今回の攻撃の問題は,「単にWebページにアクセスしていた」だけにもかかわらず,ユーザーが気づかないうちにJavaスクリプトが実行され,Windowsマシンのレジストリファイルが改変されてしまう点だ。そのページに悪意あるスクリプトが埋め込まれていても,見た目からは判断できない。
ZDNetエンタープライズ:受動的攻撃再び〜Webページを見るだけでレジストリを書き換え より
JavaScriptというより、JAVAでは。VMのセキュリティホールだという話だし。なんでもかんでもJavaScriptのせいにしないでもらいたいよ。document.applets[0].***()
とかでHTML内のJAVAアプレットのメソッドを呼び出しているだけなんじゃないのかなぁ。JAVA自体は知らないけど。
「JavaScriptでレジストリが書き換えられる」と思われたらたまらない。
仮にJavaScriptをオフにしたとして、このケースは回避できても根本的な解決にはならないはず。というか、オフにする必要さえない。以下IEのセキュリティ設定。
1.は、JavaScriptとJAVAの関連性を断つらしい。