みんなの「教えて(疑問・質問)」にみんなで「答える」Q&Aコミュニティ

こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

締切り済みの質問

開発者はどこまで悪意ある使用を対処すべきか?

たとえば、スクリプトやPython、HTMLのコードを定期的に実行するソフトを配布するとする。例えばね。

それを悪意ある人が、サンプルコードや定期的に実行するスクリプトに、悪意あるコードを混ぜたものを、再配布とか考えると、対処すべきなんかな?と、かなり悩む。

みなさんはどう考えてますか?

投稿日時 - 2019-06-17 09:12:27

QNo.9626609

困ってます

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(5)

ANo.5

>HTMLでも、JavaScriptやVBScriptは実行される可能性はありますよ。

JavaScriptやVBScriptはHTMLじゃないので含めてないです。

投稿日時 - 2019-06-17 22:00:14

補足

セキュリティ対策のカテで、HTMLの話題になり、

>JavaScriptやVBScriptはHTMLじゃないので含めてないです。
という発言を、あとから考えると、どう思いますか?

たしかに、HTMLはJavaScriptやVBScriptではないのですが、セキュリティを考える上では、切り離してはいけないものだと、感じます。

HTMLメールで、ウィルスに感染した人も多いでしょう。
この場合のHTMLは、スクリプトを含んだHTMLのことです。

あなたは正しくもあり、セキュリティの回答をする上では、正しくないとも言えます。

>JavaScriptやVBScriptはHTMLじゃないので含めてないです。
という回答は、なぜ生まれてしまったか?は、思い当たることはありますか?

例えばなんだろうね、「あなたは、言葉の定義を大事に考えるタイプ」だからとか?
何か思い当たることがあれば、回答お願いいたします。

投稿日時 - 2019-06-20 21:09:47

お礼

HTMLで、JavaScriptを想定できないのなら、言葉を選ぶ言い方になっちゃうなー。苦笑
でも、一昔前のAIならそういう解釈をしそうだよね。
HTMLトJavaScriptはチガウモノデス、ピーがガガガ、的な。

面白かった。ありがとう。

投稿日時 - 2019-06-18 11:57:37

ANo.4

悪意による改変を防ぐひとつの方法としては、
ソフト自身にチェックをさせる方法があり、
実際に運用されています。

例えば以下のようなやり方があります。
WindowsでMD5/SHA-1/SHA-256ハッシュ値を計算してファイルの同一性を確認する
https://www.atmarkit.co.jp/ait/articles/0507/30/news017.html

上記記事にもありますが、ソフト自身ではなく、
利用者がダウンロードしたとき、
その利用者にチェックさせる方法もあります。

もしくは信頼ができるサイトからのダウンロード以外は
しないよう、あらかじめ通知する運用方法もあります。


Excel VBAのような製品に利用者独自のコードを実行させる
機能のことを質問されていないとしてご案内しています。


開発した製品のコードを簡単に改変できるということは、
コードの全てが把握される可能性につながります。
つまり、資産の流出につながる危険です。
通常は、開発環境でないと簡単にはできませんし、
それができるような配布はされないのが一般的です。
(オープンソースならば公開されてますが今回の主旨ではないですね)


ソフトのライセンス(利用者に認める使用方法や範囲)には、
通常は利用者による再配布は認めないことが多いです。

以上、参考にならなかったらごめんなさい。

投稿日時 - 2019-06-17 11:27:16

補足

全然余談的な質問なんですが。

まず、汎用的なスクリプト作成補助ツール(ユーザーが任意でスクリプトを書き換えられるもの)というのを、ぶっちゃけ、書き忘れました。
それに関しては、回答者のみなさまには、何の不備や回答の内容自体に、不満はありませんし、それについての回答は不要です。
知りたくなったら、再度質問いたします。

聞きたいのは、
>スクリプトやPython、HTMLのコードを定期的に実行するソフトを配布するとする。

から、質問者は「決まったスクリプト以外(汎用的なスクリプト)も作るツールを想定しているだろうなー」、と、どの程度推測していましたか?
回答の趣旨は、開発者が提供するものの確実性の証明、という話だと感じました。

これ、事後バイアスによって、その時は推測していなくても、あとからの情報によって、”それは推測していた”と、勘違いするケースは、非常に多いので、難しい質問だと思うのですが。

投稿日時 - 2019-06-20 21:01:54

お礼

そもそも、決まった動作を自動実行させるのなら、ブマログラム内に書くのが普通。問題になるのは指摘通り。正しい。
でも、そうではないとすると、ユーザーが変えることも想定しているのかな?
と言うのは、やはり、難しいですかね。

