アカウント名:
パスワード:
勝手に自動更新するのをやめりゃいいのに。せめて自動更新止める手段が欲しいわ。ローカルからインストールすりゃいいだけの話かもしれんが。
拡張に脆弱性があったとしても、脆弱性を悪用するウェブサイトにアクセスしない限り、基本問題ない。ところが、拡張がアップデートで悪意のあるマルウェア入りに入れ替えられたら、即悪用される。
特に個人がやっているフリーソフトの拡張というのは、悪意のある企業の買収に弱い。作者が飽きてきたタイミング(更新頻度が少なくなってきたタイミングなど)に買収を持ち掛ければ簡単に買えてしまうからね。
その手口でオートコンプリートされたECサイトやクレカやオンラインバンキングのアカウント情報などを簡単に奪えてしまうので数百万円で拡張を買収しても普通にペイしてしまう。
ってことで自動更新は危険だから止めた方がいい。インストールするときは評判やら評価やらの情報を収集するが、その後は放置が基本だからいつの間にかマルウェアになって被害を受けてしまう。
悪用する立場からすれば、拡張の脆弱性探して突くよりも、拡張自体にマルウェアを埋め込む(稀に開発者のアカウントを乗っ取る手口もあるが二要素認証もあるし開発者はフィッシング等に引っかかりにくいので買収が基本)方がよっぽど合理的でこの手口は今主流になっている。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
拡張機能の自動更新 (スコア:1)
勝手に自動更新するのをやめりゃいいのに。
せめて自動更新止める手段が欲しいわ。
ローカルからインストールすりゃいいだけの話かもしれんが。
悪意のある拡張になるリスク > 拡張の脆弱性リスクだからね (スコア:1)
拡張に脆弱性があったとしても、脆弱性を悪用するウェブサイトにアクセスしない限り、基本問題ない。
ところが、拡張がアップデートで悪意のあるマルウェア入りに入れ替えられたら、即悪用される。
特に個人がやっているフリーソフトの拡張というのは、悪意のある企業の買収に弱い。
作者が飽きてきたタイミング(更新頻度が少なくなってきたタイミングなど)に買収を持ち掛ければ簡単に買えてしまうからね。
その手口でオートコンプリートされたECサイトやクレカやオンラインバンキングのアカウント情報などを簡単に奪えてしまうので
数百万円で拡張を買収しても普通にペイしてしまう。
ってことで自動更新は危険だから止めた方がいい。
インストールするときは評判やら評価やらの情報を収集するが、その後は放置が基本だからいつの間にかマルウェアになって被害を受けてしまう。
悪用する立場からすれば、拡張の脆弱性探して突くよりも、拡張自体にマルウェアを埋め込む(稀に開発者のアカウントを乗っ取る手口もあるが二要素認証もあるし開発者はフィッシング等に引っかかりにくいので買収が基本)方がよっぽど合理的でこの手口は今主流になっている。