アカウント名:
パスワード:
結局警告するしか無いんじゃないか。
観覧しようとしているWebページからスタートした以外で、拡張機能が通信しようとしたら警告メッセージを出して、許可非許可をさせる。あとはPC内のファイルへのアクセスは権限設定で。
面倒くさいいと言う話の他に、例えばamazonawsやakamai等のように、VPSやらCDNやらの複数サービスで横断的に使われている様なドメインの場合、Webページからのアクセスに含まれていたりするので、抜け穴を潰すのが大変かもしれない。
この拡張機能の性質上、すべてのサイトへの接続で警告が出るだけで何の役にも立ちそうにないが。「Dolphin Browserがマルウェアだった [security.srad.jp]がインターネット接続を許可していなければ問題なかった」並みにアホな話だ。
そうじゃなくてね。要は拡張機能によって行われる通信を分離して、その宛先で警告するしか無いのではないかと。
この拡張機能はWebページに記述されている内容を読み込むときにHTTPのヘッダーを表示するためのものなので「観覧しようとしているWebページからスタートした以外」のページにアクセスしたらその時点でアウトだから、ピンポイントで大丈夫。
Adblock系の定義ファイルなら定義ファイルを落としてくるサイトだけしか通信しないはず。面倒なのはサイトにスクリプトを喰わせて改編する系のアドオンで、たぶんシステム的にそれがアドオンによるものなのか、Webページが本来意図した通信なのか区別できない。そしてVPN・プロキシ系のアドオンは…。
特定のソフトの特定の機能に依存したチェック?
>今現在多く普及している「自動アップデートが当然のようにあるソフトウェア」全てにおいていえることなんですが、「インストールした時点では無害」でも「どこかのアップデート時点で悪意のあるコードが注入される可能性」は常にあるんですよね。どうすりゃいいんですかね。これは交通事故のようなものでしょうか。
#別ツリーでも指摘したが「自動アップデート」だけですらない。手動でもありうる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
『拡張機能xxxxがhttp://srad.jpに接続しようとしています』 (スコア:0)
結局警告するしか無いんじゃないか。
観覧しようとしているWebページからスタートした以外で、拡張機能が通信しようとしたら警告メッセージを出して、許可非許可をさせる。
あとはPC内のファイルへのアクセスは権限設定で。
面倒くさいいと言う話の他に、例えばamazonawsやakamai等のように、VPSやらCDNやらの複数サービスで横断的に使われている様なドメインの場合、Webページからのアクセスに含まれていたりするので、抜け穴を潰すのが大変かもしれない。
Re: (スコア:0)
この拡張機能の性質上、すべてのサイトへの接続で警告が出るだけで何の役にも立ちそうにないが。
「Dolphin Browserがマルウェアだった [security.srad.jp]がインターネット接続を許可していなければ問題なかった」並みにアホな話だ。
Re: (スコア:0)
そうじゃなくてね。
要は拡張機能によって行われる通信を分離して、その宛先で警告するしか無いのではないかと。
この拡張機能はWebページに記述されている内容を読み込むときにHTTPのヘッダーを表示するためのものなので「観覧しようとしているWebページからスタートした以外」のページにアクセスしたらその時点でアウトだから、ピンポイントで大丈夫。
Adblock系の定義ファイルなら定義ファイルを落としてくるサイトだけしか通信しないはず。面倒なのはサイトにスクリプトを喰わせて改編する系のアドオンで、たぶんシステム的にそれがアドオンによるものなのか、Webページが本来意図した通信なのか区別できない。
そしてVPN・プロキシ系のアドオンは…。
Re: (スコア:0)
特定のソフトの特定の機能に依存したチェック?
>今現在多く普及している「自動アップデートが当然のようにあるソフトウェア」全てにおいていえることなんですが、「インストールした時点では無害」でも「どこかのアップデート時点で悪意のあるコードが注入される可能性」は常にあるんですよね。どうすりゃいいんですかね。これは交通事故のようなものでしょうか。
#別ツリーでも指摘したが「自動アップデート」だけですらない。手動でもありうる。
Re:『拡張機能xxxxがhttp://srad.jpに接続しようとしています』 (スコア:1)
# 例えば、動画のダウンロードアドオンが任意のページにJavascriptを埋め込みできる権限を必要とする?
# 確かにYoutubeにダウンロードボタンを設置したいならコンテンツの書き換え権限を必要とするが、今のパーミッションモデルの粒度は荒すぎて電子決済や他のSNSへのアクセスを制限できない。
# エアコンを掃除するのに、全く関係ない冷蔵庫やクローゼットへのパーミッションを付与するのは不用心だよね。
# オフトピだけど、TwitterのOAuth連携も「ツイートを許可する」だけではなく「#(ゲームのハッシュタグ) に限りツイートを許可する」とか欲しいよね。
Chrome拡張機能の「アクセス許可」をそこまで気にしなくていい理由 | ライフハッカー[日本版] [lifehacker.jp]
Declare Permissions - Google Chrome [chrome.com]