BrowserCrasherChecker は,作者の技量不足のため正確なチェックが行われていない可能性が多々あります。困ったものですね(←他人事)。
お調べになった URL が本当に危険かどうかは,以下を参考にして下さい。
誤診のほとんどがこの診断です。いわゆる「HTML エディター」などでページを作成すると,まれにハードディスクへアクセスしてしまうようなタグを残してしまう場合があります。チェッカーはこれを誤診してしまうのです。
- 対象 URL
- http://www.minima.ne.jp/pages/
- FDD アタック / concon クラッシャー等 [img タグ等]
- IMG タグや JavaScript 等により file スキーマを参照します。
ブラウザの設定によってはフロッピーディスクドライブに不要なアクセスが続いたり, OS がクラッシュする可能性があります。
補足:この診断はおよそ 10 分の 1 の確率で誤診です(2002年1月現在)。(中略)
以下のURLもチェックできます
- BODY から呼び出されたURL:
- base.jpg
- IMG から呼び出されたURL:
- face1.jpg
- file:///c|/myprojects/ent/face2.jpg
- face3.jpg
- face4.jpg
- face5.jpg
- A,AREA から呼び出されたURL:
- index.html
- page2.html
- malito:minima@mail.to
この例でチェッカーは「IMG から呼び出された URL」の
file:///c|/myprojects/ent/face2.jpg
を危険なコードと判断しています。おそらく HTML の中に
<IMG src="file:///c|/myprojects/ent/face2.jpg" width="120" height="120" alt="face2">
のような記述があるのでしょう。
しかしこれは危険ではありません。なぜならばフロッピーディスクドライブにアクセスするわけでも,デバイスに不正にアクセスする“concon クラッシャー”でもないからです。
では,どのようなコードが危険なのでしょうか。まず“FDD アタック”の実装例を見てみましょう。
以下の URL もチェックできます
- IMG から呼び出された URL:
- ban_1.gif
- file:///a|/1.jpg
- file:///a|/2.jpg
- file:///a|/3.jpg
- file:///a|/4.jpg
- file:///a|/5.jpg
file:/// とは,あなたのマシンのフロッピーディスクやハードディスクにアクセスすることを表わしています。「file スキーマにアクセス」と呼ぶと専門的でカッコいいかも知れません。そして次が問題。
a|/ は,A ドライブにアクセスすることを表わします。もしもあなたのマシンの A ドライブがフロッピーディスクドライブの場合,このコードはあなたのフロッピーディスクにアクセスします。
これがいくつも連なっていれば,間違いなく“FDD アタック”となります。
また file:///a|/1.jpg ではなく a:\1.jpg などと記述されているかもしれません。この場合も A ドライブへアクセスされることになります。
まれに file:///a|/web/image/image01.jpg などと,意味のありそうな(?)パスが表示されるかも知れません。このような場合(なかなか判断は難しいかも知れませんが)サイトの管理者さんに悪意はありません。メールなどでそっと教えてあげるといいかも?
NEC(※) 製のマシンでは,もしかしたら A ドライブはハードディスクかも知れません。だとするとこのブラクラで驚くことはないでしょう。また Macintosh をお使いの方や UNIX,Linux,BeOS など,Microsoft 社製以外の OS をお使いの場合,フロッピーディスクドライブを「A ドライブ」とは呼ばないかも知れません。この場合も,このブラクラは無視することができます。
※ 失礼ながら NEC のトップのページはお世辞にも使い易いとは言えないので,「テキスト版」の方をオススメします。URL の後ろに index-t.html をつけてアクセス!
次に“concon クラッシャー”の実装例を見てみましょう。このブラクラは Microsoft Windows95/98/98SE をお使いの方のみが心配すべきコードです。それ以外の OS では関係ありません。
以下のURLもチェックできます
- IMG から呼び出されたURL:
- kokoku.gif
- file:///c|/con/con
上の例が,“悪意のある”concon クラッシャーとして標準的な仕掛けです。画像を表示させるための <IMG> タグを用いて,不正なアクセスを誘発しています。
c|/con/con とは“C ドライブの con というフォルダの con というファイルにアクセス”を表わします。con とは「デバイス名」と呼ばれ,Windows のシステムが特別な目的で使用する名前。試しに「メモ帳」などで何か書いて,con というファイル名で保存してみてください ── おそらく保存できないはずです。
この「デバイス名」を 2 つ以上含む URL にアクセスすると,Windows はクラッシュしていまいます。
2 つ以上なので,例えば file:///c|/con だけでは痛くも痒くもありません。
危険な例を挙げておきます。
デバイス名は con だけではありませんが,このようなブラクラを仕込む“厨房”に他のデバイス名を調べる知識はないでしょう。もしくは他のデバイス名を使うような,ある種のオリジナル・メイキングの精神なんて高尚なものを持つとは考えられません。よってとりあえず「con が出てきたら危険!」と憶えておけば良いと思われます。(←ここら辺,ブラクラ厨房(※)を徹底的に批難してます。わらぃ)
その他のデバイス名についてはDecon ( 株式会社テクノクラフト ) のサイトに掲載されています。
※厨房・・・「中坊」の誤変換。「中坊」とは中学生を指す。転じて精神年齢の低い輩のこと。中学生よりも精神年齢が低かったりしてね。