誰かがNetscapeに連絡して、直してくれるかもしれません。^^; それにしても、今回のNetscapeの対応はMSよりお粗末な気がしました。MSの ほうは毎度セキュリティホールで叩かれているから。
Re: Netscape6.2.3の日本語版
ASAHIネットのjouwa/salonから。
標題: Re: Netscape6.2.3の日本語版 --- 小杉さんから。 --- ここから --- さて、Netscape 6.2.3の件ですが http://wp.netscape.com/ja/download/ から辿っていくと、Welcome ページが表示されるものの、やはりPage Not Found になってしまう場合があるようです。 #当方、MacOS 8.1 + Netscape 4.7でアクセスしてみましたが、 #やはり駄目でした。 という事で、直接 http://ftp.netscape.com/pub/netscape6/japanese/6.2.3 ftp://ftp.netscape.com/pub/netscape6/japanese/6.2.3 にアクセスしてみましたが、こちらは正常でした。 以上、ご報告まで。 --- ここまで --- あれー? あったあったと思ったし、実際Setupはダウンロードできたんで すが。英語の本家から行ったからかな。 ともあれ、ありがとうございました。 ところで、7.0PR1が出ているんですね。 http://channels.netscape.com/ns/browsers/7/default.jsp をどうぞ。
Re: Netscape6.2.3の日本語版
ASAHIネットのjouwa/salonから。林さんにコメント。
標題: Re: Netscape6.2.3の日本語版 --- >>> かと書きましたが、JIROさんから。 >>> --- ここから --- >>> 今回のMozilla, Netscapeのセキュリティ・ホールの件、一般ユーザーの使 >>> うNetscape6.22は放置されたままです。 >> >> Netscape6.2.3 日本語版がリリースされています。 >> >> ダウンロードは、こちらから。 >> >>http://wp.netscape.com/ja/download/index.html?cp=djuja > > 投稿した後に、Netscapeの上記ページのダウンロードボタンをクリックしたら >「404 Not Found」が返ってきました。もしかして、ダウンロード告知ページは >出来ても、ダウンロード用ファイルがまだ準備中? > > 確認が不十分で、ごめんなさい。 今朝みたら、6.2.3がダウンロードできるようです。日本語版は、 http://wp.netscape.com/ja/download/ から、英語版などは、 http://wp.netscape.com/computing/download/index.html から、たどってください。
ゼラチンのニセ指でセキュリティーを突破
ASAHIネットのjouwa/salonから。
標題: ゼラチンのニセ指でセキュリティーを突破 --- セラチンのにせ指でセキュリティーを突破する話、いまごろ、また出ました ね。匿名希望?さん(笑)が、ここに次のことを書いたのは、2001/01/10ですよ ね。 >正月に飲みながら聞いた話なので、どこに発表されたのか覚えて >ないんですが、指紋についてはゼラチンかなにかを使って500円 >くらいでコピーできちゃう、だから指紋で認証するシステムなんて >500円で破られちゃうよって論文が発表されてるそうです。 >指紋認証システム作ってるところはめちゃくちゃあわててるとか。 今回の手法について、詳しくは、 http://japan.cnet.com/Enterprise/News/2002/Item/020517-3.html ゼラチンのニセ指でセキュリティーを突破 をどうぞ。 ぼくは、匿名希望?さん(笑)のコメントで、 > そのうち、携帯型指紋偽造機器ができるんでしょうね。ネットから好きな指 >紋をダウンロードすると、指の形をした部分がその指紋に変形するんですね、 >きっと。 と書いたけど、あれから1年半経っているので、なんか、もう存在してそうな 気がしてきた。^^;
総務省「電子申請・届出システム」の問題点
ASAHIネットのjouwa/salonから。
標題: 総務省「電子申請・届出システム」の問題点 --- これもずいぶん前のネタですが、高木さんが、総務省の「電子申請・届出シ ステム」の問題点を指摘しています。詳しくは、 http://memo.st.ryukoku.ac.jp/archive/200203.month/3458.html 総務省「電子申請・届出システム」のセキュリティ上の問題点 をどうぞ。 簡単にいうと、総務省の名をかたって、あたかも総務省が出したかのような、 偽の電子証明書を発行できてしまう問題です。つまり、日本の電子政府の書類 は、信用できないわけです(冷汗)。 あと、jouwa/salonでずっと前に西嶋さんが書いてくれた、高木さんが指摘 した日本の銀行や証券のオンラインバンキングなどの問題点って、何でしたっ け。あれ、まだ、ウェブのほうには出してないんですよね。 たしかあれ、1年以上前のような気がします。ゼラチンで指紋チェックをか いくぐるのと同じくらい昔かな。
Operaが落ちる原因?
