Tabbrowser Extensionsに深刻なセキュリティホール 43
ストーリー by Oliver
タブなくしては生活できず 部門より
タブなくしては生活できず 部門より
k3c 曰く、 "Mozilla, FireFoxの機能拡張であるTabbrowser Extensionsの更新履歴によれば、この機能拡張に「深刻なセキュリティホール」が発見され、これを修正した新バージョンがリリースされています。update.mozilla.orgに反映されるには少し時間がかかるようなので、使っているヒトはすぐに直接ダウンロードして更新しましょう。"
非推奨の機能拡張です (スコア:5, 参考になる)
見ていて、やはり事実誤認や誤解があることがわかりました。
まず、タレコミにある「update.mozilla.org に反映」ですが、そもそも、
update.mozilla.org からは、インストールはおろか、ダウンロードすら
できません。それは、この拡張機能が非推奨だからです。
その理由として、Neowin.net から、一部ですが、引用 [neowin.net]します。
また、Firefox開発チームリーダーである Ben Goodger の Mozillazine Forum での
発言を参照してください。これ以外にもありますが、とりあえず。
http://forums.mozillazine.org/viewtopic.php?p=272721&highlight=#272721
http://forums.mozillazine.org/viewtopic.php?p=274175&highlight=#274175
http://forums.mozillazine.org/viewtopic.php?p=277768&highlight=#277768
最後の発言では、この拡張機能の危険性に触れています。
「イリーガルなこと」という、今回の作者のコメントを引くまでもありません。
そして、update.mozilla.org には存在しない、現在の状況とのつながりですが、
「危険な拡張機能」をインストールできないように、とまで発言しています。
未だに使用できること、そして、薦めるユーザが多いこともあって、#660651の [srad.jp]
AC さんの発言があるのだと思いますが、ある意味、「弊害」ですね。
Firefox 開発チームとしては、容認していないし、したくない立場でしょう。
このあたりは、オープンソースコミュニティで開発を制限できるのか、など、
いろいろと考えなければならない点もあるとは思いますが、正直、Ben には
インタビューされる機会が何度かあったのだから、もう少しこの点に触れても
よかったのではないか、と、個人的には思っています。
(ここで私が発言しても、どれほど認識してもらえるか)
http://www.neowin.net/articles.php?action=more&id=96
http://news.com.com/Unearthing+the+origins+of+Firefox/2008-1032_3-5406708.html
Mozillazine Forum での Ben の発言にもありますが、Firefox への影響
(シングルウィンドウモードなどのアイデア)があったことは否定しません。
しかし、先日の拡張機能の話題 [srad.jp]を見るまでもなく、否定的な情報を
隠したまま、「定番」 [itmedia.co.jp]として広まってしまうとすれば、それは
オープンとは言えませんし、あまりにもアンバランスな状況です。
また、Firefox 開発チームに、余計な負担をかけてしまうことにもなりかねません。
ここ、/.J に限らず、IE の ActiveX などについては、セキュリティ面からの
拒否反応があり、情報を知らないユーザへの批判が多いように思いますが、
そのようなコミュニティにおいて、この機能拡張の危険性を検討しないまま、
他のユーザに薦めている状況も、「危険」ではないかと思う次第です。
Re:非推奨の機能拡張です (スコア:1)
自分にとっては必須の拡張という感じであり、また、色々な所でも「取り敢えず入れとけ」という扱いで薦められまくっているにもかかわらず、本家の「update.mozilla.org/extensions」に載らないのは何でだろー、とか、思っておりましたが、その辺の危険性を加味しての判断があったのですね。
確かに、そのあまりの多機能性から「なんか穴が開いているか、穴が開き易いことになっているんだろうなー」とは思いつつも、やはりその機能ゆえに使い続けてきました。
今までは、Firefox自体を更新した時とか、なんとなく気が向いたときとか、その程度での頻度でしか気にしてませんでしたが、これからは更新情報などをもっとマメに確認したほうがいいですね。
#これを機会に、他のタブブラウジング機能拡張も試してみるかな?
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
Re:非推奨の機能拡張です (スコア:1, すばらしい洞察)
決め込んでたってこと?
