セキュリティガイド (3.x)

note

NOTE

次の情報は Blender 4.0 以前のアドオン (アドオンバージョン 3.x) に関するものです。 Blender 4.1 以降では、アドオンは公式によって提供された Drag-and-Drop API を使用しているため、セキュリティリスクはありません。

このアドオンは、DLL インジェクションと呼ばれる技術を使用して以下の動作を実現しています。

• Blender のドロップイベントを受信する

これは、Blender が公式の方法でドロップを処理するためのイベントを提供していないためです。 このアドオンは、アドオンのディレクトリから blender-injection.dll という名前のファイルを読み込み、内部で関数を置き換えます。 これにより、ユーザーは以下のセキュリティリスクにさらされる可能性があります。

1. blender-injection.dll を任意の操作で置き換えると、任意のネイティブコードが実行されます。
2. blender.exe を任意の操作で置き換えると、意図しない動作を引き起こす可能性があります。

なぜこの方法が必要なのか？

Blender はファイルのドロップを受け取るためのイベントを提供しておらず、過去にいくつかの開発者によって同様のリクエストやパッチが提出されましたが、何らかの理由で却下されてきました。 そのため、通常のアドオンを作成することが不可能であるため、この方法が採用されています。