V4.16にバージョンアップしました(重要)No.22980
秀まるお2 さん 05/05/27 11:40
 
 鶴亀メールがVersion4.16にバージョンアップしました。

 実は、1つまずいバグを見つけてしまいまして、いきなり正式版として
アップロードしてしまいました。

 まずいバグというのは、いわゆる脆弱性と言われる分類の物でして、悪用され
るとまずいので一応内容はまだ公開したくないです。

 鶴亀メールのVersion 3.53時点でこのバグが入り込んでしまいまして、つまり、
V3.53〜V4.15までが危険ということになります。

 とにかくバージョンアップの程お願いします。

  http://www.hidemaru.interlink.or.jp/software/bin2/tk416.exe
[ ]
RE:22980 V4.16にバージョンアップしましNo.22981
秀まるお2 さん 05/05/27 12:52
 
 脆弱性情報も、公開できる範囲で公開しました。

    http://www.hidemaru.interlink.or.jp/security/tksec20050527.html

 あと、JPCERTさんから連絡いただいた件もありますけど。

    http://www.hidemaru.interlink.or.jp/security/tksec20050526.html
[ ]
RE:22980 V4.16にバージョンアップしましNo.22985
TATE さん 05/05/27 20:20
 
秀まるおさん

TATEです。

> 鶴亀メールがVersion4.16にバージョンアップしました。

 他のホームページで問題のあることを確認しましたが
 早々にアップしていていただき、ありがとうございま
 した。

 いろいろとパフォーマンスを検証していたのですが、
 取り急ぎ、4.16版にてしばらく様子を見ることに
 しました。

 あと1つおやっと思う点がありますのでお知らせして
 おきますので、ご確認していただけると幸いです。

 下候補のボタンを押すと、以下のメッセージが出てき
 ます。
 置換なら分かるのですが、検索では意味が無さそうに
 思います。

-------------------------------------------------------
 × あいまい検索で、検索文字列を変換したら長さが
   0になってしまいました。

              OK
-------------------------------------------------------

以上、よろしくお願いします。
[ ]
RE:22985 V4.16にバージョンアップしましNo.22988
秀まるお2 さん 05/05/27 21:05
 
 お手数かけてすみません。やはりセキュリティ対策的に考えるとV4.16を使っ
ていただくしか無いように思います。

 とりあえず、ハードディスクの最適化だけでもかければそこそこ速くなるんじ
ゃないかとは思います。鶴亀メールの場合、ファイルに追加追加でメールを書き
込んでいくので、メール用ファイルはかなり断片化していると思います。

>  下候補のボタンを押すと、以下のメッセージが出てき
>  ます。

 検索の場合で、たとえば空白を無視するあいまい検索の場合に空白を検索しよ
うとすると、こういうメッセージが出ます。それはそれで仕様です。

 たとえば、「あ い」という文字列を検索する時は、検索文字列を「あい」と
いう風に変換して、検索対象からも空白を除去して検索をかけるようなことをし
ています。その変換処理の過程で中身が空っぽになるとエラーになってしまいま
す。
[ ]
RE:22988 V4.16にバージョンアップしましNo.22990
TATE さん 05/05/27 23:31
 
TATEです。

> とりあえず、ハードディスクの最適化だけでもかければそこそこ速くなるんじ
>ゃないかとは思います。鶴亀メールの場合、ファイルに追加追加でメールを書き
>込んでいくので、メール用ファイルはかなり断片化していると思います。

 ディスクは、NTFSにて使用していますが、デフラグも
 定期的に行っています。
 また、CPUもPentium Mの1.5GHzなので、そう遅いはずでは
 ないのですが。。。
 ただ、状況的には、いつもいつも遅いというわけではない
 ので、検証はうまくいっていませんが、なんとかシッポを
 つかみたいところです。
 
 

> 検索の場合で、たとえば空白を無視するあいまい検索の場合に空白を検索しよ
>うとすると、こういうメッセージが出ます。それはそれで仕様です。

 了解しました。
 あと、何度もすいませんが、
 このメッセージが表示された場合は、OKを押せば
 それ以降を引き続き検索してくれているものでしょ
 うか?

以上、よろしくお願いします。

TATE.
[ ]
RE:22990 V4.16にバージョンアップしましNo.22992
秀まるお2 さん 05/05/28 00:01
 
 ならば、あとはタスクマネージからスワップ状況を確認するとか、重い状況で
のディスクアクセスの具合がどうか見るとか、思い切って一度アンチウィルスソ
フトの設定を変えてみる、特に、リアルタイム検索の対象から「.txt」を外すだ
けでもやってみて欲しい所ですが…。

>  このメッセージが表示された場合は、OKを押せば
>  それ以降を引き続き検索してくれているものでしょ
>  うか?

