過去ログ表示


過去ログ 206 を表示

トピック内全 5 記事中の 1 〜 5 番目を表示
[ 最新記事及び返信フォームをトピックトップへ ]
このトピックの全ページ / [0]

拡張機能・テーマのセキュリティについて
(#32653) このトピック中1番目の投稿
(環境: Win2000/Firefox1.5/Thunderbird1.5)

Firefox と Thunderbird を愛用しています。
拡張機能・テーマのセキュリティについて気になる点がありますので質問させて頂きます。

[質問1]
Firefox、Thunderbird の拡張機能では、OSのユーザ権限で任意の作業が行えますが、
テーマも同じでしょうか?
それとも、テーマはサンドボックス内で実行されるのでしょうか?

[質問2]
Firefox Addons、Thunderbird Addons で公開されている拡張機能は、どのようなセキュリティ上の審査が行われてから登録されているのでしょうか?
https://addons.mozilla.org/firefox/
https://addons.mozilla.org/thunderbird/

ご教示よろしくお願い致します。

Re[1]: 拡張機能・テーマのセキュリティについて
(#32667) このトピック中2番目の投稿
(環境: WinXP SP2/Firefox1.5)

> [質問1]
> Firefox、Thunderbird の拡張機能では、OSのユーザ権限で任意の作業が行えますが、
> テーマも同じでしょうか?
> それとも、テーマはサンドボックス内で実行されるのでしょうか?
テーマも拡張と同様のはずです。OS と結びついていませんから、OS の管理者権限は関係ないでしょう。

> [質問2]
> Firefox Addons、Thunderbird Addons で公開されている拡張機能は、どのようなセキュリティ上の審査が行われてから登録されているのでしょうか?
> https://addons.mozilla.org/firefox/
> https://addons.mozilla.org/thunderbird/
バグや拡張の持つ機能なども検証した上で登録されるようです。
たとえば日本の拡張機能開発者 piro 氏の Tabbrowser Extentions はバグなどが多いため、
Mozilla 側は永遠に登録されないだろうという見解を示しています。
ただ拡張を作れば登録できるという単純構図ではないようです。

Mozilla の開発側はセキュリティに熱心であるようですから、安易な行動は避けるでしょう。
というか、あの Mozilla Update が SSL を使っていること自体セキュリティを意識しているという証のようにも見えますが…。
(といっても私は関係者じゃないからコレはあくまでも憶測)

Re[2]: 拡張機能・テーマのセキュリティについて
(#32699) このトピック中3番目の投稿
(環境: Win2000/Firefox1.5)

> > [質問1]
>>Firefox、Thunderbird の拡張機能では、OSのユーザ権限で任意の作業が行えますが、
>>テーマも同じでしょうか?
>>それとも、テーマはサンドボックス内で実行されるのでしょうか?
> テーマも拡張と同様のはずです。OS と結びついていませんから、OS の管理者権限は関係ないでしょう。

拡張機能からはHDDのフォーマットなども含む一般のWindowsアプリケーションと同様の作業が可能です。
OSのユーザ権限が Users(制限付きユーザ) である場合は、原則としてシステムファイルを改ざんしたりすることはできません。
従って、「OSのユーザ権限で任意の作業が行える」という表現で間違っていないと思います。

Firefoxの拡張機能とセキュリティ
http://piro.sakura.ne.jp/xul/doc/security2/ よりプレゼン内容を引用
| Firefoxは [XML]関連技術と [JavaScript]と [CSS] でできている
| Dynamic HTMLや Ajaxで作られた Webアプリケーション によく似ている
| それだけでは [ファイルの保存] [バイナリ情報の処理] 等は不可能
| そこで XPCOM コンポー ネント
| ローカルファイル へのアクセスなど 高度な機能を提供 するライブラリ
| Firefoxを 複数プラット フォームで 動かすための コア技術
| JavaScriptからも XPCOM コンポーネント を呼び出せる ([XPConnect])
| つまり Firefox内部では JavaScriptで ローカルファイルへ アクセスしたり している
| IEにおける [ActiveXコンポーネント] と似た働き
| ぶっちゃけ JavaScriptで レジストリ破壊から 起動ドライブの フォーマットまで 何でもできる
| だから セキュリティ 制限
| Webページ内の JavaScriptでは XPConnectは 利用できない
| つまり
| Webページ内の JavaScriptからは XPCOMを 呼び出せない
| これが 基本原則


