パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IEとFirefox、どちらが安全?」記事へのコメント

  • by Anonymous Coward on 2007年12月06日 12時27分 (#1261070)
    メジャーになったものは狙われて脆弱性の危険度が上がります。

    えっと何がいいたいかというと Safari on Mac に軍配。

    マイナーは正義。

    # Operaユーザも声を上げていいと思うぞ~

    # 利用者にとって気になるのは単なる脆弱性というより
    # 利用者自身の気配りで防げる脆弱性かそうではないのかが
    # 「脆弱性」の気になる尺度ではあります
    • by Rutice (31742) on 2007年12月06日 13時22分 (#1261101)
      メジャーなソフトだからユーザ数が多い→狙われやすいと言うのには同感なのですが、
      私はマイナーな物こそ、誰も見つけていないとんでもない脆弱性が残っていたりするのではないのかと思います。

      最近では国産ワープロの一太郎の脆弱性の報道もあるように、
      ユーザ数が少ないから狙われないと思うのは危険なのでは?

      # もちろん、私がひねくれてるだけかもしれまえんが(苦笑)
      親コメント
      • Re:どっちもどっち (スコア:2, すばらしい洞察)

        by Anonymous Coward on 2007年12月06日 13時31分 (#1261109)
        重箱の隅をつつくような人はちゃんといるから大丈夫
        っていうかメジャーだから検証者が圧倒的に多いというわけじゃない

        狙うほうは効率を考えるからより多いほうを狙うが、つつく人は満遍なくつついてます
        親コメント
        • by Anonymous Coward
          >狙うほうは効率を考えるからより多いほうを狙うが、つつく人は満遍なくつついてます

          それは希望的観測で、結局「誰も興味を持たないものに付いては誰も見ない為に、実はとんでもないバグが」ってのは頻繁に起こっているんですけどね。

          #それでsendmailを捨てた人も多いんじゃないかな?

          • by Anonymous Coward
            >#それでsendmailを捨てた人も多いんじゃないかな?

            いや、それはバグというより管理(設定)の煩雑さが原因でしょう。
            バッドノウハウのカタマリだったからで・・・・
          • by Anonymous Coward
            >それは希望的観測で、結局「誰も興味を持たないものに付いては誰も見ない為に、
            >実はとんでもないバグが」ってのは頻繁に起こっているんですけどね。

            >#それでsendmailを捨てた人も多いんじゃないかな?

            意味不明。
            sendmailは「誰も興味を持たない」「誰も見ない」ものなの?

      • Re:どっちもどっち (スコア:2, すばらしい洞察)

        by soltiox (25610) on 2007年12月06日 15時54分 (#1261203) 日記
        どこにぶら下げたものか、迷ったけどここに。

        ブラウザに限らず、アプリケーションのシェアの低さが、
        セキュリティの相対的な高さを担保した時代は、
        終わったと見ていいのではないでしょうか。
        どんなにマイナーなアプリでも、netに絡んで動作するものであれば
        脆弱性を衝かれるリスクは、小さくは無いと思います。

        // だから、ほら、みんなでrynxで幸せになろうよ
        親コメント
        • Re:どっちもどっち (スコア:1, おもしろおかしい)

          by Anonymous Coward on 2007年12月06日 17時04分 (#1261241)
          > // だから、ほら、みんなでrynxで幸せになろうよ
          おお,聞いたことすらないマイナーなブラウザ登場カッ!
          #lynx のパチモノとお見受けしたが
          親コメント
      • by Anonymous Coward
        「私はマイナーな物こそ、誰も見つけていないとんでもない脆弱性が残っていたりするのではないのかと思います。」

        同感。
        ただ、誰も見つけてないのでわかんない。これを「安全」と称してたのがFirefox等のブラウザ。
        シェアが上がればIEみたいにガンガン脆弱性が見つかり始めることは予想してました。
    • by reo (4042) on 2007年12月06日 13時43分 (#1261114) 日記
      > えっと何がいいたいかというと Safari on Mac に軍配。

