アカウント名:
パスワード:
>いやいや、自己責任で、と転嫁してるんじゃなくて、自己責任なんですよ。そう自己責任。Firefoxそのものを使うのも自己責任。
ただ、
野良Add-onではなく、厳格な審査(をしているらしい)Mozilla Add-onsでは"何か"を保証しているのではないでしょうか。今回の場合は作者の意図が故意であったかどうかは別として、不適切なアドオンをMozilla Add-onsで提供した。
以前piro氏がwindowsをフォーマットして再起動させる拡張のデモを行ったことがありました。また悪意を持った拡張を作ることは簡単だとも言っていました。悪意になるものを排除できなかった、それが問題だと思っています。
いやいやいや、悪意があるかどうかなんて、年単位で裁判やっても決着がつかなかったりするのに、ネット越しに見抜くなんて神業ですよ。しかも、拡張作者がマルウェアの作者ではない場合は、「悪意」がないんですから、余計に困難です。
実際の拡張レビューはこんな感じです。https://addons.mozilla.org/en-US/developers/docs/policies/reviews [mozilla.org]
バイナリはソース提出義務があり、黎明期にくらべると遥かに強力な体制でレビューしています。まあ、それだけやってこのザマだとも言えますけど。今回は、別のアンチウィルスソフトを試してみたら2件見つかった、という話なので、ウィルススキャンをやっているのに引っかからなかった場合は、誰が責任を取るべきなんでしょうね。
私は、今回の件に関して言えば、AMOだけでなく、Firefoxの脆弱性でもあると思います。
作者にある程度スキルがあれば、スキャンに引っかからないマルウェアも作れるでしょうが、今回はスキャンで発覚したわけですから、AMOが怠慢を言われるのは致し方のないところでしょう。ただ、別にスキャンしていなかったわけではなく、そいつに引っかからなかっただけなので、そこまで責められないかな、と。使っていたアンチウィルスソフトの名前を公表して欲しいとは思いますけど。
問題は、Firefox自身がマルウェアを関知できなかったことです。Windows版に限って言えば、ダウンロード終了後にFirefox自身がウィルススキャンのAPIを呼び出します。だから、普通にダウンロードしていれば、アンチウィルスソフトをインストールしてあるマシンでは分からないはずはないんですが、XPInstallに限ってそれがスルーされていた、ってのがちょっとお粗末かな、と。
>Windows版に限って言えば、ダウンロード終了後に>Firefox自身がウィルススキャンのAPIを呼び出します。
なるほど、あれはFirefoxに内蔵されていたり、Mozillaがデータベースとして持っているマルウェアリストとオンラインで照合しているものではなくて、ローカルにインストールされているアンチマルウェアソフトを呼び出すための共通APIを呼んでいたのですね。
そうですよ。具体的に言うと、ダウンロード直後にIAttachmentExecute::CheckPolicyでグループポリシーを確認しています。その際にOS側(+アンチウィルスソフト)がスキャンしています。
http://mxr.mozilla.org/mozilla-central/source/toolkit/components/downl... [mozilla.org]http://msdn.microsoft.com/en-us/library/bb776294(VS.85).aspx [microsoft.com]http://support.microsoft.com/kb/914922 [microsoft.com]
ただし、レジストリのScanWithAntiVirusをオフにしている場合はスルーされます。http://support.microsoft.com/kb/883260 [microsoft.com]
LinuxにもこういうAPIがあればいいんですけど、どうも、OS側でサポートしようっていう動きは見当たりませんね。実質的にClamAVの独占状態だから、標準化するモチベーションが低いんですかねぇ。
カーネル開発者(とくにSELinuxの中の人)が「アンチウイルスソフト用APIと称したバックドア」を入れるのを嫌がってるらしいですねえ。だからと言って何も活動していないわけでもないようです。ってこれ1年も前の記事ですか。http://www.atmarkit.co.jp/flinux/rensai/watch2008/watch12a.html [atmarkit.co.jp]Microsoftがx64 Windowsに「バックドア」を入れるのを嫌がったのにだっていちおう正当な理由があるわけですが、Microsoftがやると「不公正な競争」と呼ばれてしまうわけですね。
別に、カーネルでサポートしなくても、freedesktop.orgあたりが音頭とればいいわけで。
もちろん、ファイルをいじるたびに挙動を監視するタイプの本格的なウィルススキャンにはカーネルのコールバックが必要でしょうけど、Firefoxはキャッシュに入っている全てのファイルを検査したいわけじゃなくて、ユーザーが明示的にダウンロードしたファイルだけを調べたいわけです。所詮、水際作戦なんですけど、ブラウザをはじめとするダウンローダー(wgetとか)は水際作戦以外では協力しようがないのも事実でしょう。
ClamAVにダウンロードディレクトリを監視させるのが手っ取り早いんでしょうが、そうは言っても、Firefoxは保存先を別ディレクトリに指定できますし、wgetだとカレントディレクトリでしょう。こういう多数対多数になる関係の場合は、どこかで一本化してくれるとみんな幸せかなぁ、と。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
ザルチェック (スコア:0)
安全性のチェックがザルだと意味がないですね。
Re:ザルチェック (スコア:1)
ってどこに書いてあります?
