タブファイラー開発ブログ

Tablacus ExplorerやX-Finderの作者のブログ

XMLHttpRequest

Tablacus ExplorerのアップデートをGitHubReleases · tablacus/TablacusExplorer · GitHubGitHubREST APIを利用するように変更しました。

ついでに、ネットの読み込みのオブジェクトをIE独自のCreateObject("Msxml2.XMLHTTP")から標準のnew XMLHttpRequest()に変更しました。

ここでいくつかの非互換の部分がありました。

 

1.textノードが読み込みできないので先に「textContent」を読み込みする

var s = item[i].textContent || item[i].text;

 JavaScript演算子「||」は便利ですね。

 

2.responseStreamが使えないので代わりにresponseBodyを使う

responseStreamはストリームなので大きいファイルでも安心なんですが、IE独自っぽいですね。Tablacus Explorerの場合はそんなに大きなファイルをダウンロードすることもなさそうなので多分responseBodyでも問題ないと思います。

 

XMLHttpRequestIE 7から実装しているのでもう対応しておく方が良さそうです。

Tablacus Explorer におけるスクリプトインジェクションの脆弱性

公開日 2017 年 4 月 5 日

■概要

Tablacus Explorerのバージョン 17.3.30 以前にスクリプトインジェクションの脆弱性が存在することが判明しました。
この脆弱性を悪用された場合、悪意ある第三者の攻撃により、Tablacus Explorerが動作しているコンピュータ上で任意のスクリプトが実行されてしまう危険性があります。

該当バージョンのTablacus Explorerをお使いの方は、すみやかに17.4.1以降へバージョンアップしてください。
たいへんご迷惑をおかけいたしますが、よろしくお願いいたします。

■該当製品の確認方法

影響を受ける製品は以下の製品です。

製品名称 Tablacus Explorer

該当バージョン 17.3.30 以前の全てのバージョン

使用しているバージョン番号の確認方法は以下の通りです。
1. Tablacus Explorerを起動し、「ヘルプ」メニューから「Tablacus Explorerについて」を選択する。
2. 現れたウィンドウの下記の部分が起動しているTablacs Explorerのバージョン番号です。

f:id:tablacus:20170405200135p:plain

脆弱性の説明

Tablacus Explorerのアドレス バー等のフォルダ名表示に脆弱性があり、FTPサーバー等で細工された不正なフォルダ名を持つフォルダに接続した場合、任意のスクリプトを実行される脆弱性が存在します。

脆弱性がもたらす脅威

攻撃が成功すると、悪意のある第三者によって任意のスクリプトを実行されてしまう可能性があります。
これにより、悪意のある第三者は、不正プログラムのインストール、データの変更や削除など、任意に操作する可能性があります。

■対策方法

Tablacus Explorerを起動し、「ヘルプ」メニューから「最新版の確認」を選択し最新版にアップデートして下さい。

■回避

信頼できないFTPサイトにTablacus Explorerでアクセスしない。
メニューバーの「ツール」→「アドオン」から「アドレス バー」アドオンを無効にする

■対応状況

2017/3/31
JPCERT/CCより脆弱性情報の詳細について通知を受ける。

2017/4/1
Tablacus Explorer 17.4.1 リリース。

2017/4/5
脆弱性情報公開

■関連情報

JVN#64451600 TablacusExplorer におけるスクリプトインジェクションの脆弱性

■謝辞

脆弱性発見者及び連絡をして戴いたJPCERT/CCの方々に感謝いたします。

■更新履歴

2017/4/5 この脆弱性情報ページを公開しました。

■連絡先

X-Finder作者へのお問い合わせ

Norton AntiVirusを使っているとTablacus Explorerの更新で重い問題の対策方法

最近、Norton AntiVirusを使っているとTablacus Explorerのヘルプ→最新版の確認→アップデートのインストールで引っかかる感じになってしまうようです。

いろいろと試してみたところ、Tablacus Explorerがzipから展開する際にWindows標準のZIP展開機能を使っているのがNorton AntiVirusのヒューリスティック検知で誤検知されているようです。

本来はユーザーの方の通報でSymantec社に直してもらうべき話ですが、対策方法を見つけたので、とりあえず直るまで以下の方法を試してみてください。

 

Tablacus ExplorerがZIPを展開するところで引っかかっているので、そこを外部ツールの7-zipかlhazで代行させます。

 

