アカウント名:
パスワード:
Firefoxのアドオンが、IEのActiveXコントロールと同様の危険性を持っているといったような指摘は、以前からいくつかありました*が、ついに出たといった感じでしょうか。
今後もこういうのは増えてくると思うけど「拡張をインストールしない」以外にどうにか対処できないのかなぁ。
拡張ごとに許可する動作を設定できるようにするとか、無理かなぁ?例えば、マウスジェスチャ拡張が全ローカルファイルへのアクセス権持ってる必要はないとか。インターネットアクセスを、事前に設定された、スクリプトからの変更が不可能なURLからのGETに限定し回数制限も付ければ、こちらからの情報の送信は難しくなるとか。
以前あった指摘の一例 http://srad.jp/comments.pl?sid=226416&threshold=1&commentsort=... [srad.jp] http://srad.jp/comments.pl?sid=267223&threshold=1 [srad.jp]
Chromeに乗り換えたら? (半分以上本気)もっともChrome拡張でもリンクをすべてアフィリエイト付きに差し替えるくらいのことは余裕でできますけど。それでもレビューの負荷はFirefoxの拡張と比べものにならないでしょう。いかなる悪意のある動作も行えないようにするのは、FTPクライアントやWebブラウザと同じ権限で動作しているマルウェアから、保存しているパスワードを盗まれないようにするのと同じくらい不可能です。Firefoxのアドオンを現行の仕組みを保ったまま安全にするのも、Windowsアプリをアンマネージのまま安全にするのと同じくらい不可能です。Windows Vistaがコードネームで呼ばれていた時代の夢想では、今ごろアプリはすべてマネージコードになってバッファオーバフローやヒープオーバーフローや整数オーバーフローやformat stringなどの攻撃は過去のものになるはずだったのでしょうが、どうしてこうなった。> 拡張ごとに許可する動作を設定できるようにするとか、Jetpackでそのような仕組みを導入すべきだとpiro氏が力説しています [sakura.ne.jp]が、2年前ならともかく、「Chromeに勝たなければならない」という条件下でうまく行くとは思えませんね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
前々から言われてきたことだが。 (スコア:3, 興味深い)
Firefoxのアドオンが、IEのActiveXコントロールと同様の危険性を持っているといったような指摘は、以前からいくつかありました*が、ついに出たといった感じでしょうか。
今後もこういうのは増えてくると思うけど「拡張をインストールしない」以外にどうにか対処できないのかなぁ。
拡張ごとに許可する動作を設定できるようにするとか、無理かなぁ?
例えば、マウスジェスチャ拡張が全ローカルファイルへのアクセス権持ってる必要はないとか。
インターネットアクセスを、事前に設定された、スクリプトからの変更が不可能なURLからのGETに限定し回数制限も付ければ、こちらからの情報の送信は難しくなるとか。
以前あった指摘の一例
http://srad.jp/comments.pl?sid=226416&threshold=1&commentsort=... [srad.jp]
http://srad.jp/comments.pl?sid=267223&threshold=1 [srad.jp]
1を聞いて0を知れ!
Re:前々から言われてきたことだが。 (スコア:2, 興味深い)
Chromeに乗り換えたら? (半分以上本気)
もっともChrome拡張でもリンクをすべてアフィリエイト付きに差し替えるくらいのことは余裕でできますけど。それでもレビューの負荷はFirefoxの拡張と比べものにならないでしょう。
いかなる悪意のある動作も行えないようにするのは、FTPクライアントやWebブラウザと同じ権限で動作しているマルウェアから、保存しているパスワードを盗まれないようにするのと同じくらい不可能です。
Firefoxのアドオンを現行の仕組みを保ったまま安全にするのも、Windowsアプリをアンマネージのまま安全にするのと同じくらい不可能です。Windows Vistaがコードネームで呼ばれていた時代の夢想では、今ごろアプリはすべてマネージコードになってバッファオーバフローやヒープオーバーフローや整数オーバーフローやformat stringなどの攻撃は過去のものになるはずだったのでしょうが、どうしてこうなった。
> 拡張ごとに許可する動作を設定できるようにするとか、
Jetpackでそのような仕組みを導入すべきだとpiro氏が力説しています [sakura.ne.jp]が、2年前ならともかく、「Chromeに勝たなければならない」という条件下でうまく行くとは思えませんね。