先のエントリの続き。
.NET Framework に実装されているセキュリティ機能ですが、ローカルコンピュータにインストールしたものについては、デフォルトではほとんど機能しないことを示しました。では、次の OS、Windows Vista ではどうでしょうか。
私はベータ版をインストールしていない(Virtual PC にインストールしたが、重すぎて使えない)ので、日経 BP の記事を参考にします。→【MDC2006】どんなソフトが動かなくなる?---Vistaの重要な仕様変更点が明らかに
この記事の中では、多くの「作りの悪いソフト」が動かなくなる可能性がある
と、書かれています。どんなものが、「作りの悪いソフト」といわれているのでしょうか。
- 「OSのバージョンをチェックするプロセスが,新しいバージョンに対応できない」
- 特殊なフォルダを、API からではなく、特定の名前でアクセスする
- OS のコアな設定を、ユーザの許可なく変更しようとする
- MSI 3.1 以降に対応していないアプリケーションで、動作に管理者権限を必要とするようなもの
- ActiveX など、インストールを必要とするオブジェクトのある Web ページ
- システムファイルを削除、あるいは書き換えようという行為
- Windows サービスプログラムへ接続しようとする行為(あるいは権限昇格を狙う脅威)
すばらしい!Administrators グループに所属するユーザでログインしていても、またパスワードを聞かれるというのは、いいですね。先のエントリで問題だと思っていたことが、OS レベルでクリアされています!!
利用する立場から考えると・・・自分が何かをしようとしているときは、「それをするために Administrators になっているんだから、いちいち聞いてくんな!」と思うのかもしれません。また、これによって WindowsUpdate が阻害されるなら、それもいただけません。
しかし、誰のためのセキュリティ?もちろん、エンドユーザのためのセキュリティであるはず。ユーザのセキュリティを守る立場に立って開発するなら、行儀の悪い振る舞いをする必要はないでしょう。
中さんからコメントをいただいていました。
ローカルにインストールされたものと、ネットワーク越しとは明確に分かれている必要があります。
はい。分かれていない、分ける必要がないとは言っていません。ローカルにインストールすることによって、ネットワーク越しであるべきものがローカルに、いわば権限が昇格してしまう、と言っています。このとき、インストールしようとするソフトウェアが、どんなことを行うのかわからないのは、問題ではないでしょうか。これは、私が社内運用のノータッチデプロイメントアプリのために作った「.NET Framework をインストールするついでに、こそっとセキュリティ権限を変更するソフト」のように、ユーザに告知されている機能以外の機能を含んだソフトウェアのことを言っています。
現在の姿は、現在の状況に合わせて必然なのです。
そうは思えません。現在の状況に合わせた必然ではなく、マイクロソフトが望む「あるべき姿」に向けた必然、ではないでしょうか。私が今いる会社では、つい半年前まで NT4.0 が稼働していました。えっと、この先は、やめておきます。そういうわけで、Windows 2003 Server で Active Directory な環境。Windows 9x なんて1台もないぜぇ~!って環境は、かなり恵まれた環境ではないか、と思います。
投稿日時 : 2006年2月17日 22:16