いっそ、Firefox + TBE は Firefox の fork したバージョン、
とでもアナウンスしてくれればよかったのかも。
Re:非推奨の機能拡張です (スコア:0)
挙げられている発言の内の1つ [mozillazine.org]には、このような意見 [mozillazine.org]も寄せられているようですが。
あと、IE における ActiveX の問題と TBE の問題を同列に語られてもね……
前者はシステムに最初か
Re:非推奨の機能拡張です (スコア:2, すばらしい洞察)
ActiveX の何が問題にされていたか、分かってないんじゃないの?
> 「非推奨の機能拡張です」
> 分かりました。では推奨される代替物は他にあるのでしょうか?
> 利用者にとっては、そのソフトが自分のユーザ体験をいかに改善してくれるかだけが重要なのであって、問題が起こっても速やかに対応が取られている限りにおいては、実装がどうなっているのかなど、正直どうでもいいことです。
これって、何年か前のマイクロソフトの態度そのものでは?
Re:非推奨の機能拡張です (スコア:0)
機能そのものを求めている人間が多いこと、
タブ関係の拡張が多すぎてスタンダードというべき機能拡張が必要とされていること
という状況は変わっていない。
Re:非推奨の機能拡張です (スコア:0)
適当な代替品がない限りは、使われ続けるのを止めることなんて出来ないでしょう。
私にとってはTbEあってのMozilla/Firefoxなんで、TbEが使えなくなったらブラウザごと乗り換えを検討しますね。
# buggyだ
Re:非推奨の機能拡張です (スコア:2, 参考になる)
(どちらに返事を書くか迷いましたが、こちらにしました。ご了承ください)
既にいくつかの拡張機能について、書き込まれている方もいるのですが、
まとまった形としては、MozillaZine Knowledge Base にあります。
Extensions That Replace TBE [mozillazine.org] を参照してください。
また、それの日本語訳ではないのですが、hadakadenkyu 氏の「Firefox -
ソフトウェア関連記事」に書かれたリスト [flnet.org]がまとまっていますね。
一連の拡張機能の情報については、MozillaZine の Extensions forum で
新規開発も含めて意見交換が行われていますので、そちらをどうぞ。
以下の2つです。
Rebuilding TBE's featureset with other plugins [mozillazine.org]
Rebuilding TBE's featureset with other plugins, II [mozillazine.org]
Re:非推奨の機能拡張です (スコア:1)
Re:非推奨の機能拡張です (スコア:1)
・Tabbrowser Preference
・PrefButtons
・undoclosetab
・Flowing Tabs
インストールした拡張の数が増えると設定が煩雑になるんですよね。特にタブ関係の機能は設定を変更しようとすると、どの拡張の機能か探すところから始めないといけなかったりして。
Re:非推奨の機能拡張です (スコア:0)
Re:非推奨の機能拡張です (スコア:0)
『タブの設定』も何かで代替出来るのでしょうか。
私はこの機能を使ってFirefox本来のJavaScriptオン、
タブのデフォルトのJavaScriptオフ、
ブックマークで特定のサイトのみJavaScriptオンで使っています。
この機能がないFirefoxには魅力を感じないです。
Re:非推奨の機能拡張です (スコア:1)
Java や Send Referer に this tab が無いのがちょっと悲しいところですが・・・。
#というわけで俺も同じ理由で TbE が必須です・・・。
Re:非推奨の機能拡張です (スコア:0)
> # マイルストーン時代からbuggyなMozillaに付き合ってくれるユーザがいたからこそ
> # ここまでこれたんでしょうに。
開発中で、事情が分かった内輪の連中で使うものと、
リリースされて、よく分からずに薦められて使う人がいる
Re:非推奨の機能拡張です (スコア:0)
Piroさんの日記を見ると、このBenの発言やFirefox開発者の公式見解(?)を知らなかったみたいだぞ。
2年も前に問題点がわかっておきながら、なんで本人に注意しなかったのだ?
交渉はあったのか?
