<前の日記(2006年05月12日) 次の日記(2006年05月16日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 107   昨日: 2432

2006年05月13日

IE 7のセキュリティ改善を台無しにするIE 7 Beta2日本語版

「セキュリティで保護された」というと何を思い浮かべるだろうか。Windows用語のような気がするが、普通は、SSLによる接続( https:// ページへのアクセス)のことを連想するだろう。(「セキュリティ(暗号化処理)で保護された接続」など。)

それはともかく、Internet Explorer 7 がさまざまなセキュリティ上の改良を施していることは既に報道等で伝えられているところだ*1が、報道されていないところとして、「インターネットゾーン」のセキュリティ設定の画面の改善がある。

凶悪設定3兄弟の改善

図1の「Download signed ActiveX controls」の部分は、日本語版で言うところの「署名済み ActiveX コントロールのダウンロード」という、悪名高い設定項目で、アホな業者がしばしばこれを「『有効にする』にせよ」と誤った設定を指示して人々を危険にさらしてきたものだ。

これら凶悪設定トップ3は、そもそもそんな設定は不必要なのだから設定不可能なようにしてしまうべきだが、IE 7では一応の改善があった。図1のように、「Enable」(有効にする)の項目には「(not secure)」(安全でない)と補足が書かれており、「Prompt」(ダイアログを表示)の項目に「(recommended)」(推奨)と書かれている。

図1: IE 7 Beta 2のインターネットゾーンのセキュリティ設定画面(英語版)

そして、同図右のように、「(not secure)」な項目を選択すると、その設定項目部分の背景色が赤っぽくなり、項目タイトルの「Download signed ActiveX controls」の右の部分に、「(not secure)」と表示され、この項目が「安全でない」設定になっていることを警告するようになった。

今後ユーザは、ここが「赤くなるような設定で使ってはいけない」ということになる。

そして、IE 7 Beta 2の日本語版が先日リリースされた。この画面がどうなっているかを確認したところ、図2のようになっていた。

図2: 図1の日本語版での翻訳

なんだこの「(セキュリティで保護されていない)」というのは。SSLが使われていないとでも言いたいのか?

マイクロソフトの日本語化係の人は、「安全でない (not secure)」という言葉をどうしても使いたくないのだろうか。*2

クリップボード盗聴機能の改善

次に、IE 7では、クリップボード盗聴の問題がやや改善された。

IEはデフォルト設定(「スクリプトによる貼り付け処理の許可」を「有効にする」の設定)のまま使うと、悪意あるサイトを訪れたときに、クリップボードの内容(コピーペーストして入力したパスワードや、会社の機密文書の編集内容など)を盗まれてしまう問題があった。これは1999年から指摘されていたのに一向に改善される様子がなかった。

それが、IE 7 Beta2では、この「スクリプトによる貼り付け処理の許可」のデフォルト設定が、図3のように「ダイアログを表示する」に変更された。

図3: クリップボードアクセス機能の設定(日本語版)

この設定で、クリップボードにアクセスするJavaScriptを含むページを表示すると、図4の確認ダイアログが出る。

図4: クリップボードにアクセスする際の確認ダイアログ(IE 7 Beta2の場合)

IE 6での確認ダイアログのメッセージ(図5)と違って、意味がわかるようになった。

図5: クリップボードにアクセスする際の確認ダイアログ(IE 6の場合)

ただし、IE 6 のインストールされた Windowsに IE 7 を上書きインストールした場合、IE 6の設定が引き継がれるようなので、何も知らない人は(IE 7をインストールしても)この設定は「有効にする」のままとなるおそれがある。「IE 7をインストールしたらインターネットゾーンのセキュリティ設定をリセットしよう」と推奨するのがよいかもしれない。リセットは図6のように「既定のレベル」ボタンを押せばよい。

図6: 「既定のレベル」ボタンを押してインターネットゾーンのセキュリティ設定をリセットする

ところで、その「スクリプトによる貼り付け処理の許可」という設定項目は、いかにも意味不明なタイトルだった。「貼り付け」とうのがコピーペーストのペーストのことであることがまずわからないうえ、「スクリプトによるペースト」と言われてもなんのことだかわかるわけがない。

それが、英語版のIE 7 Beta2 では改善された。図7のように、「Allow Programmatic clipboard access」というタイトルに変更されたのだ。日本語訳すれば、「プログラムによるクリップボードへのアクセスの許可」といったところか。

図7: クリップボードアクセス機能の設定(英語版)

この改善がなぜか、同じバージョンの日本語版ではスキップされている。

*1 アドレスバーの常時表示、オレオレ証明書の拒否、アドレスバーの色分け表示、錠前アイコンの位置と内容表示方法の改善など

*2 どうやら、マイクロソフトの全社的翻訳方針として、「secure」という英単語はすべて「セキュリティで保護された」と機械的に置き換えているようだ。マイクロソフトのサイトには以前から「セキュリティ保護された .NET Web アプリケーションの構築」というコンテンツがあった。表題からは「IISで SSLを使う方法の解説かな?」という印象を受けるが、中身は安全なWebアプリケーション開発の解説になっていて、違和感を覚えていた。調べてみるとこのコンテンツの英語版は「Building Secure ASP.NET Applications」というタイトルだった。ここでも「Secure」が「セキュリティ保護された」に置き換えられているようだ。safe と secure を区別したいということなのだろうが、もうちょっとどうにかならないものか。

本日のTrackBacks(全4件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20060513]

高木浩光@自宅の日記 - IE 7のセキュリティ改善を台無しにするIE 7 Be...

タイトルと内容にかなり落差があるように思います。「IE 7のセキュリティ改善を台無しにする」という表現からは、どんな馬鹿なことをやっているのかと期待して読んでみると、重箱の隅レベルの内容でした。

高木浩光@自宅の日記 - IE 7のセキュリティ改善を台無しにするIE 7 Beta2日本語版

検索

<前の日記(2006年05月12日) 次の日記(2006年05月16日)> 最新 編集

最近のタイトル

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|
<前の日記(2006年05月12日) 次の日記(2006年05月16日)> 最新 編集