It is extremely unlikely that anyone would use this for any kind of privacy invasion. The total number of computers with these extensions installed is so tiny compared to the number of web browsers that no useful information would be able to be gathered. The chances of hitting a user with Python installed is negligible.
開発者のセキュリティ意識の低さに愕然 (スコア:3, すばらしい洞察)
取り急ぎ訳:
Re:開発者のセキュリティ意識の低さに愕然 (スコア:1)
ちょっと意味不明かも…。
みた
Re:開発者のセキュリティ意識の低さに愕然 (スコア:2, 参考になる)
おっと間違えました。「有用な情報を収集し得そうにないほどに、Webブラウザの数に比べて、本当に小さい」と書いたつもりでしたが、「小さいので…収集できないだろう」の方が自然ですね。
さらにこんなことも書かれていました。
ファイルを書けなくさえすれば読めてしまっても「safety」なモデルだというのは、サーバーサイドでの利用を想定し
Re:開発者のセキュリティ意識の低さに愕然 (スコア:2, 参考になる)
されていないと思います。Javaなどのようなsandboxは持っていませんし。Pythonで「rexecにセキュリティホール発見」という報告はそれほど聞かないのですが、これはrexecのセキュリティが優れているからではなく、そもそもあんまりアテにしてないから、ということだと思ってます。このため、Zope [zope.org] のように出所不明なコードを実行する可能性のあるシステムでは、独自のセキュリティ機構を備えているようです。
こういった環境ですので、rexecモジュールを頼りにしたPythonScriptをIEで実行するのは(おそらく将来に渡って)安全ではありません。開発者のMark Hammondもこの点は認識しており、今後はIEなどのuntrustedな環境ではPythonScriptの実行は禁止(手動で有効にもできる)、とのことです。