ASAHIネットのjouwa/salonから。
標題: Operaが落ちる原因? --- Mozilla/Netscapeのセキュリティホールの件。Mozillaはオープンソースで 自己責任だけど、Netscapeがパッチを出していないのは、おかしいんじゃない かと書きましたが、JIROさんから。 --- ここから --- 今回のMozilla, Netscapeのセキュリティ・ホールの件、一般ユーザーの使 うNetscape6.22は放置されたままです。 とりあえず、「NavigatorでJavaScriptを有効にする」のチェックを外せば 回避できますが、不便ですね。 僕は、Opera6.01を標準で使って表示が異常になるページのみNC4.78に、 それでも読めないページはNetscape6.22(JavaScript禁止)を使っています。 なお、IEでしか読めないページは無視しています。 なお、僕もOSはWindows2000 Professional 日本語版ですが、Opera6.01 でOSごと落ちる(ブルーサンダー画面になる)という経験は確かにあります。 どうも特定の条件で落ちるようです。SP2を適用した状態でNorton Internet Security 2001をインストールした状態では頻繁に落ちました。 これが原因でブルーサンダーになる場合はNISDRV.SYSのエラーと表示されま す。不思議とNC4.78では落ちないです。(謎) シマンテック社では、このバージョンはSP2での動作確認をしていないそう です。不具合を直すためSP2を適用するとまた別の不具合が起きるとは... (苦) 仕方なく同ソフトの2002を購入し(悲)、インストールし直してからは OperaもOS道連れに落ちることはなくなりました。 --- ここまで --- ぼくにとって有用な情報は、Norton Internet Security 2001を使っている とOperaが落ちてWindows 2000も落ちるという点。まさにぼくのマシン、そう です。会社のマシンは、Norton Anti Virusは入っているけど、Internet Securityは入っていません。なるほど、現状が説明できます。 なんか、ドライバで死んだようなのが一瞬表示されますが、動体視力落ちま くりなので、わからなかったのですが、NISDRV.SYSだったのか。これって、 Nortonのドライバ? ま、ともかく、2002にすればいいのか。 ジャンボ宝くじが当たったら、買おうと思います。^^;
旧バージョン『Microsoft Office』からデータ漏洩?
ASAHIネットのjouwa/salonから。
標題: 旧バージョン『Microsoft Office』からデータ漏洩? --- 今月の初めの記事ですが、書き忘れていました。詳しくは、 http://japan.cnet.com/News/2002/Item/020508-2.html 旧バージョン『Microsoft Office』からデータ漏洩? をどうぞ。 今日は、だいぶ、未処理を書いたな。^^;
IEのセキュリティホール
ASAHIネットのjouwa/salonから。
標題: IEのセキュリティホール --- まだまだIEのセキュリティホールが出ています。詳しくは、 http://www.zdnet.co.jp/news/0205/16/ne00_ie.html IEに新たな問題点。MSから累積パッチ をどうぞ。 また、クロスサイト・スクリプティングのセキュリティホールが出てるよう ですね。 クロスサイト・スクリプティングについては、IPAの http://www.ipa.go.jp/security/ciadr/20011023css.html Webサイトにおけるクロスサイト スクリプティング脆弱性に関する情報 をどうぞ。 === 標題: Re: IEのセキュリティホール --- ITProのほうが詳しいですね。 http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20020516/1/ またもやIEに深刻なセキュリティ・ホール,悪意があるプログラムを勝手に実 行 をどうぞ。 iMacさん、ありがとう。
Xbox、1万円値下げ
ASAHIネットのjouwa/salonから。
