パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Webブラウザ用プラグインAPIのオープンな規格、開発開始」記事へのコメント

  • by Anonymous Coward
    えぇ? なんでぇ、ActiveX、ActiveXってなぁ。ブラウザに使ってるのは「ActiveX コントロール」だろう? 今の若いやつぁ、何でもかんでも略せばいいと思ってからに、マッタク。あぁ? Excelはコントロールじゃねぇ? じゃぁ、「ActiveX EXE」つやいいだろうが。実際どうやってるのかはおらぁよくしらんがな。

    もとをただせば、OLEがはじまりで、その後、COMだのActiveXだの名前を変えつつ、中身は何にも変わってないのが今のActiveXっつー仕掛けだろう。3.1の頃にもあったくらいだし、セキュリティなんてなくて当然。それをブラ
    • by Lizy (19775) on 2004年07月06日 11時31分 (#583334)

      OSの機構の延長でActiveXコントロールを使えるようにしたブラウザと、プラグイン用APIを実装したブラウザ。なにがどうやったっておんなじ土俵に上がるわけねぇんだよ。技術や利便性の優劣だけじゃない。設計思想があまりに違う。

      今回のこのAPIというのは、単にブラウザ~プラグイン間における共通インタフェース(プラグインのメソッド・プロパティアクセスや、イベントハンドリング)を定めようとしているんですよねぇ。

      このAPI仕様に沿って作成されるプラグインというのは、そのプラットフォームのネイティブアプリケーションのような形で作られると思うのですが、そうなると結局ActiveXと同じようなセキュリティ問題が発生するような気がします。

      ひょっとしたらサンドボックスでプラグインを動作させるとかそういうことも書いてあるのかな(すんません、よく資料を読んでないです)。でもネイティブアプリで作られていたりすると、APIをトラップでもしないとダメなのかもしれませんが…
      親コメント
      • ActiveXの危険性と呼ばれているもののほとんどはActiveXではなくそれを使うブラウザの危険性なのではないでしょうか。
        Webから勝手にダウンロードしてインストールしたりとか。

        ブラウザのプラグインはJavaアプレットと違ってそんなに沢山のプログラムをダウンロードして実行するわけではないので別にサンドボックスに閉じ込めなくてもいいと思います。
        親コメント
        • ブラウザの問題だというのは賛成です。危険なプラグインをロードすれば危険なのは、ほとんどのブラウザで同じだと思います。

          #ActiveXコントロール特有の問題が存在しないとも思えませんが。

          しかし、どれが安全なプラグインなのかを見分けることは初心者には難しいことです。署名の確認はプラグインの開発元の証明書で行われ、スパイウェアの混入するようなプラグインの開発元にも、「信頼された証明機関」とされる機関からコード署名可能な証明書が発行されます。なぜなら、その証明書はプラグインではなくその開発元を証明しているに過ぎないからです。

          で、そういうことを解決するには、Javaや.NETやFlashなどのサンドボックスを利用して機能制限のあるプラグインとするか、ブラウザやOSの開発元からプラグインの特定のバージョンへの信頼の派生を自動的にもっときめ細かに(配布元を信頼するのではなく独自に)確認する方法を確立しないといけないと思われます。

          プラグインのバージョン毎に証明書を準備することは有名なプラグインなら可能だと思いますし、信頼度に段階をもたせて、安全なプラグインなら自動的なダウンロードを可能にする、などのことが可能な状態にならないと、信頼性警告ダイアログの本来の意味は発揮される事はないと思います。

          つまり、初心者には一元的な信頼性確認元も必要だということです。
          プラグインシステムの統一を図るなら、その辺まで踏み込んでほしいと思います。
          親コメント
        • でも、例えば、Windowsだったら、CreateProcessとか、DeleteFileとかたたけちゃうのは困りものでしょ?
          • うーん、私としてはネットから普通のアプリケーションダウンロードして実行するのと変らないと思ってますのでそれらのアプリケーションがCreateProcessできるとかDeleteFile使えるから危険だ、とは思えないです。
            信頼できないプラグインをほいほいインストールしちゃうユーザーは信頼できないプログラムだってインストールしちゃうでしょうし。
            Javaアプレットみたいにどこの馬の骨だかわからないアプリケーションをどんどん実行するならともかく、プラグインは信頼した少数のプラグインだけをインストールすると思いますので大丈夫では。
            その上でスクリプト等で危険なことができないようにするのは各プラグインの責任で、ブラウザ側で変に機能を抑制しない方が良いのでは。
            親コメント

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

処理中...