パスワードを忘れた? アカウント作成
Close
12159 story

悪意あるFirefox拡張機能、FFsniFFが出現 26

ストーリー by mhatta
Firefoxもメジャーになったもんだねえ 部門より

かつて拡張機能をプラグインと呼んでいたSassy曰く、"Firefox使いなら誰でも拡張機能のひとつくらいはインストールしたことがあるだろう。ならばソフトウェアインストール画面で「悪意のあるソフトウェアが…あなたのプライバシーを侵害する恐れがあります」という警告文を必ず一度は眺めているはずだ。
さてBugtraqに寄せられた情報によると、本当に悪意のあるFirefox拡張機能、FFsniFF v0.1が出現したそうだ。Symantecによれば、「Webページ内のHTMLフォームに入力される情報のコピーを事前に定義されたEメールアドレスへ送信」する拡張機能らしい(但しSymantecは「Mozilla Firefox ブラウザ拡張子」という窓の杜よりも意味不明な訳語を使っているが。笑)
かつてFree Access Pluginなるものもあったようだが、Firefoxが普及した現在、Firefox初心者にどうやって悪意ある拡張機能を見分けるよう助言することができるだろうか。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

悪意あるFirefox拡張機能、FFsniFFが出現 More

  • 対応策 (スコア:3, 参考になる)

    by btm (7635) on 2006年03月29日 10時44分 (#910948) ホームページ 日記
    Firefox 2.0から悪意のある拡張をインストールさせないよう警告する機能が付くはずです。
    実装方法はブラックリスト方式だったような...正確に思い出せなくてすまん。
    しかし、予想以上にこういう拡張出てくるの遅かったなぁというのが個人的な感想。
    --
    三日風呂に入らなかったら、あなたはすめるまんです。

    • Re:対応策 (スコア:2, 興味深い)

      by Anonymous Coward on 2006年03月29日 11時20分 (#910974)
      もうだいぶ前のこの指摘、いまだに署名の無い機能拡張 [sakura.ne.jp]
      が当たり前の様に出回ってる訳で
      それが一番の問題だ
      シェア
      親コメント
      • その翻訳ではこう書いてありますね
        顧客をそういった脅威から守るために、IEのインストールの初期設定では、署名されていないActiveXコントロールは全てブロックされるし、また、あなたが署名されていないプログラムをダウンロードしようとしていることをIEは示唆するだろう。もちろん、ソフトウェアが署名されている(もしくは、MD5ハッシュ値を持っている)ということは、そのソフトウェアがアヤシゲなものではないということを意味しない。それはあくまで、そのソフトウェアが信頼に足る物かどうかをあなたが考えるための一つの判断材料でしかない(論理の用語でいえば、必要条件ではあるが、十分条件ではない)。
        あくまで安全かどうか判断する上での必要条件としか述べられていませんが。 もちろん可能なら今後Microsoftが取り組んでいるように署名の必要性も出てくるでしょう。ですが、それ以外にも他のコメントにもありますように、拡張機能の配布形態の見直しとかブラックリストの整備などMozilla独自の対応策も必要なようですね。

        # はやくFirefox並に安全性が向上したIE7が出るといいですね。

        シェア
        親コメント

    • Re:対応策 (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2006年03月29日 16時51分 (#911291)
      危険な拡張機能の識別はどうやってするのでしょうか。
      インストール定義のid文字列や配布元を見ているのだとしたら、
      いくらでも変えられるのであまり意味が無い気がします。

        * addons.mozilla.orgからのみインストールできるようにする
        * ホワイトリスト型にする

      これくらいしないと被害は防げないのでは?
      シェア
      親コメント

      • Re:対応策 (スコア:0)

        by Anonymous Coward
        普通は、バイナリのハッシュですよ。こういう場合。私は、この件について詳しくありませんが、おそらく、SHA1かなんかじゃないでしょうか。

      • Re:対応策 (スコア:0)

        by Anonymous Coward
        > * addons.mozilla.orgからのみインストールできるようにする
        > * ホワイトリスト型にする
        まさにそうなってると思いますが。設定を既定値から変更できてはいけないということでしょうか?

  • ちなみに (スコア:1)

    by Elbereth (17793) on 2006年03月29日 7時33分 (#910855)
    窓の杜は、プラグインと拡張機能の呼称問題について、
    「これからは」正しく適用することにしたそうです。
    「Firefox」プラグイン特集 v1.5対応版 第5回 [impress.co.jp](の最後の「おわりに」参照)

    以前の記事は書き直さないみたいですけどね。

  • 日本語版 (スコア:1)

    by akudaikan (26016) on 2006年03月29日 7時57分 (#910862)
    以前から危険だなと思っていたのは、拡張の日本語版。
    どこの誰がやっているのかわからないようなBlogで配布されていたりするよね。
    あれになんか仕込まれたらかなりの被害が出ると思う。
    Firefoxまとめサイト [geckodev.org]なんかのアップローダにあるやつは、より危険だね。

    • Re:日本語版 (スコア:1)

      by ruto (17678) on 2006年03月29日 13時13分 (#911119) 日記
      とりあえず心配な場合は一度解凍して、diffを取ってみると良いかも。
      おそらくlocaleの追加だけのはずです。
      シェア
      親コメント

      • Re:日本語版 (スコア:0)

        by Anonymous Coward
        とりあえず心配な場合は一度解凍して、diffを取ってみると良いかも。
        そういうことをFirefoxから簡単にできる拡張機能はないですか?
        バージョンアップのたびに解凍&diffを手作業でやるのが面倒なので……
        その拡張機能に悪意がないかのチェックをどうするかは、まあ、ともかく。
  • 結局IEのActiveXや普通のネットに落ちてるプログラムと同じように慎重になるしかないかと。
    それで切り捨てるのはアレすぎるので指針を出すとすれば、Firefox add-ons [mozilla.org]からのみインストールするようにするとか?
    ただし、チェック機構が存在するかは知りませんし(ぱっと見では見つからなかった)、日本語サイトじゃないし、日本語化されてない可能性も高いですから薦められる物じゃないですが。
    現状、本当の初心者へ出来るアドバイスは「入れるな」かも。

    # 機能拡張を手間と怖さから結局使ってない臆病者なのでAC
    • ACで投稿するはずがIDにorz
      先に自分で突っ込んでおきます・・・
    • >ただし、チェック機構が存在するかは知りませんし(ぱっと見では見つからなかった)、

      addons.mozilla.orgにあるものは
      アカウント取得→拡張機能登録→ファイルアップロード→審査→公開
      という過程を経て公開されているので、一応チェックはされているようです。
      (バージョンアップした場合も再度審査を受ける必要があります。)
      どこまで中身を探ってチェックしているのかは知りませんが。

  • 結局 (スコア:0)

    by Anonymous Coward on 2006年03月29日 9時18分 (#910897)
    普及しちゃえばIEだろうがFirefoxだろうが危険ってことで

  • 悪意ある? (スコア:0)

    by Anonymous Coward on 2006年03月29日 9時58分 (#910917)
    このFFsniFFのパッケージには悪意はないと思うんだけど。

    何をする拡張なのかはページに説明してあるし、
    送信先らしきメールアドレスは@example.comだし。
typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー