不確かな想像(続き)

昨夜寝る前に思いついたこと(すでにしっていたいろいろなかんたんなものをくみあわせてみるこころみ)を今確認しました。想像通りでした。

ローカルマシンロックダウンが効いているXPSP2にてIE6のお話。正規な文法を使い、その辺の入門的解説で記述されている方法を組み合わせたところ、ローカルにある単体のHTMLファイルから制限付きサイトゾーンのJscriptを呼び出せました。但しJscriptの権限は元々のHTMLファイルが属しているセキュリティーゾーンに依存します。すなわちMark of the Web でコントロールされたゾーンになります。

当たり前?なのでしょうか?…心配しすぎてもしょうがないですけれど、この状況が嫌だと言う場合の自衛策。信頼できないサイトからHTMLファイルをローカルにダウンロードして開くことをしないこと。IEのセキュリティーゾーンの設定を固くしておくこと。インターネットゾーンは「高」、イントラネットゾーンは「高」ないし「中」、信頼済みサイトゾーンは「中」以上、制限付きサイトゾーンは「高」。この設定では、あるサイトでJscriptを作動させても良いと信頼したとき、かつ、その時に限り、そのサイトを信頼済みサイトゾーンとして登録することになります。…ローカルにダウンロードしたHTMLファイルからMark of the Webを手作業で取り除いてローカルマシンロックダウンが有効にすることをダウンロードの都度毎回毎回出来れば変なことは発生しないのですが…あまり利口ではありません。

Mark of the Web を殺すようなレジストリ設定があれば良いのになぁとつくづく思います。XPSP2では、これ、大概の場合に害です。どなたかこのレジストリ設定を御存知ではないでしょうか?

追記:メールを頂いたので返事をここに。以前カカクコムとかその他サイトで侵入されてウイルスなりワームなりをばら撒いている事件がありましたでしょ?私はデスね、とんまなことにカカクコムのサイトを制限付きサイトゾーンに登録してすました顔をしていたのですよね(恥)これで安全とか言って(笑)。まぁそんな時にカカクコム侵入の犯人ではなくて、スクリプト小学生がですね、私にHTMLファイルをダウンロードさせてIEで開かせることに成功すれば、私はあぼ〜んだったなぁと。Firefoxで遊んでいてうっかりとIEが起動したりとか…ははははは妄想妄想。ということなんですよ>メルくれた誰?

IE7とXHTMLのmime-type

どうもこのままですと正規のXHTML文書は相変わらずIE7でも読めないらしいです。時代遅れもいいところです。IE7ではギロチンバグとか高名になったスタイルシートのバグは直っているようですけれどCCS2は相変わらず駄目のようでして。開発陣はacid2TESTは通す気もないらしく。標準化がどれほど利得になるのかをMicrosoft社はまるでわかっていないみたい。残念無念。