ぶっちゃけ、書き忘れました。

シェルスクリプトの簡易フロントエンドみたいなものを、質問では想定していましたが、ぶっちゃけ書き忘れました。
ごめんなさい。

そして、回答ありがとうございます。

投稿日時 - 2019-06-18 12:02:26

オリジナリティを保証する(改変できない)仕組みとか、オリジナリティを証明する仕組みとかは必要だと思う。 それは技術者個人というよりは業界として取り組んだ方がいい問題だと思うけどね。 (^^;)

投稿日時 - 2019-06-17 09:48:42

補足

全然余談的な質問なんですが。

まず、汎用的なスクリプト作成補助ツール(ユーザーが任意でスクリプトを書き換えられるもの)というのを、ぶっちゃけ、書き忘れました。
それに関しては、回答者のみなさまには、何の不備や回答の内容自体に、不満はありませんし、それについての回答は不要です。
知りたくなったら、再度質問いたします。

聞きたいのは、
>スクリプトやPython、HTMLのコードを定期的に実行するソフトを配布するとする。

から、質問者は「決まったスクリプト以外(汎用的なスクリプト)も作るツールを想定しているだろうなー」、と、どの程度推測していましたか?
回答の趣旨は、開発者が提供するものの確実性の証明、という話だと感じました。

これ、事後バイアスによって、その時は推測していなくても、あとからの情報によって、”それは推測していた”と、勘違いするケースは、非常に多いので、難しい質問だと思うのですが。

投稿日時 - 2019-06-20 21:01:30

お礼

ユーザーが改変する前提だと、さらに悩ましいですよね。
スクリプトは書けないが、汎用的に自動化したい人のための補助ツールとか。
ある程度は、スクリプトの関数から、ファイルが削除されるとか、アラートを出した方が良いですかね。

ありがとうございます。

投稿日時 - 2019-06-17 10:34:06

ANo.2

 天才が作ったソフトでも、悪用するウイルスソフトがばら撒かれて、批判を浴びる結果になった例が数多くありますから、そこまで考えてソフト開発しても無駄に終わるでしょうね。

 市販のソフトでも、ウイルス対策がイタチごっこになっている例が多いです。マイクロソフトのWINDOWSが良い例です。

投稿日時 - 2019-06-17 09:43:38

補足

全然余談的な質問なんですが。

まず、汎用的なスクリプト作成補助ツール(ユーザーが任意でスクリプトを書き換えられるもの)というのを、ぶっちゃけ、書き忘れました。
それに関しては、回答者のみなさまには、何の不備や回答の内容自体に、不満はありませんし、それについての回答は不要です。
知りたくなったら、再度質問いたします。

聞きたいのは、
>スクリプトやPython、HTMLのコードを定期的に実行するソフトを配布するとする。

から、質問者は「決まったスクリプト以外(汎用的なスクリプト)も作るツールを想定しているだろうなー」、と、どの程度推測していましたか?

これ、事後バイアスによって、その時は推測していなくても、あとからの情報によって、”それは推測していた”と、勘違いするケースは、非常に多いので、難しい質問だと思うのですが。

投稿日時 - 2019-06-20 20:59:58

お礼

そんなものですかね。
ありがとうございます。

投稿日時 - 2019-06-17 10:29:49

ANo.1

例えばですが、HTMLファイルは単なるテキストファイルだから、実行しても何も起きないと思います。

悪意ある人が使えば、何でも悪い結果を生むので気にしません。

悪意のある人が、悪用により社会に与える悪影響を未然に防ぐ法律が必要で、そのための意見を技術者から得れば合理的だと思います。

投稿日時 - 2019-06-17 09:41:48

補足

全然余談的な質問なのですが、「HTMLファイルは単なるテキストファイル」といいますが、スクリプトやPythonも、テキストファイルというのは、知っていましたか?

HTMLが、プログラミング言語ではなく、マークアップ言語の一種というのは、知識にあり、そういうニュアンスなんだろうなー、というのは理解できると思うのですが、閲覧者の多くの人は、「スクリプトやPythonも単なるテキストファイルだけどね(苦笑)」と思ったとは、思います。

言葉の文だとしても、もうすこしうまい言い方はあったかと思います。

それができなかった理由は、ご自分では何が上がると思いますか?
揚げ足を取るわけではなく、回答者の回答に至る理由が知りたいので、なんでも。
「他の質問に早く回答したかったから、回答をよく見なおしていなかった」「Pythonはよく知らない言語だったので」とか、そんなでも。

投稿日時 - 2019-06-20 20:59:23

お礼

HTMLでも、JavaScriptやVBScriptは実行される可能性はありますよ。

でも、そんなもんですかね。
ありがとうございます。

投稿日時 - 2019-06-17 10:30:54

あなたにオススメの質問