アカウント名:
パスワード:
Firefoxのアドオンが、IEのActiveXコントロールと同様の危険性を持っているといったような指摘は、以前からいくつかありました*が、ついに出たといった感じでしょうか。
今後もこういうのは増えてくると思うけど「拡張をインストールしない」以外にどうにか対処できないのかなぁ。
拡張ごとに許可する動作を設定できるようにするとか、無理かなぁ?例えば、マウスジェスチャ拡張が全ローカルファイルへのアクセス権持ってる必要はないとか。インターネットアクセスを、事前に設定された、スクリプトからの変更が不可能なURLからのGETに限定し回数制限も付ければ、こちらからの情報の送信は難しくなるとか。
以前あった指摘の一例http://srad.jp/comments.pl?sid=226416&threshold=1&commentsort=... [srad.jp]http://srad.jp/comments.pl?sid=267223&threshold=1&commentsort=... [srad.jp]http://srad.jp/comments.pl?sid=275373&cid=798707 [srad.jp]http://srad.jp/comments.pl?sid=362075&cid=1159789 [srad.jp]
Chromeに乗り換えたら? (半分以上本気)もっともChrome拡張でもリンクをすべてアフィリエイト付きに差し替えるくらいのことは余裕でできますけど。それでもレビューの負荷はFirefoxの拡張と比べものにならないでしょう。いかなる悪意のある動作も行えないようにするのは、FTPクライアントやWebブラウザと同じ権限で動作しているマルウェアから、保存しているパスワードを盗まれないようにするのと同じくらい不可能です。Firefoxのアドオンを現行の仕組みを保ったまま安全にするのも、Windowsアプリをアンマネージのまま安全にするのと同じくらい不可能です。Windows Vistaがコードネームで呼ばれていた時代の夢想では、今ごろアプリはすべてマネージコードになってバッファオーバフローやヒープオーバーフローや整数オーバーフローやformat stringなどの攻撃は過去のものになるはずだったのでしょうが、どうしてこうなった。> 拡張ごとに許可する動作を設定できるようにするとか、Jetpackでそのような仕組みを導入すべきだとpiro氏が力説しています [sakura.ne.jp]が、2年前ならともかく、「Chromeに勝たなければならない」という条件下でうまく行くとは思えませんね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
前々から言われてきたことだが。 (スコア:3, 興味深い)
Firefoxのアドオンが、IEのActiveXコントロールと同様の危険性を持っているといったような指摘は、以前からいくつかありました*が、ついに出たといった感じでしょうか。
今後もこういうのは増えてくると思うけど「拡張をインストールしない」以外にどうにか対処できないのかなぁ。
拡張ごとに許可する動作を設定できるようにするとか、無理かなぁ?
例えば、マウスジェスチャ拡張が全ローカルファイルへのアクセス権持ってる必要はないとか。
インターネットアクセスを、事前に設定された、スクリプトからの変更が不可能なURLからのGETに限定し回数制限も付ければ、こちらからの情報の送信は難しくなるとか。
以前あった指摘の一例
http://srad.jp/comments.pl?sid=226416&threshold=1&commentsort=... [srad.jp]
http://srad.jp/comments.pl?sid=267223&threshold=1&commentsort=... [srad.jp]
http://srad.jp/comments.pl?sid=275373&cid=798707 [srad.jp]
http://srad.jp/comments.pl?sid=362075&cid=1159789 [srad.jp]
1を聞いて0を知れ!
Re:前々から言われてきたことだが。 (スコア:2, 興味深い)
Chromeに乗り換えたら? (半分以上本気)
もっともChrome拡張でもリンクをすべてアフィリエイト付きに差し替えるくらいのことは余裕でできますけど。それでもレビューの負荷はFirefoxの拡張と比べものにならないでしょう。
いかなる悪意のある動作も行えないようにするのは、FTPクライアントやWebブラウザと同じ権限で動作しているマルウェアから、保存しているパスワードを盗まれないようにするのと同じくらい不可能です。
Firefoxのアドオンを現行の仕組みを保ったまま安全にするのも、Windowsアプリをアンマネージのまま安全にするのと同じくらい不可能です。Windows Vistaがコードネームで呼ばれていた時代の夢想では、今ごろアプリはすべてマネージコードになってバッファオーバフローやヒープオーバーフローや整数オーバーフローやformat stringなどの攻撃は過去のものになるはずだったのでしょうが、どうしてこうなった。
> 拡張ごとに許可する動作を設定できるようにするとか、
Jetpackでそのような仕組みを導入すべきだとpiro氏が力説しています [sakura.ne.jp]が、2年前ならともかく、「Chromeに勝たなければならない」という条件下でうまく行くとは思えませんね。
Re: (スコア:0)
もしFirefoxがMS製品だったなら「拡張addonをインストールしない」なんて
おとなしい対策ではなく、Firefox以外に乗り換えろなんて言われちゃいますね。
Firefoxがこれだけシェアを伸ばしてくると、Firefoxユーザが攻撃対象として
十分な価値を持っていることになりますね。
今回ので、その可能性が公になったことで、マルウェア作者らがFirefoxを
対象とみなす転換点になったかもしれません。
いったん攻撃の対象とされるようになると、脆弱性の数やアップデートが多く、
ソースが公開されていることからFirefoxはIEよりもリスクが高いのですから
ユーザは注意が必要ですね。
これまで「IEは危険、Firefoxは安全」とだけ紹介して初心者にFirefoxを
使わせていた人がいたら、今後は紹介の仕方を変えたほうがいいでしょう。