アカウント名:
パスワード:
まず、一般人の多くは、URLの文字列を意識していない(TLDの意味も分かっていない)し、拡張子を理解していないので、zipというTLDによるセキュリティ被害は生じません(Windowsはデフォルトでzipの拡張子を表示しません)。
そして、URLの文字列を意識してセキュリティ上の判断に使用しており、かつ拡張子も同様にセキュリティ上の判断に使用しているような逸般人は、TLDと拡張子を混同することはありません。
というか、テキストメールだと https://example.zip/ [example.zip] のように http や https などのスキーム名が表示されるのでweb上にあるデータだということは分かるし、仮に example.zip というファイル名(zipが拡張子)だと誤認したとしても、そもそもインターネット上のファイルの扱いは拡張子ではなくhttpヘッダーのMIMEタイプで決まるので拡張子でセキュリティリスクを判断すること自体がおかしいです。HTMLメールならばそもそもリンク文字列とリンク先が異なる設定ができるので追加のセキュリティリスクは生じません。
インターネット上にあるzipファイルをダウンロードしようとしている時点でセキュリティリスクは変わらんよねえ。
一般登録が始まった「.zip」ドメインは取り消されるべきなのか?https://gigazine.net/news/20230515-zip-tld/ [gigazine.net]
まぁ、.zipをまとめてブロックするのはやりやすいし、そこに悪意のある人が集まってくれたら逆にセキュリティは向上しそうだ。
# .cn はDNSレベルでブロックしてます。
チャットツールで「ファイルはsecret[.]zipをDLして展開して下さい」でsecret[.]zipがリンクになっていた時、・メッセージの投稿者が社内ネットワークに該当のファイルを設置してそのリンクを親切に設定した・メッセージの投稿者は該当ファイルは既に所持していると思っていて名前を書けば意図が伝わると思ってリンクを設定してないが、チャットツールがおせっかいでevilなドメインにリンクを貼ってしまったのかの判断なんて瞬時に不可能だろ。
フォーカス当ててブラウザのツールチップ見ても、今どきのSPAアプリだとクソ長くて省略される事もザラだし専用のWUPアプリだとリンクを右クリックからコピーして確認する必要があるし。
http:// (自動リンク回避のため全角にしました) や https:// を書かずに、example.zip と書いただけで勝手に http:// や https:// が補完された形でのリンクになるチャットツールってあります?
ひょっとすると .com ならあるかもしれないけど、example.reit とか example.pub とか example.coop のようなマイナーTLDでリンクになるチャットツールなんて見たことがないですが。(上記の3つのTLDは実在するTLDです)
現状有るかどうかは知らないけど、今後作るなら気を付けようね、というポイントが増えちゃったという話ではあるわな。自動でリンクするやつを実装しようぜ、面倒くさいから最後が.とTLDになってる文字列は全部変換だ、という安直な実装はダメ、と。既存のライブラリを使う場合でも、そのライブラリの仕様をちゃんと注意しようね、と。
何がどう繋がるとTLDと拡張子の混乱が起こるのかさっぱり理解出来てなかったけど、そういうコンボなんだ! という気付きは得られた。
拡張子をデフォルトは表示しないけど、zipが有名なので、hogehoge.zip.lnk みたいなショートカットが横行したり、httpsを勝手に埋めちゃうブラウザとかアシスタントとかが勝手にアクセスしたり。
拡張子表示してもショートカットは拡張子が出ないし。
アクセスしてzipファイルがダウンロードされるならそこで一旦止まるけど、アクセスするだけで感染する様なサイトを開ける可能性がグッと上がる。MIMEタイプできまる〜の前にアクセスさえしてくれればいいというケースなら、そんな単語が出てきた時点でだめでしょうよ。zipファイルをダウンロードさせたいだけとは限らないわけで。クラウドなのでブラウザに貼り付けて!ってメールきたら貼り付ける人割といそうに思う。
過剰に心配するのも問題だけど、過剰に「問題ありません」って言うのも問題じゃないかね。悪い奴らは裏をかこうとあの手この手でくるのだし、PCについてわかってない人のなかにも怖いもの知らずにクリックしまくる人もいるでしょうし。
自分の想像力の上を行く手口があるかもしれないのに「全く問題が無い」と言い切る自信はどこから。
h+tps://wwww.boo.comVupdate.zip をクリックし、update.zipをダウンロードしてクリックして解凍してください。と説明して virus.exe をダウンロードさせてたら?