まず、ツール(T)→アドオン(A)でアドオンの一覧を表示し、「解凍」の「オプション」をクリックします。

f:id:tablacus:20170309214914p:plain

Get 7-zip...かGet lhaz..をクリックしてどちらかのホームページから実行ファイルをインストールします。

f:id:tablacus:20170309214947p:plain

インストールした方の展開ソフトのボタンをクリックしてください。

f:id:tablacus:20170309215213p:plain

確認ダイアログが表示されるので「OK」をクリックします。

f:id:tablacus:20170309215323p:plain

自動的に設定が入力されるので「OK」をクリックします。

f:id:tablacus:20170309215420p:plain

「解凍」の「有効化」ボタンをクリックします。

f:id:tablacus:20170309215504p:plain

OK」をクリックすれば完了です。

f:id:tablacus:20170309215551p:plain

各アドオンの有効無効を知る方法 - Tablacus Explorer

某所で、アドオンの有効無効を画面で知りたいという要望があったので、Tablacus Explorer 17.2.6で環境変数を追加しました。

使い方:

%AddonStatus:アドオンのID%

 例えば、交互縞(ストライプ)のIDは「stripes」なので

%AddonStatus:stripes% 

になります。この環境変数はアドオンが有効の場合に「on」、無効の場合は「off」になります。

有効時と無効時のアイコンをon.pngとoff.pngで作れば良いわけです。

f:id:tablacus:20170206233444p:plain

有効時

f:id:tablacus:20170206233613p:plain

無効時

f:id:tablacus:20170206233706p:plain

こんな感じです。

 

 

アドオンの切り替え(Add-on switcher) アドオン - Tablacus Explorer

アドオンの切り替え(Add-on switcher)はボタンやメニューでアドオンの有効・無効を切り替えるアドオンです。

アドオンの切り替えをインストールするとタイプに「Addon switcher」が追加されます。

f:id:tablacus:20170201224112p:plain

オプションの参照を押すとアドオンの一覧が表示されます。

f:id:tablacus:20170201224211p:plain

表示されたら切り替えるアドオンを選びます。

f:id:tablacus:20170201224323p:plain

選択するとオプションにアドオンのコードが入力されます。

f:id:tablacus:20170201224359p:plain

いつものように「追加」や「置換」を押して「OK」を押せば「上へ」のアドオンの切り替えボタンができます。

 

アドオンを無効化させる場合は、アドオンのコードの後ろに「,0」を入れます。

複数のアドオンを同時に変更することもできます。

「戻る」と「進む」を無効にする設定は以下のようになります。

f:id:tablacus:20170201224712p:plain

アドオンを無効化させる場合は、アドオンのコードの後ろに「,1」を入れます。

「戻る」と「進む」を有効にする設定は以下のようになります。

f:id:tablacus:20170201224811p:plain

あるアドオンを無効にして、別のアドオンを有効にする設定ももちろん可能です。

Windows 10 Insider Preview入れてみました。

TwitterWindows 10 Insider Previewで以下のような不具合報告があったのでWindows 10 Insider Preview入れてみました。

 試行錯誤してみたところ、表示を一時的に詳細表示以外にして詳細表示にするとちゃんとした位置に表示できるようになったのでTablacus Explorer 17.1.11で調整しています。

ただ、このInsider Previewは他にもアドオンの交互縞(ストライプ)と相性が悪く、リネーム後や更新でカラムヘッダが消えます。

ということでフィードバックHubに報告していますが、こういうのは人数が多い方が良いのでInsider Previewを入れていて不具合が出ている方は「そのコメントに一票」をお願いします。

フィードバックHubのフィードバックで並べ替えを最新にして、区分をファイル、フォルダー、オンライン ストレージにすると探しやすいと思います。

f:id:tablacus:20170112222516p:plain

そして、昨日、Windows 10 Insider Preview 15002がインストールされました。

直ってたら良いなと思っていたのですが、まだ報告してなかったので直ってないです。

タブの切り替えで固まったり、開発ソフトのMicrosof Visual C++ 2008が検索するだけで落ちまくったりめちゃくちゃ不安定になりました。

リリース版までにはまともになってほしい。

ペイン毎のバー、インナー バー(Inner bar) - Tablacus Explorer

インナー バーはペイン毎に表示されるバーです。
「Inner 上へアドオン」

f:id:tablacus:20161207213342p:plain

左右分割なので右にも左にも「上へ」ボタンが表示されています。

アドレス バーもInner パンくずリストアドレスバーなので左右に表示されています。

 

インナー バーに表示されるアドオンの一つは「Inner 上へ」の様に前に「Inner」が付いたアドオンです。

f:id:tablacus:20161207213314p:plain

もう一つの方法はアドオンの「位置」で「Inner bar」にチェックする方法です。

「プロパティ」のアドオン

f:id:tablacus:20161207214205p:plain

こんな感じ

f:id:tablacus:20161207214609p:plain

ただ、すべてのアドオンが「Inner bar」を指定できるわけではありません。

「上へ」アドオンの「位置」では「Inner bar」はグレーで選択できません。

f:id:tablacus:20161207214918p:plain

最近できたアドオンが「Inner bar」が選択できるようになっています。

また、アドオンの表示順序はアドオンの順序になります。