標題: Xbox、1万円値下げ --- 売れ行き不振であがくXboxが1万円値下げしました。アメリカでも100ドル 値下げします。詳しくは、 http://www.zdnet.co.jp/news/0205/15/njbt_15.html Xbox、1万円値下げ http://www.zdnet.co.jp/news/0205/16/xert_xbox.html MS、Xboxの製造拠点を中国へ。新たなパートナーも模索 をどうぞ。 ま、無駄でしょう。^^; Linuxが動くようになったら、買う奴がいっぱいいるかも(苦笑)。 XboxはMSのベトナム戦争になりそうですね。 そういえば、プレステ2発売日の行列の写真とXbox発売日に誰も並んでない 写真が送られ来てましたが。あ、訂正、一人だけソフマップかヨドバシか忘れ たけど、シャッターの前に座り込んでいました。きっと、一番に並んだら、テ レビに映るかもとか思ってたりしてね。あんだけ盛り上がらないとテレビも取 材に来ないよね。
混乱する .NET My Service
ASAHIネットのjouwa/salonから。
標題: 混乱する .NET My Service --- MSが進めている .NET My Serviceですが、内部では混乱して、内部争いもあ るようですね。独禁法違反の証言で、MS幹部のJim Allchinが証言したことで 明るみに出ました。詳しくは、 http://www.zdnet.co.jp/news/0205/11/nebt_03.html 証言で露呈,.NET My Serviceの混乱ぶり をどうぞ。
Mozilla, Netscapeのセキュリティホール(その4)
ASAHIネットのjouwa/salonから。
標題: Re: Mozilla, Netscapeのセキュリティホール --- 小池さんから(コメント先の小池さんの書き込みはこういう形で引用します が、これはウェブに公開するので、こういう形式にしています)。 --- ここから --- 標題: Re: Mozilla, Netscapeのセキュリティホール --- そう言われればそうかな、と思える部分もあったので、もじら組のスタッフに このメールを転送しました。現在はmozilla.gr.jpのトップページにセキュリ ティホールの警告が出ています。 ただ、誤解も多いようなのでいくつか指摘しておきます。 On 05/13/02 09:23 AM, Nakamura Shouzaburou wrote: > 現在公開されているバグデータベースを見ると開発者の作業 > という意味での対応は素早くかつ真剣なもので頭が下がる思 > いがしますが、ユーザーに対する告知という点ではどうなの > でしょう? 僕は連休中何度か www.mozilla.org にアクセスし > ましたが、この件には一切触れられていなかったと記憶して > います。 > この件がトップページに載ったのは 5/9 のバグ fix の告知が > 初めてではないでしょうか。 Mozillaに関するニュースはmozillazineというニュースサイトに出ます。セキ ュリティ・ホールの件もすぐに出ていました。そのネタ元はmozilla.orgのス タッフがnetscape.public.mozilla.announceというニュースグループに投稿し た記事です。 http://www.mozillazine.org/ http://www.mozilla.to/mozillazine/ 1分1秒でも早くセキュリティ・ホールの情報を受け取りたい、というのであれ ば、MozillaZineを頻繁にチェックするか、またはnetscape.public.mozilla. announceのメーリングリストに登録することをお奨めします。 mailto:mozilla-announce-request@mozilla.org?subject=subscribe > 今の www.mozilla.org の告知にしても僕にはヌルいと感じられます。 > 赤字で大きく「今すぐアップデートを!」って書くくらいやっても > よさそうだし、わかりにくい nightly build じゃなくてRC1.1 み > たいな形で正式なビルドを出すべきじゃないかと思います。このセ > キュリティホールはそのくらい深刻なものだと思うのですが。。。 > それとも僕の感覚のほうがおかしいのでしょうか? セキュリティ・ホールのあるビルドを起動すると、最初にアクセスされる <http://www.mozilla.org/start/>に赤字で警告が出るようになっています。 RC1.1 みたいな形で正式なビルドを出せ、とのことですが、そもそもRCは「正 式なビルド」ではありません。RCが何の略か考えてみれば分かります。 > そういうわけで、できれば中村さんから mozilla へ、愛のある > 「喝」を入れてあげて欲しいと思うのです。勝手なお願いですが > どうかよろしくお願いします。 mozilla.orgやもじら組に批判があるなら直接メールを出せばいいと思うんで すが。今回はたまたま私がもじら組のスタッフに伝えましたが、いつもそうす るとは限りません。 --- ここまで --- RC1.1みたいな形で出すべきだったというのは、毎晩のビルドじゃなくて、 アナウンスして、たとえ単に昨晩のビルドにすぎないものであっても、名前を つけて出してほしいということだと思います。そうしないと一般ユーザは気づ かないということだと思います。 ただ、Mozillaが一般ユーザ向けなのかという点に関しては、こういう指摘 もあります。匿名さんから。 --- ここから --- まず、私の考えとしては、今回の問題について mozilla.org はトップページ などで告知するほうが良かったと考えています。 しかし、告知が無かったために一般のユーザ(エンドユーザ)の目に届かなか った故の一般ユーザがこうむる危険という なんばさんがご指摘する問題は、 そもそも前提が間違えています。 mozilla.org は Mozillaを一般ユーザ向けには公開していません。 開発のソフトウェアをテストを目的に開発者とテスタに対して公開しています。 エンドユーザは対象ではありません。(*1) *1 ただ、エンドユーザが Mozillaを利用するケースがあります。 例えばエンドユーザ向けの LinuxディストリビューションにMozillaが収録 されていて標準のブラウザに設定されている 場合がそうです。しかし、そ れはそのディストリビュータが 第一に対処すべきでしょう。(その対処を 行っているディストリビュータがあるのかは確認していませんが)あと、エン ドユーザ向けでないことを知らずに使っている場合。 テスト目的の公開であること、エンドユーザ向けのサポートが無いことはリリ ースページにてボールド体で明記されていますしnewsgroupなどに参加して情 報を入手する事を強く勧めています。 http://www.mozilla.org/releases/ これらを理解している人は幾つかのコミュニティに参加して情報を入手してい ますし、テストのために常にアップデートしています。最新のコードでテスト するためにアップデートするはずです。 ですから、少なくとも現状の Mozillaはそういった行動を行わないユーザが使 ってはいけないものなのです。 もしもそのような特性を知らないまま使っていたとしてもそれは、フリーソフ トについて、Mozillaの現在の特性について、ライセンスについて理解せずに 使っているという点に問題があります。 このことは非常に多くの人が誤解していることです。フリーソフトを使うとい う行為について、何かを忘れている人が多いです。 しかし、それでもなお mozilla.org はやはり情報をより大きく知らせるほう が良かったとは思います。同様にmozilla.gr.jpも知らせたほうが良かったで しょうね。 オープンソースであり誰もが制限無くダウンロードできる以上は、間違えて何 も知らずに使うエンドユーザが存在するだろう事はほぼ確実ですから。 --- ここまで --- なんばさん自身は、Mozillaが開発者とテスター向けに出しているものだと いうことは認識していると思います。でも、彼はMozillaにもっとがんばって ほしくて、もっと一般ユーザに使われるようになってほしいわけです。それに は、せめてセキュリティホールについては、体制を見直してほしいということ だと思います。 そうはいっても、MSみたいにセキュリティホールを直して、いろんなメディ アがパッチが出たのですぐダウンロードして新バージョンにしろといっても、 やらない一般ユーザが大半だと思うので、実際の効果のほどは疑問があります けどね。セキュリティを気にしている人なら、RC1.1みたいにしなくても、や はり自分で手当てするとも思うし。 それと、ぼくが愛の鞭をやらないのは、それをやるくらいなら、mozilla. orgかmozilla.gr.jpのもじら組に参加して、批判するより行動しろといわれた らそれまでだし、そっちのほうが正しいと思うからです。それが商用ソフトと 違うオープンソースのいいところですし。 その意味で、なんばさんが、もじら組に参加して、セキュリティホールが出 たときの体制を見直すように行動してくれるのが一番建設的かなとは思います。 ともかく、今回のセキュリティホールに関しては、RC2が出たので、それを ダウンロードして使うことですね。 これ以上、この話題をやるつもりはぼくはないので、あとは、なんばさん自 身がmozilla.gr.jpと意見を交換してもらえればと思います。
Mozilla, Netscapeのセキュリティホール(その3)
ASAHIネットのjouwa/salonから。