ま、www.boo.info/Asoftware.com とかしてAsoftware.comを実行させるみたいなのと同じなので、.zipが現れてもバリエーションが増えるだけに過ぎないけど。
システムの問題じゃなくて人間を騙す手口に使われる可能性がある限り「全く問題ない」というわけでもない。
元コメには「そもそもインターネット上のファイルの扱いは拡張子ではなくhttpヘッダーのMIMEタイプで決まるので拡張子でセキュリティリスクを判断すること自体がおかしい」とあるでしょ。
https://www.example.com/hoge.html [example.com] にアクセスした際にリダイレクト無しで exe や zip をダウンロードさせることが可能なの。 https://www.example.com/hoge.zip [example.com] が zipだと思ったらexeファイルからもしれないし、逆も有り得る。ダウ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
セキュリティ上全く問題がない (スコア:2, 興味深い)
まず、一般人の多くは、URLの文字列を意識していない(TLDの意味も分かっていない)し、拡張子を理解していないので、zipというTLDによるセキュリティ被害は生じません(Windowsはデフォルトでzipの拡張子を表示しません)。
そして、URLの文字列を意識してセキュリティ上の判断に使用しており、かつ拡張子も同様にセキュリティ上の判断に使用しているような逸般人は、TLDと拡張子を混同することはありません。
というか、テキストメールだと https://example.zip/ [example.zip] のように http や https などのスキーム名が表示されるのでweb上にあるデータだということは分かるし、仮に example.zip というファイル名(zipが拡張子)だと誤認したとしても、そもそもインターネット上のファイルの扱いは拡張子ではなくhttpヘッダーのMIMEタイプで決まるので拡張子でセキュリティリスクを判断すること自体がおかしいです。
HTMLメールならばそもそもリンク文字列とリンク先が異なる設定ができるので追加のセキュリティリスクは生じません。
Re: (スコア:0)
インターネット上にあるzipファイルをダウンロードしようとしている時点でセキュリティリスクは変わらんよねえ。
Re: (スコア:0)
一般登録が始まった「.zip」ドメインは取り消されるべきなのか?
https://gigazine.net/news/20230515-zip-tld/ [gigazine.net]
Re: (スコア:0)
Re: (スコア:0)
まぁ、.zipをまとめてブロックするのはやりやすいし、そこに悪意のある人が集まってくれたら逆にセキュリティは向上しそうだ。
# .cn はDNSレベルでブロックしてます。
Re: (スコア:0)
チャットツールで「ファイルはsecret[.]zipをDLして展開して下さい」
でsecret[.]zipがリンクになっていた時、
・メッセージの投稿者が社内ネットワークに該当のファイルを設置してそのリンクを親切に設定した
・メッセージの投稿者は該当ファイルは既に所持していると思っていて名前を書けば意図が伝わると思ってリンクを設定してないが、チャットツールがおせっかいでevilなドメインにリンクを貼ってしまった
のかの判断なんて瞬時に不可能だろ。
フォーカス当ててブラウザのツールチップ見ても、今どきのSPAアプリだとクソ長くて省略される事もザラだし
専用のWUPアプリだとリンクを右クリックからコピーして確認する必要があるし。
そんなチャットツール有る? (スコア:0)
http:// (自動リンク回避のため全角にしました) や https:// を書かずに、
example.zip と書いただけで勝手に http:// や https:// が補完された形でのリンクになるチャットツールってあります?
ひょっとすると .com ならあるかもしれないけど、
example.reit とか example.pub とか example.coop のようなマイナーTLDでリンクになるチャットツールなんて見たことがないですが。
(上記の3つのTLDは実在するTLDです)
Re: (スコア:0)
現状有るかどうかは知らないけど、今後作るなら気を付けようね、というポイントが増えちゃったという話ではあるわな。
自動でリンクするやつを実装しようぜ、面倒くさいから最後が.とTLDになってる文字列は全部変換だ、という安直な実装はダメ、と。
既存のライブラリを使う場合でも、そのライブラリの仕様をちゃんと注意しようね、と。
何がどう繋がるとTLDと拡張子の混乱が起こるのかさっぱり理解出来てなかったけど、そういうコンボなんだ! という気付きは得られた。
Re: (スコア:0)
拡張子をデフォルトは表示しないけど、zipが有名なので、
hogehoge.zip.lnk みたいなショートカットが横行したり、httpsを勝手に埋めちゃうブラウザとかアシスタントとかが勝手にアクセスしたり。
拡張子表示してもショートカットは拡張子が出ないし。
アクセスしてzipファイルがダウンロードされるならそこで一旦止まるけど、
アクセスするだけで感染する様なサイトを開ける可能性がグッと上がる。
MIMEタイプできまる〜の前にアクセスさえしてくれればいいというケースなら、そんな単語が出てきた時点でだめでしょうよ。
zipファイルをダウンロードさせたいだけとは限らないわけで。
クラウドなのでブラウザに貼り付けて!ってメールきたら貼り付ける人割といそうに思う。
過剰に心配するのも問題だけど、過剰に「問題ありません」って言うのも問題じゃないかね。
悪い奴らは裏をかこうとあの手この手でくるのだし、PCについてわかってない人のなかにも怖いもの知らずにクリックしまくる人もいるでしょうし。
Re: (スコア:0)
自分の想像力の上を行く手口があるかもしれないのに「全く問題が無い」と言い切る自信はどこから。
h+tps://wwww.boo.comVupdate.zip をクリックし、update.zipをダウンロードしてクリックして解凍してください。
と説明して virus.exe をダウンロードさせてたら?
ま、www.boo.info/Asoftware.com とかしてAsoftware.comを実行させるみたいなのと同じなので、.zipが現れてもバリエーションが増えるだけに過ぎないけど。
システムの問題じゃなくて人間を騙す手口に使われる可能性がある限り「全く問題ない」というわけでもない。
httpの仕様を知らないのなら黙っていたら? (スコア:0)
元コメには「そもそもインターネット上のファイルの扱いは拡張子ではなくhttpヘッダーのMIMEタイプで決まるので拡張子でセキュリティリスクを判断すること自体がおかしい」とあるでしょ。
https://www.example.com/hoge.html [example.com] にアクセスした際にリダイレクト無しで exe や zip をダウンロードさせることが可能なの。
https://www.example.com/hoge.zip [example.com] が zipだと思ったらexeファイルからもしれないし、逆も有り得る。
ダウ