Mozillaのサイトでも、「作者を信頼しているアドオン以外はインストールしないでください」と注意書きありますよ。
ザルとかじゃなく、そんな安全性を担保した配布サイトではないです。
Re: (スコア:0)
> ザルとかじゃなく、そんな安全性を担保した配布サイトではないです。
そう言ってしまうと、「Firefoxのアドオンはどれもインストールしないでください」
と言っているようなものですよ。
直接会ったことがあり、私生活も含めてよく知っている人物でもない限り、
その作者を信用するなんてことできないと思いますが。
なにをもって信用すればいいんでしょうか?
Mozillaのサイトの注意書きは、ユーザに「自己責任で」と転嫁しているだけですね。
Re:ザルチェック (スコア:1)
何を持って信用するかは、個人で判断するしかないでしょう。
Microsoftなど名の通った会社とかなら大丈夫だと判断する人も多いでしょう。
これは別にfirefox拡張に限らず、ウェブ上でソフトをダウンロードして使う際にも、当然のように気をつけなければならないことです。
上場企業のベクターが配布してるソフトだから大丈夫だろう、っていう人もいるでしょうし、気をつけねばと思う人もいるだろう。
実際、ソフトにウイルスが混入してたこともあるし、そもそもそのソフトが悪意のある行動をしないことも保証してないですよ。
Re: (スコア:0)
>いやいや、自己責任で、と転嫁してるんじゃなくて、自己責任なんですよ。
そう自己責任。
Firefoxそのものを使うのも自己責任。
ただ、
野良Add-onではなく、厳格な審査(をしているらしい)Mozilla Add-onsでは"何か"を保証しているのではないでしょうか。
今回の場合は作者の意図が故意であったかどうかは別として、不適切なアドオンをMozilla Add-onsで提供した。
以前piro氏がwindowsをフォーマットして再起動させる拡張のデモを行ったことがありました。
また悪意を持った拡張を作ることは簡単だとも言っていました。
悪意になるものを排除できなかった、それが問題だと思っています。
Re: (スコア:0)
いやいやいや、悪意があるかどうかなんて、年単位で裁判やっても決着がつかなかったりするのに、ネット越しに見抜くなんて神業ですよ。しかも、拡張作者がマルウェアの作者ではない場合は、「悪意」がないんですから、余計に困難です。
実際の拡張レビューはこんな感じです。
https://addons.mozilla.org/en-US/developers/docs/policies/reviews [mozilla.org]
バイナリはソース提出義務があり、黎明期にくらべると遥かに強力な体制でレビューしています。まあ、それだけやってこのザマだとも言えますけど。今回は、別のアンチウィルスソフトを試してみたら2件見つかった、という話なので、ウィルススキャンをやっているのに引っかからなかった場合は、誰が責任を取るべきなんでしょうね。
Re:ザルチェック (スコア:1, 参考になる)
私は、今回の件に関して言えば、AMOだけでなく、Firefoxの脆弱性でもあると思います。
作者にある程度スキルがあれば、スキャンに引っかからないマルウェアも作れるでしょうが、今回はスキャンで発覚したわけですから、AMOが怠慢を言われるのは致し方のないところでしょう。ただ、別にスキャンしていなかったわけではなく、そいつに引っかからなかっただけなので、そこまで責められないかな、と。使っていたアンチウィルスソフトの名前を公表して欲しいとは思いますけど。
問題は、Firefox自身がマルウェアを関知できなかったことです。Windows版に限って言えば、ダウンロード終了後にFirefox自身がウィルススキャンのAPIを呼び出します。だから、普通にダウンロードしていれば、アンチウィルスソフトをインストールしてあるマシンでは分からないはずはないんですが、XPInstallに限ってそれがスルーされていた、ってのがちょっとお粗末かな、と。