標題: Re: Mozilla, Netscapeのセキュリティホール --- なんばさんから。 --- ここから --- MS Watch での Mozilla のセキュリティホールの紹介、大変助かりました。ど うもりありがとうございます。僕は Linux 版 RC1 を使っていますがデモペー ジを試してみて慄然としました。 さて、5/10 の MS Watch で、mozilla.org は素早く対応した旨紹介がありま したが、対応の仕方に僕はいささか疑問を感じます。 現在公開されているバグデータベースを見ると開発者の作業という意味での対 応は素早くかつ真剣なもので頭が下がる思いがしますが、ユーザーに対する告 知という点ではどうなのでしょう? 僕は連休中何度か www.mozilla.org にア クセスしましたが、この件には一切触れられていなかったと記憶しています。 この件がトップページに載ったのは 5/9 のバグ fix の告知が初めてではない でしょうか。 # newsgroup には告知があったようですが、一般ユーザーの目には # 届いてないと思います。 # www.mozilla.gr.jp は今現在でもまだこの件に触れていません。 セキュリティバグの公開に対するポリシーは色々あると思いますが、技術的な 内容はともかくとして一般ユーザーに対する警告はもっと早くに出してもよか ったのではないでしょうか。パッチがまだ出てなくても、ユーザーとしては古 いバージョンに戻すとかしばらく他のブラウザを使うとか、選択肢があったは ずです。 今の www.mozilla.org の告知にしても僕にはヌルいと感じられます。赤字で 大きく「今すぐアップデートを!」って書くくらいやってもよさそうだし、わ かりにくい nightly build じゃなくてRC1.1 みたいな形で正式なビルドを出 すべきじゃないかと思います。このセキュリティホールはそのくらい深刻なも のだと思うのですが。。。それとも僕の感覚のほうがおかしいのでしょうか? このあたり中村さんはどうお考えでしょうか? MS が同じようなこと(深刻なバ グのパッチをなかなか「重要な更新」に含めなかったりとか)をした時はずい ぶん非難されていたように記憶していますが。。。 mozilla の場合ボランティアでやってるわけですから、感謝こそすれ、あまり うるさいことはいいにくいというのはあるんですが、社会的責任という点では 営利企業でもボランティアでも変わらないと思います。 むしろ過失が経済的なダメージに繋がりにくい* ボランティアプロジェクトだ からこそ批判的フィードバックによる圧力が必要だと思うのです。批判的フィ ードバックはボランティアのモチベーションを低下させる危険性もある諸刃の 剣ではありますが。。。 * これは MS のような独占企業の場合も同じですが。 そういうわけで、できれば中村さんから mozilla へ、愛のある「喝」を入れ てあげて欲しいと思うのです。勝手なお願いですがどうかよろしくお願いしま す。 --- ここまで --- セキュリティホールについて、オープンソースであろうが、商品であろうが 迅速に対処しないとまずいのは同感です。 でも、その点で、mozilla.orgやmozilla.gr.jpより、netscape.comや netscape.co.jpの対応がはっきり打ち出せてないと思うのは、問題かなと。 ぼくの場合、IEと扱いが違うのは、IEはシェア9割以上、Mozilla/ Netscpapeは10%にも満たないこと。そのシェア獲得はMSが独禁法違反という違 法手段によって行なったこと。いま、Mozilla/Netscapeを使っている人は、無 知が多いIEな人たちよりセキュリティに気を配っていると思われること。など などです。 RC1.1みたいな正式ビルドで対応しなかったのは、RC2が出る直前でそこで直 すと明言していたからだと推測しています。 実際、もうRC2が出て、リリースノートによれば、このセキュリティホール も直っています。詳しくは、 http://www.mozilla.org/ か http://www.mozilla.gr.jp/ をみてください。
Mozilla, Netscapeのセキュリティホール(その2)
ASAHIネットのjouwa/salonから。小池さんの情報です。
