パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Firefox Developers Conference Summer 2007」記事へのコメント

  • by Anonymous Coward on 2007年05月19日 19時59分 (#1159661)
    署名無しのActiveXコントロールなんか怖くて使えないのと同様に、
    署名無しの拡張は怖くて使えません。(危険度は同じです)

    ところが有用な拡張の多くが署名されていません。
    つまり改ざん可能で、誰が作ったかわかりません。

    また、無署名の拡張を「便利だよ!」と紹介することは、危険ではないでしょうか。
    公式サイトで紹介している以上、 at your own risk というだけでは無責任すぎます。

    いつまでこの状態が続くんでしょうか。
    • by Anonymous Coward on 2007年05月19日 22時02分 (#1159736)
      addonsで配られるものは運営の品質チェックが入った上でssl接続で配られるので
      ここからダウンロードする限り改竄のおそれは個別に署名される場合と変わらない
      親コメント
      • by Anonymous Coward on 2007年05月21日 13時51分 (#1160316)
        > addonsで配られるものは運営の品質チェックが入った上でssl接続で配られるので
        > ここからダウンロードする限り改竄のおそれは個別に署名される場合と変わらない
        ダウンロード自体はSSLではありません。したがってaddonsからダウンロードした拡張が悪意のあるものにすりかえられている可能性は十分にありえます。
        そもそもFirefoxはいつの間にか通信がHTTPになっていても気づきにくい仕様 [muumoo.jp]になっているので、気づかないのも無理ありませんが。
        親コメント
        • ダウンロード自体はSSLではありません。したがってaddonsからダウンロードした拡張が悪意のあるものにすりかえられている可能性は十分にありえます。
          いつの話ですか?現在はダウンロード自体もSSLですよ。

          そもそも、HTTPだった頃も通常のインストール手順ではハッシュのチェックが行われていたので、すりかえの危険性はまずありませんでした。
    • by Anonymous Coward on 2007年05月19日 23時49分 (#1159789)
      >署名無しの拡張はいつまで野放しなの?
      貴方は、Firefox Add-onsという拡張機能の配布サイトをご存知ではないのでしょうか?

      余りにも酷い的外れな指摘過ぎる...
      親コメント
    • またjarファイルに署名ってクソのようにめんどくさいんですよね。
      ありゃーいくらなんでも普及しません。
      親コメント
    • > 署名無しのActiveXコントロールなんか怖くて使えないのと同様に、
      > 署名無しの拡張は怖くて使えません。(危険度は同じです)
      ActiveXと違ってソースがついてるのでまだマシなんでは。
    • firefox拡張はバイナリコード(XPCOM?)が含まれていなければ、中身を全部見れるので
      ActiveXよりはましとは言えまいか。

      というのは置いておいて、このへんの話 [sakura.ne.jp]を読んでみるのもいいと思う。

      話は変わるけど、userChrome.jsでロッカージェスチャとやらを実装してみたんだが
      環境依存(FC6)かもしれんけど、mouseupイベントが拾えないことがある。

      右プレス+左クリックで「履歴を戻る」を実行、再描画中に素早
    • > 署名無しのActiveXコントロールなんか怖くて使えないのと同様に、
      > 署名無しの拡張は怖くて使えません。(危険度は同じです)

      署名がないから使わない、という選択肢があればよいのですが…。それができるなら、(ActiveXなので)使わない、という選択をしたいです。

アレゲは一日にしてならず -- アレゲ見習い

処理中...