パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Microsoft、Google Chromeユーザーを悪意あるWebサイトから守る拡張機能を公開」記事へのコメント

  • by Anonymous Coward

    >、Microsoft Edge 99%、

    少しでもアヤシイファイルは全部「警告」扱いにするからだよ。
    Edge だと、そのあとユーザーの同意を上で実行可能にさせるから、実質ザル。

    • by Anonymous Coward

      そんなこと言ったらマルウェア対策アプリだってザルじゃん
      ユーザーが操作すれば実行できたり隔離したのを出したりできるんだからさ
      フィッシングサイトだろうがアクセスしようと思えばできちゃうしね

      • タイトルは誇大広告じゃなくてマジです
        Edge/IEに搭載されているのは、最初全部誤検出して、ダウンロード・実行ユーザーがある程度増えてきてはじめて誤検出がなくなる人柱が必要なホワイトリスト形式の迷惑セキュリティソフトなんです

        こういうのがフリーソフト文化を破壊するんだよね
        作者にウイルスだと表示されたのなんだのと冤罪メールばっかきて迷惑

        『少しでもアヤシイファイルは全部「警告」扱いにする』のが問題なんだよ

        自分でプログラム作れば分かるけど、EdgeやIEはexeなどの実行ファイルをこう扱う

        ・EVコードサイニング署名付き ⇒ デフォルトでスルー(ブラック

        • EV署名のない実行ファイルをデフォルトでブロックするのは普通の動作に見える。

          当然知っていると思うけど、EVでないコード署名はプログラムの信用を担保しない。ただ改竄されていないことを証明するだけだ。
          例えば、フィッシングサイトが公開するマルウェアにEVでないコード署名がついていたところで、なんの保証にもならない。
          身元を証明したいのならEV署名は必要だ。

          昔ながらの開発者として気に入らないのはわかるけど、これが不当に思えるのはちょっと時代遅れというしかない。

          また、根本的な誤解として、SmartScreenはウイルススキャナではない。
          SmartScreenはドメインやURLの信頼性を評価するもので、フィッシングサイトなどを遮断するのが目的だ。
          その性能が高くて、特に新たに登場したフィッシングサイトへの対応がきわめて速いとされている。

          親コメント
          • by Anonymous Coward on 2018年04月21日 20時07分 (#3396754)

            当然知っていると思うけど、EVでないコード署名はプログラムの信用を担保しない。ただ改竄されていないことを証明するだけだ。
            例えば、フィッシングサイトが公開するマルウェアにEVでないコード署名がついていたところで、なんの保証にもならない。
            身元を証明したいのならEV署名は必要だ。

            SSL/TLSに使うX.509 証明書かなんかと勘違いしているように思える。

            CA/Browser ForumのBaseline Requirementsではコードサイニング証明書にはVerification of Organizational Applicantsが必須だと書かれている。

            11.Verification Practices から引用すると

            ・設立・存在を示す政府機関発行の文書(日本でいえば登記事項証明など)の存在、または連絡
            ・信頼できる第三者機関の発行する文書の存在、または連絡(帝国データバンクやDUNSなど)
            ・商号や屋号を管理する政府機関発行の文書の存在、または連絡
            ・信頼できる第三者機関の発行する意見書
            ・公共料金の請求書、銀行の明細書、クレジットカードの明細書、国税の書類、信頼できる第三者機関の発行する文書

            のいずれかが必須。

            実際の運用としては、大抵の認証局はEVでもEVでなくてもコードサイニング証明書は同じような審査をする(EVでなくてもコールバック確認や書類審査をする)のでなりすましリスクについては大きな違いがあるとはいえない)。EVの方が値段が高いので認証局の儲けが大きいという違うはあるね。

            EVと非EVの大きな違いは、EVの方は個人事業主を含む個人だと取得できないことぐらいかな。でも、死ぬまで逃亡できない個人と、いくらでもペーパーカンパニー作り放題の法人で、後者の方が信頼できるというのは違うと思う。

            民事の賠償責任や法人格としての刑事責任も法人は会社つぶせば逃れられるけど、個人の自己破産免責は簡単には認められない。

            親コメント
          • by Anonymous Coward

            本当に検出率が高いのか疑問だ。怪しげな詐欺サイトが表示されたことはあるが、SmartScreenの赤い画面を見たことがない。

          • by Anonymous Coward

            また、根本的な誤解として、SmartScreenはウイルススキャナではない。
            SmartScreenはドメインやURLの信頼性を評価するもので、フィッシングサイトなどを遮断するのが目的だ。
            その性能が高くて、特に新たに登場したフィッシングサイトへの対応がきわめて速いとされている。

            SmartScreenがアンチウイルスかどうかは考え方次第では?
            https://hebikuzure.wordpre [wordpress.com]

          • by Anonymous Coward

            仮に「プログラムの信用を担保する」のなら、それで問題が起きた時は証明書を発行した機関や実行を許可したOSメーカーは責任とってくれるの?
            連帯保証人のハンコついたわけじゃないのに、信用を担保するなんてことはないでしょ。

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

処理中...