先日の続きです。

バッファローさんが、Web などで提供しているドライバー類の圧縮・アーカイブに LZH を使ってますね。たとえば、これ↓。

BUFFALO バッファロー http://buffalo.jp/download/driver/hd/slw.html
> ドライバーダウンロード SecureLockWare

slw_266.exe.LZH とかに改名すると、UNLHA32.DLL で解凍できます。

こういうことやるのは、バッファローさんの自己解凍書庫などには現在のところ「ディジタル署名はない」からなんですね、exe を実行する前に中身を確認したいと。

ハッシュ値の情報すらないです、ファイルサイズだけが公表されているという。

※ co.jpドメインでも無いですし、https://buffalo.jp/ もアクセス出来ません。

バッファローさんだけでなく、他社さんのでも LZH な拡張子にしてみたらままアーカイバーで解凍できた経験はあります。社名を思い出せませんけれど。(w

ダウンロードしたら即自前でハッシュしてテキストファイルに保存しておいてみたり、速攻ダウンロードしてもしばらく寝かせておいてみたり、テストマシンにはインストールしても本番機には入れずに長いこと放っておいてみたり、割とまめに VirusTotal とかへ検体(?)提供してみたり、複数のソフトでチェック掛けてみたり、DLL は 呼び出し側でも対策されているモノ経由で使ってみたり、と云うようなことをやるのは、そういうわけもあります。ウイルスがチェックをすり抜けて来ちゃってたりするので。

あとは、書庫ソフトに限らず、いわゆるフリーソフトウェア類はなるべくベクターさんとか窓の杜さんとかでレビューされているものを使う、なんてことも。海外だと cnet あたりまででしょうか。

※ SSL では無いけれど、ベクター、窓の杜どっちも co.jp ドメインだったり。まあ秋保窓の頃は ac.jp でも構わず使ってましたけど。

それとディジタル署名がプログラム本体とそのインストーラーにはあっても、パターンファイルやアップデーターのソレには署名なしってベンダーさんがありますけれど、LZH に限らずアーカイバーが問題になる時などは特に、「書庫の中身には署名してあるから良いでしょ」、ってもんでもないかとも思います。

(関連)

ベクター http://www.vector.co.jp/info/100607_unlha32dll.html
> UNLHA32.DLL等の開発中止と弊社配布ソフトの安全性に関して

展開して中身チェックしてくれてるなら、LZH だろうが ZIP だろうがコンシューマーユーザーにはどっちでも同程度なお話しかも。

SSL で提供されていたり、ちゃんとディジタル署名されてたり、ハッシュ(sha256、pgp/GnuPG の sig、etc.) が安全に入手出来たりする方が、ユーザーにとっては重要な気がします。

http://d.hatena.ne.jp/TsuSUZUKI/20100527/1274907335

※ 続々・(引用記事) ウイルス検索エンジン VSAPI 9.120 公開のお知らせ

いじょうです。

• • -