パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mozillaそっくりのマルウェア登場」記事へのコメント

  • by Anonymous Coward
    出所の確かなツールはどうやって入手したら良いですか?

    例えば安全と名高い firefox は http://www.mozilla.com/ で入手できますが、
    接続したサイトが http://www.mozilla.com/ に間違いないことを、
    入手したアーカイブが改竄されていないことを、
    どのように確認したら良いですか?

    その他のツールでハッシュが掲載されている場合は、
    ダウンロードしたファイルの計算結果と比較できます。
    しかしハッシュを掲載したページが SSL で保護されていない場合、
    ハッシュとファイルがともに改竄されていないと言えますか?

    仮にこれらを入手する際のあらゆる通信が SSL 保護下にあったとしても、
    フィッシングサイトですらサーバー証明書を持っていることも有り得る時代です。

    出所の確かなツールはどうやって入手したら良いですか?
    • by Anonymous Coward on 2006年06月27日 4時45分 (#967564)
      Firefox自体の電子署名を確認するだけです。Windows XP SP2以降なら実行する前に自動的に確認してくれます。
      極端な話サイトが信頼できるかどうかは関係ありません。P2Pから入手したものでさえ改竄はできないことになっています。

      > フィッシングサイトですらサーバー証明書を持っていることも有り得る時代です。
      まあそれも一理ありますがそこまで心配し出すとWindows Updateすら利用できないので別の意味でかえって危険です。
      親コメント
      • linux版や Mac版の電子署名はどのように確認したら良いですか?

        #ちょっと調べただけじゃ分かりませんでした orz
      • Firefox自体の電子署名を確認するだけです。Windows XP SP2以降なら実行する前に自動的に確認してくれます。
        文脈的に、IEでダウンロードしたものということでしょうからその通りなのですが、どんな場合でも自動的に確認してくれるかというとそうではないです。

        要はIEがダウンロードしたファイルに「インターネット」という印(Zone Identifier)を付ける機能があるからそうなるわけで、例えばFirefoxでダウンロードしたものには印がつかないので上記の「自動的に確認」は行われません。

        Opera等ほかのブラウザでどうなってるかは知りません。

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...