名前: 奥村晴彦 日時: 2001-06-10 09:38:28 IPアドレス: 210.236.185.*
> dviout で関連するのは、HyperTeX のみですが(拡張子による関連づけでの自動実 > 行)、明示的にクリックしないと実行されない上、さらに、怪しいファイル(拡張子 > が特別のもの、あるいは、拡張子が無いなどの理由で、そのファイルが見つからない > -- 実行ファイルは、拡張子なしでパス検索されて実行される --)の場合、クリック > しても必ず実行前に注意を促すWarningを出すようにしています。 IE なども頻繁に warning を出すけれども煩わしいので読まずに Ok する癖が ついてしまっている人が多いと思います(学生の多くは日本語でも警告の意味 がわからず,まして英語ではお手上げ)。 ちなみに,kpathsea の info には次のように書かれています。 A TeX document, however, can write to arbitrary files, e.g., `~/.rhosts', and thus an unwitting user who runs TeX on a random document is vulnerable to a trojan horse attack. This loophole is closed by default, but you can be permissive if you so desire in `texmf.cnf'. *Note tex invocation: (web2c)tex invocation. MetaPost has the same issue. Dvips, Xdvi, and TeX can also execute shell commands under some circumstances. To disable this, see the `-R' option in *Note Option details: (dvips)Option details, the xdvi man page, and *Note tex invocation: (web2c)tex invocation, respectively. 最近の TeX インプリメンテーションではデフォルト安全にしてあると思いま すが,dvips はそうでなかったようです。 Ghostscript はたぶん今でもデフォルト危険,-dSAFER で安全なんでしょうか。 だとすれば,PostScript は何でもできるプログラミング言語なので,仮に dvi + EPS の形で配布される文書で dvi ドライバが gs を -dSAFER なしで起 動するようになっていると危険です。 > しかし、Windowsマシンはインタネットを通じての外部からの侵入には穴だらけの > ようで、常時接続が増えてくると、これからどうなるのでしょう? 朝日新聞には常時接続は危ないのでこまめに電源を切れと書いてありましたが, そこで出されている例が,危ないサイトを一度開いただけで感染するものです ので,実際にはこまめに電源を切ることによっては防げないということの例証 になっています。
この書き込みへの返事: