パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

悪意あるFirefox拡張機能、FFsniFFが出現」記事へのコメント

  • 対応策 (スコア:3, 参考になる)

    by btm (7635) on 2006年03月29日 10時44分 (#910948) ホームページ 日記
    Firefox 2.0から悪意のある拡張をインストールさせないよう警告する機能が付くはずです。
    実装方法はブラックリスト方式だったような...正確に思い出せなくてすまん。
    しかし、予想以上にこういう拡張出てくるの遅かったなぁというのが個人的な感想。
    --
    三日風呂に入らなかったら、あなたはすめるまんです。
    • Re:対応策 (スコア:2, 興味深い)

      by Anonymous Coward on 2006年03月29日 11時20分 (#910974)
      もうだいぶ前のこの指摘、いまだに署名の無い機能拡張 [sakura.ne.jp]
      が当たり前の様に出回ってる訳で
      それが一番の問題だ
      親コメント
      • その翻訳ではこう書いてありますね
        顧客をそういった脅威から守るために、IEのインストールの初期設定では、署名されていないActiveXコントロールは全てブロックされるし、また、あなたが署名されていないプログラムをダウンロードしようとしていることをIEは示唆するだろう。もちろん、ソフトウェアが署名されている(もしくは、MD5ハッシュ値を持っている)ということは、そのソフトウェアがアヤシゲなものではないということを意味しない。それはあくまで、そのソフトウェアが信頼に足る物かどうかをあなたが考えるための一つの判断材料でしかない(論理の用語でいえば、必要条件ではあるが、十分条件ではない)。
        あくまで安全かどうか判断する上での必要条件としか述べられていませんが。 もちろん可能なら今後Microsoftが取り組んでいるように署名の必要性も出てくるでしょう。ですが、それ以外にも他のコメントにもありますように、拡張機能の配布形態の見直しとかブラックリストの整備などMozilla独自の対応策も必要なようですね。

        # はやくFirefox並に安全性が向上したIE7が出るといいですね。

        親コメント
    • Re:対応策 (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2006年03月29日 16時51分 (#911291)
      危険な拡張機能の識別はどうやってするのでしょうか。
      インストール定義のid文字列や配布元を見ているのだとしたら、
      いくらでも変えられるのであまり意味が無い気がします。

        * addons.mozilla.orgからのみインストールできるようにする
        * ホワイトリスト型にする

      これくらいしないと被害は防げないのでは?
      親コメント
      • by Anonymous Coward
        普通は、バイナリのハッシュですよ。こういう場合。私は、この件について詳しくありませんが、おそらく、SHA1かなんかじゃないでしょうか。
      • by Anonymous Coward
        > * addons.mozilla.orgからのみインストールできるようにする
        > * ホワイトリスト型にする
        まさにそうなってると思いますが。設定を既定値から変更できてはいけないということでしょうか?

Stableって古いって意味だっけ? -- Debian初級

処理中...