標題: Re: Mozilla, Netscapeのセキュリティホール --- >On 05/09/02 08:47 AM, Nakamura Shouzaburou wrote: >> 山口さんから。 >> --- ここから --- >> 今度は、Netscapeのセキュリティホールです。 >> http://www.watch.impress.co.jp/internet/www/article/2002/0501/grey.htm > >そのバグは既に修正されています。 >http://bugzilla.mozilla.org/show_bug.cgi?id=141061 > >GreyMagicがキレたのはNetscape社の対応がまずかったためですが、問題が >公になってからのMozilla.orgの対応は素早かったと思います。 > >> ぼくもOperaフリー版を使ってますが、シングルブラウザ(SDI)にして >> 使ってます。タブブラウザが便利で、使い勝手は一番いいと感じています。 > >最近IE, Mozilla, Operaの比較が流行ってますね。 >http://www.winsupersite.com/reviews/windowsxp_mw_web.asp > >この記事ではIEが一番、Operaは三番になっています。「無料の選択肢 >(Mozilla)>があるのだから有料のOperaは推薦できない」とのこと。 > >> これと、拡張子がないファイルの扱いがちゃんとしてくれればと思います。 >> あと、Mozillaは、この前、小池さんが宣伝してくださったように、18日に >> パーティがありますが、ぼく前日Ringの合宿で静岡泊まりなんですよね。 >> あわてて帰ってくるか、どうするか、考え中です。 >> まあ、当日の流れ次第です。 > >当日に京都とか大阪からやってくる人もいます...(^^; 土曜日は、できることなら付近を観光でもしてのんびりして帰って来ようか なと思ったもんですから。 メンバーの中には、当日、BSDだかPerlだか知りませんが、どこかのミーテ ィングかセミナー?で話をしないといけない人もいるそうです。
Mozilla, Netscapeのセキュリティホール
ASAHIネットのjouwa/salonから。MSのセキュリティホールじゃないですが、もう面倒なので、こっちにします。
標題: Mozilla, Netscapeのセキュリティホール --- 山口さんから。 --- ここから --- 今度は、Netscapeのセキュリティホールです。 http://www.watch.impress.co.jp/internet/www/article/2002/0501/grey.htm 内容はローカルファイルを呼び出せるという物で、私は、仕事上、IEとNN(NC) を併用しているのですが、Netscape6.2/Windows2000環境で見事に中身を呼び 出せました。 記事の中で、 [GreyMagicはこのバグについて「Netscapeに連絡したものの一切連絡がない」] との記載があり、さらに [GreyMagicでは解決策として「Netscape Navigatorの利用者はより良いパフォ ーマンスのよりバグが少ないブラウザーに乗り換えるべき」] と書かれていますが・・・ IEは避けたい、NN(NC)も駄目となると、儲かるのはOperaですか?(笑) (Operaフリー版は、ノートPCでは広告枠が大きく感じ、使い勝手は△といっ たところでしたが・・・) --- ここまで --- ぼくもOperaフリー版を使ってますが、シングルブラウザ(SDI)にして使って ます。タブブラウザが便利で、使い勝手は一番いいと感じています。 ただ、前も書きましたが、家のノートPCだとWindows2000ごと落ちるんです ね。会社では、Windows2000でも大丈夫。どちらもSP2当ててるんですけど。 Windows2000ごと落ちるということは、ドライバ周りで何かが起きているんだ ろうと思います。 これと、拡張子がないファイルの扱いがちゃんとしてくれればと思います。 あと、Mozillaは、この前、小池さんが宣伝してくださったように、18日に パーティがありますが、ぼく前日Ringの合宿で静岡泊まりなんですよね。あわ てて帰ってくるか、どうするか、考え中です。まあ、当日の流れ次第です。
Outlookを捨てよう
ASAHIネットのjouwa/salonから。
標題: Outlookを捨てよう --- 齊藤さんから。 --- ここから --- 既にこの件は他の方から連絡が行っているかもしれませんが、5月6日の乳の 詫び状に取り上げられていなかったので念のため。 asahi.com のコラムに Asahi Internet Casterというものがあります。この 火曜日のコラムの「デジタルストレス王」April 30, 2002が「ウイルスメール とOutlook Express」というタイトルでした。 http://www.asahi.com/column/aic/Tue/takuki.html これまではWindowsやOutlookの問題を取り上げるときには、きつく名指しはし なかった asahi.comですが、今回はとうとう具体的に、 > 最大の原因は、WindowsというOSが欠陥だらけだからだ。