アカウント名:
パスワード:
只、無断でやってるという訳でもなく・・・「このデバイスクラスのHCTをMSが出してくれないからロゴも取れねぇ、やむなくこうしているのでご了承下さい」というMesseageBoxが表示されるという。男前な上に仁義も通す。
しかしまぁ、ロゴプログラムのお陰で、DriverVerifierつかってアホなバグ無いかテストするベンダが増えたような気もするのでクオリティの底上げにはそれなり役に立ってると思ってます。
#WHQLだよね?
ここでいわれている署名とはまた別の署名の話ですが, Firefox 0.10 以降に mozilla.org からリリースされたものについては, GnuPG による分離署名ファイルが同時に配布されるようになっているようです.
例えば, Firefox 0.10.1 (GTK2+, インストーラ版) であれば,
また, 今回のセキュリティパッチであれば,
といった具合です.
# Firefox 0.10 の署名に使われた鍵と Firefox 0.10.1 の署名に使われた鍵は別のようですが..... 署名者が毎回違うなんてことになると, 公開鍵の管理が面倒くさそう :-(
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
「署名がありません」って... (スコア:3, 参考になる)
「署名がありません」って...
(日本の)公式からパッチを適用するのにデジタル署名が無いなんて.もちろん無視してインストールするんだけど,いったいどういう場合に「署名があります」を見られるんだろう.
(本家 mozilla.org のパッチも同じく署名は無かった)
これって,Windowsでドライバをインストールするときにもよく出てくるなあ.いつも無視して続行するし,説明書にもそう書いてあることが多い.
署名の有無が,意味をなしていない気がする.無くてもみんな無視して続行するだろうし.どこからダウンロードしてきたファイルか,によって判断するしかないのかな.
Re:「署名がありません」って... (スコア:2, 参考になる)
署名に使う暗号が、米国輸出規制にひっかかるので、実際は署名の確認を行っていないはずです。
また、サードパーティーがいちいちサインしないから、というのもあります。
Windowsのドライバは、WQHL署名(VeriSign ID?)を取得するのが有料だからです。
ここ [verisign.com]によれば、(年間?)$400です。
現状、
> どこからダウンロードしてきたファイルか,によって判断する
で十分なわけでしょう。
"Stupid risks are what make life worth living!" -- Homer Simpson
Windowsドライバの署名の場合 (スコア:3, 参考になる)
# 誰も見てなさそうだけど
WQHL署名は毎回MSの認証テストを受けなければなりません。
そのテスト費用が有料です。ちなみに費用一覧はコチラ [microsoft.com]
ドライバだとOS毎に$250みたいですな
その代わりOSが死ぬ可能性は低いし、ユーザーも安心して使えるというわけですな。
WinNT時代に低品質なドライバに苦しめられた反動というかなんというか・・・
んで、メーカーのドライバだとそもそもそんなん気にしないとか、
製品名称とかメーカーロゴといったドライバ本体とは無関係なとこしか触ってないので、
署名はされてないって出るけど基本的にドライバには問題ないと言ってるわけですな。
更に社内テストとかもしているかもしれませんが。
# グラフィックカードなんかだと特にそうですよね
Re:Windowsドライバの署名の場合 (スコア:1, 参考になる)
インストーラーを起動すると、システムのプロパティ開く→「ロゴ無しでもインストールを許可」をチェック→Apply、をオートで行ってさっさとドライバインストールしてしまう、という男前なインストーラを見た事が。
只、無断でやってるという訳でもなく・・・「このデバイスクラスのHCTをMSが出してくれないからロゴも取れねぇ、やむなくこうしているのでご了承下さい」というMesseageBoxが表示されるという。男前な上に仁義も通す。
しかしまぁ、ロゴプログラムのお陰で、DriverVerifierつかってアホなバグ無いかテストするベンダが増えたような気もするのでクオリティの底上げにはそれなり役に立ってると思ってます。
#WHQLだよね?
Re:Windowsドライバの署名の場合 (スコア:1)
WHQL テストって再起動なしでも云々だとか、スタンバイから復帰で云々だとか、結構厳しいようです。
#MessageBoxだよね?
Re:Windowsドライバの署名の場合 (スコア:1)
ただしこれ、1回のテストごとになので、成功しようが失敗しようがかかるんだよね。なんで実際に WHQL 署名版までいくのに、どれだけの回数テストしたかによってえらく金額が……
だいたい通常対応させるとすると Windows 98SE/Me/2000/XP の四つだから、1回ごとに$1000 飛びますな。9x 系列打ち切ったとしても 2000/XP は必要だから $500。
-- To be sincere...
Re:「署名がありません」って... (スコア:0)
> 署名の確認を行っていないはずです。
ほんと? ソースキボンヌ
Re:「署名がありません」って... (スコア:2, おもしろおかしい)
Re:「署名がありません」って... (スコア:1)
ハッキリとMozilla Crypto FAQ [slashdot.jp]に「問題ない」と書いてありました。(…FAQだよ…)
ここ [mozilla.org]に機能を実験できるファイルがあります。
規制を回避したのを使ってるハズですね…昔ならともかく。
単純に1.0になってないからかもしれません。
1回サインをし始めたら、その後全てにサインしなくてはならないだろうし。
実際、Security Review Guide [mozilla.org]にも書いてありますが、
Extension等は作者がサインをするだけで、安全性の保障などは皆無ですから。
ただ、SpywareなXPIも出てたようので、今後はどうなるか、と。
結局、Review Guideにもあるとおり、
"In short, security is everyone's responsibility."
というところでしょうか。
"Stupid risks are what make life worth living!" -- Homer Simpson
Re:「署名がありません」って... (スコア:0)
規制を回避したのではなくて、輸出規制が緩和されたのではないかしら。
# って、いつの時代の話だ?
しかし、MozillaFoundationの出す物くらいには自署してあっても
良さそうなものだ。仕組みだけ作って放置ってのはいかがなものかと。
Re:「署名がありません」って... (スコア:0)
1998年。俺がまだ幼稚園児だったころだよ。
Re:「署名がありません」って... (スコア:1, 参考になる)
ここでいわれている署名とはまた別の署名の話ですが, Firefox 0.10 以降に mozilla.org からリリースされたものについては, GnuPG による分離署名ファイルが同時に配布されるようになっているようです.
例えば, Firefox 0.10.1 (GTK2+, インストーラ版) であれば,
また, 今回のセキュリティパッチであれば,
といった具合です.
# Firefox 0.10 の署名に使われた鍵と Firefox 0.10.1 の署名に使われた鍵は別のようですが..... 署名者が毎回違うなんてことになると, 公開鍵の管理が面倒くさそう :-(
Re:「署名がありません」って... (スコア:0)
ソフトウェアインストールの小窓が出てきて、署名がなくても「今すぐインストール」をクリックして、
しかし、
拡張機能の小窓が出てくるだけで、「インストールが終了しました」とか「正常にアップデートされました」とか、そういった類の表示は全く出てこない。
ヘルプからバージョン情報を確認しても、それまで
Re:「署名がありません」って... (スコア:1)
自分の場合はなぜかWindows再起動させないとバージョン情報が変わりませんでした。
拡張機能の小窓が出てくるぐらいなら、そこにパッチの履歴ぐらい出してほしいなあ
IEよりセキュアなブラウザとか言うのにいざセキュリティアップデートとなった時、
きちんと当たってるか確認できんのではだめじゃないかなあ。
・パッチの履歴
・ブラウザ再起動および「アップデート終了」のダイアログ
のようなものを出せるようにしてほしいものです。