      Safari on Mac なんですけど、このごろとみにスコンスコン落ちるんですけど、みなさまいかがでしょう。

      # TeraStation の Web 設定画面でネットワーク管理画面を開くと確実に落ちる
      # という現象に苛まれております。
      --
      Hiroki (REO) Kashiwazaki
      親コメント
      • by Anonymous Coward
        ブラウザを拡張するようなソフトを入れていませんか?
        でもなければ初期設定を削除してみるのがいいのではないかと。
    • by Stealth (5277) on 2007年12月07日 22時41分 (#1261921)

      Safari for Windows のβ版を出した途端、その日のうちに深刻な脆弱性の報告が行われる位、Windows の世界は荒波に揉まれているという事ですね。

      例え見つかりにくくても脆弱性は脆弱性だし、ユーザが意図せず攻撃可能な穴 (アクセスしただけでアウト) なんてのは、極めて稀なものであってもそれを許さない形にしてあるかどうかは重要だと思いますが。

      その点において、IE7 の保護モードは歓迎されるものだと思います。

      # 通常ユーザ権限より低いユーザ権限により、ログインしているユーザが作成したファイルへの読み取り権限すら渡さない。これなら情報漏洩も防げる、と。

      biba ポリシーほどの厳密性はありませんが、それに近い感じの実装でしょうか。

      強制アクセス制御 (MAC) の考え方は、セキュリティホールを完全に無くすことができない事を前提にいかに防ぐか、という視点があるため、こうした考え方を取り入れている環境を前提とした実装の方が、安全性の面では優れていると言える可能性が高いと思います。

      こうした視点で見た場合、Firefox の方が穴があった場合に無条件に通常ユーザ権限での操作を許すという点において劣っていると言えるでしょう。(保護モードが有効な IE7 では同じ事をするにも通常ユーザ権限へ昇格する穴が別途必要になる)

      Solaris 10 において Trusted Solaris の機能が統合され、Linux では SELinux があり、FreeBSD では SEBSD がありますが、デスクトップ向け OS を作り続けてきた Microsoft の実装に関しては学ぶものがあると思います。

      例えば、IE7 を通常ユーザ権限から降格した上で実行し、そうした中でダウンロードしたファイルを一般ユーザ権限に昇格してファイルのコピーを行う (LocalLow の領域に一旦ダウンロード後、通常ユーザ権限でコピーのみ行う IE7 保護モードのダウンロード時の挙動) といった挙動は、エンドユーザにあまり意識させずに安全性を確保する取り組みという点について評価できる点だと思います。

      エンドユーザ的には 1 ステップ増えてるせいで「ダウンロードがなんか遅くなった」という扱いですけど。

      MAC ほどの強力さだと、プロセスの I/O 要求が行われた瞬間にプロセスが落ちるとかまで行ってしまうので、それはそれでいいのですが、エンドユーザ的には「単にクラッシュしたようにしか見えない」という点で問題があるというか。

      この辺りの機構をせっかく持っている OS も対象にしてアプリを開発しているのであれば、プラットフォーム毎にそうした機構をうまく利用する方法を NSPR レベルで抽象化し、Firefox がそうした挙動を取るようになる、となれば、また一歩 Firefox はよくなると思います。

      そして、現状はそうした取り組みが全然見えないという点において、IE7 の方が (穴がどれだけ見つかったかとかはともかく) 機構的にセキュアであると見られても仕方のないところかな、と思います。

      # ここで言ってる「昇格」「降格」は厳密な意味での降格ではないので、その辺りのツッコミは勘弁。そもそも MAC で「昇格」は完全性 (integrity) の面から見るとありえないし。

      と、ここまで書いてから気付きましたが、Mac OS X って FreeBSD から SEBSD の成果を取りこんでましたっけ……?

      親コメント

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...