Piroさんが割り切っていたならともかく、危険性を知っていながら放置するなんて、何がセキュリティだ
ふざけている
Re:非推奨の機能拡張です (スコア:0)
大抵、こういう話題の時ってみんなそう言うじゃん。
言い出しっぺがやれ、自分で手を動かせって:-P
Firefoxのポリシー (スコア:2, すばらしい洞察)
これって、ある意味、Firefoxのセキュリティーホールとも言えるんじゃないかなあ。
Re:Firefoxのポリシー (スコア:1)
#IEのActiveXコントロールは個別にそして明示的に削除する方法ありましたっけか?もちろんRegEditいじって不能にするとかはできるでしょうけど。
Re:Firefoxのポリシー (スコア:2, 参考になる)
ツール>インターネットオプション>設定>オブジェクトの表示
でも、セットアップのランチャが残ってるだけで本体は別とか、
アプリケーションの追加と削除にあったりするので確実とは限らないです。
# まぁ、Firefoxでも同じ事ですが
Re:Firefoxのポリシー (スコア:0)
Win XP SP2なら個別に有効・無効を切り替えることができますよ。
#削除はそこではできないようですが。
IEの[ツール]-[アドオン]で開くことのできるアドオンの管理
ダイアログでActiveXやブラウザ拡張などの有効、無効を切り
替えることができます。
Re:Firefoxのポリシー (スコア:0)
外れたフリをしてしっかり活動し続けるExtensionが書けたりはしないのでしょうか。
Re:Firefoxのポリシー (スコア:1)
でもセーフモードから起動orプロファイルからExtension強制削除でどうにかなるかと。
こういうのが作れること自体がFirefoxのセキュリティホールって意見もあったけど、
ある程度はまったくその通りだと思う。
レジストリやプロファイル外のファイルの編集は認めないor尋ねるようにしないと
(今はIEの方が普及しているのでスパイウェアも0に近いかもしれないけれどFirefoxが普及したら)
ActiveXと同じ状況になるのは明らか。
1を聞いて0を知れ!
Re:Firefoxのポリシー (スコア:0)
>ある程度はまったくその通りだと思う。
まだ1.0が出たばかりだし、それはこれから改良されるのに期待しましょう。
きっとVer 3.1よりは早いと思いますよ.
Re:Firefoxのポリシー (スコア:1)
某OSのSP2みたいに、○○が動かないとか、警告がうっとうしいとか、そんな状況になるのでは?
一切セキュリティホール無しなんてのはありえないと思いますが、
安心してアップデートできるようにしてもらいたいです。
1を聞いて0を知れ!
Re:Firefoxのポリシー (スコア:1)
ユーザがextensionをインストールできるwebサイトを追加している場合で、そのwebサイトが
改竄をうけて、改竄者が拡張の新しいバージョンを設置した場合、ユーザは自動更新で改竄されたバージョンをインストールしちゃうんでしょうか。
Firefoxがextension用のサンドボックスを用意できてないなら、その分だけextensionの健全性を信用しないとだめですよね。
私はTBEは使っていませんが、SwitchProxy Toolを一時期update.mozilla.orgではなく開発者のサイトからインストールして使ってたり、/.Jで知ってRadialContextを使ってたりしています。
インストールの許可をあたえたのはユーザ(自分)で、そのユーザの自己責任に違いはありませんが、他ユーザの「便利だよー」って誘惑に打ち勝ってセキュリティを守れるかというと、これは難しいところですよね。
Re:Firefoxのポリシー (スコア:1, 興味深い)
セキュリティホールのあるソフトウェアが作成・実行出来る OS に、セキュリティーホールがあるとは言えないでしょう。
ましてやそれが堂々巡りしてハードウェア、さらにはインターネット自体の欠陥であると主張できますか?
拡張のセキュリティホールが、Firefox のセキュリティホールにつながるわけではありません。
この場合 Firefox と拡張 (タブブラウザ拡張) のセキュリティホールの関係性は切り離すべきです。
Firefox に何らかの対策機構 (たとえば拡張ごとの IP フィルタや、ファイルの読み書き制御とか?) が設けられるのも、面白いかもしれません。だけど重くなるんじゃ・・・。
Re:Firefoxのポリシー (スコア:0)
ActiveXコントロールは、署名ありが当然だったけど、
Mozilla extentionは、署名の仕組みは歩けど、誰も署名してない
っぽくないですか?