マルウェア検知ってFirefoxに内蔵されているわけじゃなかったのか (スコア:1)
>Windows版に限って言えば、ダウンロード終了後に
>Firefox自身がウィルススキャンのAPIを呼び出します。
なるほど、あれはFirefoxに内蔵されていたり、
Mozillaがデータベースとして持っているマルウェアリストと
オンラインで照合しているものではなくて、
ローカルにインストールされているアンチマルウェアソフトを
呼び出すための共通APIを呼んでいたのですね。
屍体メモ [windy.cx]
Re:マルウェア検知ってFirefoxに内蔵されているわけじゃなかったのか (スコア:4, 参考になる)
そうですよ。具体的に言うと、ダウンロード直後にIAttachmentExecute::CheckPolicyでグループポリシーを確認しています。その際にOS側(+アンチウィルスソフト)がスキャンしています。
http://mxr.mozilla.org/mozilla-central/source/toolkit/components/downl... [mozilla.org]
http://msdn.microsoft.com/en-us/library/bb776294(VS.85).aspx [microsoft.com]
http://support.microsoft.com/kb/914922 [microsoft.com]
ただし、レジストリのScanWithAntiVirusをオフにしている場合はスルーされます。
http://support.microsoft.com/kb/883260 [microsoft.com]
LinuxにもこういうAPIがあればいいんですけど、どうも、OS側でサポートしようっていう動きは見当たりませんね。実質的にClamAVの独占状態だから、標準化するモチベーションが低いんですかねぇ。
Re: (スコア:0)
カーネル開発者(とくにSELinuxの中の人)が「アンチウイルスソフト用APIと称したバックドア」を入れるのを嫌がってるらしいですねえ。だからと言って何も活動していないわけでもないようです。ってこれ1年も前の記事ですか。
http://www.atmarkit.co.jp/flinux/rensai/watch2008/watch12a.html [atmarkit.co.jp]
Microsoftがx64 Windowsに「バックドア」を入れるのを嫌がったのにだっていちおう正当な理由があるわけですが、Microsoftがやると「不公正な競争」と呼ばれてしまうわけですね。
Re: (スコア:0)
Re: (スコア:0)
別に、カーネルでサポートしなくても、freedesktop.orgあたりが音頭とればいいわけで。
もちろん、ファイルをいじるたびに挙動を監視するタイプの本格的なウィルススキャンにはカーネルのコールバックが必要でしょうけど、Firefoxはキャッシュに入っている全てのファイルを検査したいわけじゃなくて、ユーザーが明示的にダウンロードしたファイルだけを調べたいわけです。所詮、水際作戦なんですけど、ブラウザをはじめとするダウンローダー(wgetとか)は水際作戦以外では協力しようがないのも事実でしょう。
ClamAVにダウンロードディレクトリを監視させるのが手っ取り早いんでしょうが、そうは言っても、Firefoxは保存先を別ディレクトリに指定できますし、wgetだとカレントディレクトリでしょう。こういう多数対多数になる関係の場合は、どこかで一本化してくれるとみんな幸せかなぁ、と。