>>[質問2]
>>Firefox Addons、Thunderbird Addons で公開されている拡張機能は、どのようなセキュリティ上の審査が行われてから登録されているのでしょうか?
>>https://addons.mozilla.org/firefox/
>>https://addons.mozilla.org/thunderbird/
> バグや拡張の持つ機能なども検証した上で登録されるようです。
> たとえば日本の拡張機能開発者 piro 氏の Tabbrowser Extentions はバグなどが多いため、
> Mozilla 側は永遠に登録されないだろうという見解を示しています。
> ただ拡張を作れば登録できるという単純構図ではないようです。
ご教示ありがとうございました。
Mozilla 側で検証を行っているとのことで感激致しました。
拡張を入れる時、入れてからは不安でしょうがないのですが、Mozilla Update で公開されているものならば、ある程度安心できますね。


> Mozilla の開発側はセキュリティに熱心であるようですから、安易な行動は避けるでしょう。
> というか、あの Mozilla Update が SSL を使っていること自体セキュリティを意識しているという証のようにも見えますが…。
> (といっても私は関係者じゃないからコレはあくまでも憶測)
Mozilla Update は 高度な AES-256 の SSL を使っているようですね。
ただ、肝心な xpi ファイルは http://releases.mozilla.org/ へのリンクとなっており、SSLが使われていないのが残念です。
大容量のファイルをSSLで送受信するのは負荷の観点から困難ですが、せっかくSSLを使っていますのでハッシュ値を https://addons.mozilla.org/ 内に記載してくれればいいのになーと思いました。

Re[3]: 拡張機能・テーマのセキュリティについて
(#32708) このトピック中4番目の投稿
(環境: WinXP SP2/Firefox1.5)

> 拡張機能からはHDDのフォーマットなども含む一般のWindowsアプリケーションと同様の作業が可能です。
> OSのユーザ権限が Users(制限付きユーザ) である場合は、原則としてシステムファイルを改ざんしたりすることはできません。
> 従って、「OSのユーザ権限で任意の作業が行える」という表現で間違っていないと思います。
別にあなたが間違っているとかそういうニュアンスで言っているわけではありません… Embarassed
というか、Firefox のプロファイルはユーザー権限でアクセスできる場所にありますから、
インストールなどが出来るのは別に理屈で考えておかしくないと思います。
一義的な見方としては、レジストリ未使用のアプリケーションと同じようなものでしょう。

Re[4]: 拡張機能・テーマのセキュリティについて
(#32726) このトピック中5番目の投稿
(環境: Win2000/Firefox1.5)

> > 拡張機能からはHDDのフォーマットなども含む一般のWindowsアプリケーションと同様の作業が可能です。
>>OSのユーザ権限が Users(制限付きユーザ) である場合は、原則としてシステムファイルを改ざんしたりすることはできません。
>>従って、「OSのユーザ権限で任意の作業が行える」という表現で間違っていないと思います。
> 別にあなたが間違っているとかそういうニュアンスで言っているわけではありません… :oops:
> というか、Firefox のプロファイルはユーザー権限でアクセスできる場所にありますから、
> インストールなどが出来るのは別に理屈で考えておかしくないと思います。
> 一義的な見方としては、レジストリ未使用のアプリケーションと同じようなものでしょう。

回答ありがとうございます。
趣旨を勘違いしたレスをしてしまい申し訳ありませんでした。
本題の方もおかげさまで解決致しましたので済みとします。
済!

このトピックの全ページ / [0]

返信不可


- Child Tree -