 「それ以降」という意味がよく分かりませんが、少なくとも「あいまい検索
ON」の状態で、例えば"   "のような空白だけを検索するとか、そういうことは
出来ません。

 そういう状況ではあいまい検索をOFFにして検索したらいいと思いますけど。
具体的にどういう検索条件を指定してるのか教えていただければもっと詳しくお
返事出来ると思います。
[ ]
RE:22980 V4.16にバージョンアップしましNo.22993
ジン ハジメ さん 05/05/28 02:25
 
V4.16 にしてから

CheckDuplication の under+batch+smallretain

が正しく動作しないように思うのですが,何か変更がありましたでしょうか?
[ ]
RE:22981 V4.16にバージョンアップしましNo.22999
ごんば さん 05/05/28 14:53
 
秀まるおさん

β版時代から愛用していますが、大変便利でいつも感謝しています。

http://www.hidemaru.interlink.or.jp/security/tksec20050527.html
の件ですけれど、もうすこし情報をいただけないでしょうか。ウィルスが仕込めると
か管理者権限が乗っ取られるとかいう話では無いようですし、既に対応いただいてい
るのでそれ程心配はしていませんが、現象が分かりにくいので、少し気になっていま
す。

まず、「通常ありえないようなメール」が具体的にどの様なものか知りたいです。そ
のメールによってどの様な被害が生ずるのかも、予想がつきませんから気になります。

わけの分からないスパムは毎日星の数ほど届きますから、そのすべてについて受信解
析のやり直しをするわけにもいきませんし、現状の情報では受信解析のやり直しをし
ても、結局「ありえないようなメール」だったかどうかが確認できない感じがします。


それから、脆弱性の具体的な内容を内緒にしている点についてのコメントです。秘密
主義の MicroSoft でさえ、脆弱性が見つかれば結構詳しく報告されますが、あれは
秘密にしておくよりもその方が注意の喚起になり、ユーザーの不安や不利益を防げる
からではないでしょうか。

今回に関しても、開発者のやユーザーのうち誰かが脆弱性に気づいたということは、
内緒にしたところで早晩、悪意ある何物かに発見される可能性があるということです
よね。あまり内緒にしておくことにメリットが無いように感じられます。私はセキュ
リティーに詳しいわけではありませんので単なる印象ですが、いかがでしょう。


このフォーラムを見ていても、何かことが起こるたびに、いつも誠実に対処してくだ
さっているのが伝わってきます。今回も、ちゃんとした修正をすぐに出して下さって
います。だからこそ、問題を迅速且つ分かりやすく報告いただけたら、もっと安心で
きると思うのです。
[ ]
RE:22999 V4.16にバージョンアップしましNo.23000
秀まるお2 さん 05/05/28 20:29
 
 通常ありえないメールというのが具体的にどういう物かばらしてしまうと、つ
まり悪用する手段もばらしてしまうことになりまして…。

 V4.15以下をまだ使っておられるユーザー様もいると思うので、しばらくはそ
の情報(=悪用の手口)は公開したくないです。マイクロソフトの場合でも、情
報公開するといいつつ、悪用の手口までモロに公開してる訳じゃないと思います
ので。

 「通常ありえないようなメール」の一例としては、たとえば、相手が知り得な
いはずの情報がメールの中に含まれているとか。たとえば自分が誰かに書いた内
容のメールが、その人とは関係ないはずの人から同じ文面で送られてきたりする
と、「もしや個人情報の流出か、あるいはウィルス感染して個人データがばらま
かれたか」って勘違いしますよね。あるいはそういうことが出来るって細工を使
って、いわゆる振り込め詐欺みたいなことが出来てしまうかもしれないです。

 そういう風な感じで悪用できるみたいな雰囲気だと思っていただきたい所です。
(今のところは)
[ ]
RE:22993 V4.16にバージョンアップしましNo.23002
秀まるお2 さん 05/05/28 20:49
 
 すみません。変更が入っています。smallretain時の判定方法が違っています。

 一応、小さい方が残るようにはなってるはずなんですけど、テストしてません
でした。いろいろ検証してみます。少々お待ちください。
[ ]
RE:23002 V4.16にバージョンアップしましNo.23003
秀まるお2 さん 05/05/28 21:16
 