特に、 > Internet ExplorerとOutlook Expressという、今や世界のデファ > クトスタンダードとなったWEBブラウザとメールソフトが、「余計な > お世話」仕様になっているため、ウイルス作者のやりたい放題に > なっている。 と書いています。 過去の朝日新聞の記事では欠陥のことを書くにしても単に欠陥をウィルス作者 に突かれたというような書き方しかしませんでしたが、今回はコラムではあり ますが、HTMLメールは危険だということと、以前から指摘を受けているのにマ イクロソフトはいっこうに訂正しないということを、書いてくれました。 やはり世間一般には朝日新聞という看板つきの記事の方が信用されやすいので、 OutlookExpressをやめるように素人衆を説得する強力な材料が増えてうれしい なぁと、思っている次第です。 --- ここまで --- ほんと、OE(Outlook Express)とIEを捨てるだけで、どれほどウイルス被害 が減ることか。 最近も、海外支社から来た人のノートパソコンがウイルスに感染していて、 しかも、メールソフトはOEだという事例があったもんね(苦笑)。 齊藤さんが紹介してくださった鐸木能光さんのコラムでも、Klezがばんばん 送られてくるという話がありますが、ぼくんとこにもぼくから出したウイルス メール(すなわち、Klezに感染したパソコンから送られてくるメール)が、毎日 のように来ます。うざいの一言。 でも、いま、asahi-netのBBSに書き込まれた初心者の質問でも、知り合いの とこにメールで送った音楽が聴けない、どうしたらいいんでしょうかという質 問があって、使っているメールソフトがOEで、どうもHTMLメールでMP3ファイ ルを貼り付けているようなんですね。 もう、HTMLメールを送るのもやめて、OEを使うのをやめろと言いたいですね。 でも、知らずに使っている、それを指摘されるとびっくりするか怒り出すか、 どっちかでしょうね。 「拠らしむべし、知らしむべからず」という愚民統治政策は、まだまだ有効 ですねえ。 宣伝になりますが、拙著「ウイルス、伝染るんです」(廣済堂)でも読んでも らいたいもんです。 岩波ジュニア新書でも、草稿ではOEやIEなど危険なソフトは使わないように と書いていたのを、問題のあるソフトは使わないようにしましょうなどと、日 和ったのはまずかったか(苦笑)。 ところでいま、googleで「拠らしむべし、知らしむべからず」を引いたら、 TBSのニュース23の多事総論のページがトップに出ました。 http://www.tbs.co.jp/news23/taji/s51019.html です。 これによると、 --- ここから --- 普通には官僚やお上の独善性と言いますか「何も知らせない で俺の言うこと を聞いていればいいんだ」という形で使われることが多いんですが、本当は、 孔子様がこれを言ったのは、「色々知らせようとしても、非常に専門的な知識 やそういうものってのは皆が知ることはできないんだ。」と。だからむしろ大 事なのは、それが判らなくても政府なりお上の言っていることは正しいんだと いう信頼感を培うことが大事だと、そういう意味で言われたんだという説明も あります。 --- ここまで --- という意味もあるんだそうです。ご参考までに。
ゲイツ、法廷で証言
ASAHIネットのjouwa/salonから。
標題: ゲイツ、法廷で証言 --- MSの独禁法訴訟ですが、ゲイツが法廷で証言しました。初日はうまくやった ようですが、2日目には、だいぶ攻められて、司法省が和解した案に反対する9 州が出した是正案の有効性を認めたようです。詳しくは、 http://www.zdnet.co.jp/news/0204/24/e_gates.html Gates氏,是正案の効力を認める発言 http://japan.cnet.com/Enterprise/News/2002/Item/020425-1.html 是正案の有効性を否定できなかったゲイツ をどうぞ。 2つとも、原文が同じ記事ですが、訳はちょっと違うので、読み比べるのも 一興ですね。 この是正措置があったら、AppleやIntelを脅迫することはできなかったとゲ イツ自ら脅迫を認める発言をしたんだから、大変なもんです。 MSヤクザ体質モロバレですね。 ゲイツは、「マイクロソフトは製品に変更を加えるたびに、法に違反してい ないかを「いつまでたっても勘ぐられる」事態に追い込まれている」と証言し たそうですが、ゲイツ自身が証言したように、MSは汚い手段、非合法な手口で ライバルを潰して成り上がったという体質が改善されていないので、いつまで たっても疑われるのは当然ですね。