|
2026/1/29(Thu) 23:09:53|NO.104686
題名の通り、3.7までバンドルされているHSPTVブラウザについて考えています。
HSPTVブラウザの問題点は2つあると考えています。
1つ目は、IEコンポーネントへの依存です。
モダンEdgeのIEモードやEdgeHTMLも廃止されている今、
HSPTVブラウザが少なくとも初回起動時にIEコンポーネントでサイトを表示するのは本当に危険ではないでしょうか。
HSP.tv(サイト)の一部のページではdoubleclickなどのサードパーティ製広告が含まれており、比較的簡単にIEの脆弱性を攻撃者が突くことが可能かもしれません。
実際、GIGAZINEなどのサイトも過去に広告ベースの攻撃の標的になっていますし。
2つ目は、「おすすめプログラム」機能です。
この機能は過去に投稿された一部のHSP作品(コンテスト?Soupseed?)をウィンドウ内で実行できる便利機能なのですが、
オフラインで試すとわかるように、少なくとも初回はサイトから中身をダウンロードしているようです。
hspinetかhspsockで作られているとは思うのですが、HSPはファイルIOからあらゆるWin32APIの実行までできることを考えれば、これも危険だと思います。
ウイルス対策ソフトを入れていても、例えばHSP3は残念ながらビルド物の誤検出が多いので、開発フォルダをWindowsDefenderの例外にしたり、警告を見て見ぬふりをする人はいるでしょう。
OpenSSHとかの接続ソフトですら脆弱性があるのに、HSP言語には脆弱性がないとは到底言えません。
ダウンロードするコードかaxかを攻撃者が置換した場合、任意コード実行がHSPTVブラウザのプロセス内でされてしまうかもしれません。
HSPTVブラウザは、最近そこまで活用はされていない枯れた技術のように思えます。
「公式にバンドルされているソフトとしては」、ちょっと同梱し続けるのはデメリットが多いではないでしょうか?
| 
バンドルされているHSPTVブラウザは危険なのではないか