 一応、サイズの小さいメールを優先するようにはなっているんですが、その前
に、「添付ファイル有りなら添付ファイル有りの方を優先する」とか、「メモ付
きならメモ付きの方を優先する」とか、もっと優先順位の高い条件が絡んできて
しまうようです。

 つまり、添付ファイル付きの方が残ってしまうのがまずい訳ですよねぇ。以前
(V4.15以下)では、とにかくメールのサイズを比較してるだけでした。

 とりあえずこの辺の仕様をV4.15相当に戻してβ版ということでアップロード
していいでしょうか?
[ ]
RE:23003 V4.16にバージョンアップしましNo.23005
ジン ハジメ さん 05/05/28 22:00
 
急ぎませんのでβは特に必要ではありません。仕様を詰めていただいてからアッ
プロードいただいてかまいませんので…m(__)m

よろしくお願いいたします。
[ ]
RE:23003 V4.16にバージョンアップしましNo.23014
dszhm さん 05/05/30 09:17
 
> 一応、サイズの小さいメールを優先するようにはなっているんですが、その前
>に、「添付ファイル有りなら添付ファイル有りの方を優先する」とか、「メモ付
>きならメモ付きの方を優先する」とか、もっと優先順位の高い条件が絡んできて
>しまうようです。
>
> つまり、添付ファイル付きの方が残ってしまうのがまずい訳ですよねぇ。以前
>(V4.15以下)では、とにかくメールのサイズを比較してるだけでした。
  http://www.maruo.co.jp/turukame/2/x09379_.html#9379
  で↑の添付/メモ…などがついている方を残すように、
  をお願いした者です。
  小さいメールを優先させたい方もいらっしゃるのですね。
  smallretain の場合には、サイズ優先というのが
  折衷案としてあると思うのですが如何でしょうか?
  仕様を決定するのはサイトー企画さんですが…

> とりあえずこの辺の仕様をV4.15相当に戻してβ版ということでアップロード
>していいでしょうか?
[ ]
RE:23014 V4.16にバージョンアップしましNo.23015
秀まるお2 さん 05/05/30 09:23
 
 smallretainの場合は、とにかく従来(V4.15以下)と同じ判定基準に戻しまし
た。メモ付きうんぬん等も無視します。

 ってことで、とにかく次のβ版時にそうなりますので、それでテストしてみて
欲しいです。

 他にもいろいろバグ報告いただいてるので、それらが一段落したらアップロー
ドさせていただきます。
[ ]
RE:23015 V4.16にバージョンアップしましNo.23018
dszhm さん 05/05/30 13:22
 
4.17 β1 で
smallretainでない場合は、での重複メールのチェックで
http://www.maruo.co.jp/turukame/2/x09379_.html#9379
でお願いした件は動作することを確認させていただきました。
[ ]
RE:23015 V4.16にバージョンアップしましNo.23084
ジン ハジメ さん 05/06/05 18:06
 
smallretain の処理を戻していただいてありがとうございました。

1点ご相談なのですが,CheckDuplication 関数を使用する際に,

「マーク/色-メモ付き具合の異なるメールがあります。処理対象に含めてもいい
ですか?」

というメッセージが出ます。これを出なくする,もしくは「はい」「いいえ」を
選択した状態で実行することはできないでしょうか?

よろしくご検討いただきますようお願いいたします。
[ ]
RE:23084 ハジメ RE:23015 V4.16にNo.23085
山紫水明 さん 05/06/05 21:25
 
 ジンさん,こんばんは。

>というメッセージが出ます。これを出なくする,もしくは「はい」「いいえ」を
>選択した状態で実行することはできないでしょうか?

 最近この会議室でにたような話題がありました(6月2日,#23048)。参考に
なるかも知れません。

     では, (^^)/~
                                        山紫水明(ユーザー)
                                        SANSHISUIMEI
[ ]
RE:23085 ハジメ RE:23015 V4.16にNo.23087
秀まるお2 さん 05/06/06 08:12
 
>  最近この会議室でにたような話題がありました(6月2日,#23048)。参考に
> なるかも知れません。

 この方法は、ダイアログボックスが確実に出ると分かってる場合しか使えない
です。

 対応するとしたらオプション追加しか無いと思います。別に追加しても大した
手間では無いので、適当に追加することにします。"yesall"ってオプションにし
ます。
[ ]
RE:23087 V4.16にバージョンアップNo.23117
ジン ハジメ さん 05/06/08 03:02
 
ありがとうございます。よろしくお願いいたします。

# 山紫水明様,コメントいただきありがとうございました。お礼申し上げます。
[ ]