Firefox=セキュア、Firefox+extension=? (スコア:0)
そういう人は、署名なしのextensionなんて絶対にインストールしないんでしょうね。
署名があったからといって悪意のextensionではないという証拠にはならないかもしれないけど。
自動更新 (スコア:2)
ということで、自動更新でも OK になったみたいです。
うっうー
× FireFox (スコア:1, 参考になる)
Zope-2.5.1のころ (スコア:1)
を、使ってて、Zope使ったサイトにアクセスすると、ZWiki等のコンテンツが、ロジックごと破壊されてましたねー。
ちなみに、数日後にリリースされた mozilla-tabext の新版に入れ換えると起こらなくなりました。
以後、開発元のあそこの会社のmozilla-tabextを入れるときは、自宅でテストをして、外部アクセスしてます。
# 別に、業務妨害してる訳ではないです。 あしからず。
hoihoi-p 得意淡然、失意泰然。
深刻なセキュリティホールの正体は? (スコア:1, おもしろおかしい)
作者がフられた
彼女の実名が表示されてしまいます。
穴 (スコア:0)
詳細希望 (スコア:0)
あれば他のextension開発者が轍を踏む確率が下がっていいと思う。
あと、ブラウザ繋がりってことでIEのIFRAMEの奴の修正パッチ [microsoft.com]が出てた。
Re:詳細希望 (スコア:5, 参考になる)
作者様サイト Latest Topics [sakura.ne.jp]より
なお、この分のすぐ下に、
とありますので、何はさておき更新すべきでしょう。
# ワシはまだだけどね(だめじゃん)
で、これだけだと引用だけになってしまうので、ちょっと気になるところを。
> 現時点までに被害に遭われた方がいないことを祈るのみです。
ってことは、具体的な被害の報告があって調べてみた、ということではないようですが、このバグって、どうやって見つかったんでしょうか。
なにかバグチェックのためのツールなり方法なりがあったら、もしかして参考になるかなー、とまあ虫がいいことを考えた次第。
どう発音するのか、それが問題だ。
Re:詳細希望 (スコア:1, おもしろおかしい)
虫がよすぎますね、バグだけに。
# 虫の居所は悪くないので AC
Re:詳細希望 (スコア:2, 参考になる)
-May the sakura-cards be with you.-
Re:詳細希望 (スコア:0)
考えただけでも恐ろしい…
インストールはしてるけど (スコア:0)
「外部からのリンク」で「新しいウィンドウで開く」にチェックしても既に開いているウィンドウで外部アプリからのリンクを開いてしまう不具合があって、微妙に使いづらかったので……
で、新バージョンが出たというので喜んでインストールしたら、そっちの不具合の方はなおっていませんでした……orz
インストールはしてみたけど (スコア:0)
TEを入れていると、どう設定をしようとライブブックマークを[タブで開く]ができなくなってしまうもので...
脆弱性以外に治ったもう一つのバグ (スコア:0)
一瞬二重に見えていたのが治りましたね。
強引にやってるから仕様なのかなと思ってたんですけど。
TBEを避けて代替する方法は? (スコア:0)
何やらヤバゲな情報もちらほら聞きます…。
でも、リスキーだから外したくても、自分にとってどうしても必要な機能が
TBE以外になかったらなかなか決別できませんよね。
というわけで、TBEを使わずに同等の操作を補う手段はどのくらいあるんでしょうか?
私が一番必要としていた、タブバーにスクロールバーを付けるのは
スラドの日記にあった、morさんの11月12日分の記述でなんとか解決できました。
(これ本当に助かりました。ありがとうございます。)
あとはドラッグによるタブの入れ替えをminiTに任せて
新規タブから開かせるためにTabbrowser Preferencesを入れたくらいでしょうか。
TPは左端のボタンが邪魔でしたが、どうにか消せたので使っています。
以上、私の使っている方法です。
どんな機能がどれで代わりになるか、詳しい方はいますか?
Re:TBEを避けて代替する方法は? (スコア:0)
スクロールバーによるタブのスクロール
http://srad.jp/journal.pl?op=display&uid=5826&id=263488
ここの内容をFirefox設定フォルダにあるuserChrome.cssに追加です。
設定フォルダは説明が難しいので
わからなかったらお調べください。
(userChrome.cssがなければ作ってください。文字コードはUTF-8で)
後半に2つある「min-width」というのは
現在開いているタブと