過去ログ表示


過去ログ 275 を表示

トピック内全 8 記事中の 1 〜 8 番目を表示
[ 最新記事及び返信フォームをトピックトップへ ]
このトピックの全ページ / [0]

危険?
(#42928) このトピック中1番目の投稿
(環境: WinXP SP2/Firefox2.0)

はじめまして。
お聞きしたいことがあるのですが、Firefoxの拡張機能は自動でアップデートされますが、ウイルスや危険な拡張機能が入ることはないのでしょうか?
アップデートを見て不安に思ったためご質問させていただきました。
もしわかる方がいらっしゃったら教えていただけると助かります。

Re[1]: 危険?
(#42930) このトピック中2番目の投稿
(環境: WinXP SP2/Gran Paradiso)

> はじめまして。
> お聞きしたいことがあるのですが、Firefoxの拡張機能は自動でアップデートされますが、ウイルスや危険な拡張機能が入ることはないのでしょうか?

可能性はあります。
大抵のものはネット上に情報がありますので、調べてみてください。
そして、信用できないものは入れないことです。
不安なら最低限、自動更新をOFFにしておいてください。


Firefoxのアドオンに限らず、公式サイトや作者サイト以外で(再)配布されているソフト全般に言えることです。

Re[2]: 危険?
(#42931) このトピック中3番目の投稿
(環境: Linux/Other)

> Firefoxのアドオンに限らず、公式サイトや作者サイト以外で(再)配布されているソフト全般に言えることです。

 補足しますね。
 正規の作者サイトであっても、悪意ある作者により作成された拡張であれば、当然危険です。できれば addon で公開されているもの。野良拡張であってもこれまでの実績により信頼されている作者の拡張のインストールに止めるべきです。これらは他のスクリプト類にも当てはまります。
 再配布されている拡張をインストールすべきでないのは pal さんのおっしゃる通りです。
 危険を避けるためには、もじら組や、その他の IT 関連のサイトをチェックするような日頃の情報収集が大切です。

Re[1]: 危険?
(#42932) このトピック中4番目の投稿
(環境: WinXP SP2/Other)

> Firefoxの拡張機能は自動でアップデートされますが、ウイルスや危険な拡張機能が入ることはないのでしょうか?

自動更新の安全性の質問なので簡単にまとめてみました。
(セキュリティの話は素人が知ったかぶりで話をしてはならんといわれていますが、、、突っ込み歓迎ということで)

・拡張機能作者自身に悪意がある場合。
どうにもなりません。
AMOでは登録時にレビューが行われますが、悪意ある拡張機能を完全に排除できる保証はありません。
信頼できる拡張機能だけをインストールするようにしましょう。

・通信途中で中身をすりかえられる。
Firefox 3ではこのような中間者攻撃を防ぐ対策がとられています。

・拡張機能にウィルスやマルウェアが入り込む。
ありえない話ではありません。実際、ベトナム語言語パックでそのような事件がありました。
http://mozlinks-jp.blogspot.com/2008/05/firefox.html
AMOではウィルスチェックの頻度を高めるなどの対策がとられています。

・(おまけ)古い、問題のある拡張機能をインストールしてしまう。
Firefox 3では問題のあるアドオンの情報を持っており、インストール時にチェックします。
そのリスト:http://www.mozilla.com/en-US/blocklist/
上のベトナム語言語パックもリストされています(4個目)。

上記の危険性はFirefoxの拡張機能だけにある問題ではなく、一般的なすべてのソフトウェアに当てはまることです。
ただし二つ目の問題は、自動で更新の有無を確認するFirefoxの自動更新機能においては危険性が高いといえます。

Re[2]: 危険?
(#42935) このトピック中5番目の投稿
(環境: Linux/Other)

> AMOでは登録時にレビューが行われますが、悪意ある拡張機能を完全に排除できる保証はありません。
> 信頼できる拡張機能だけをインストールするようにしましょう。
 すみません。以前 piro さんが XUL/Migemo を add-on に登録した際に、コードのチェックが進まないためにサンドボックスに長い間とどめ置かれていたことがあります。最近は拡張を解凍してコードのチェックはされていないのですか?
 現在でも、拡張作者はレビュワーがチェックしてくれていることを前提に add-on に登録していますが。

Re[3]: 危険?
(#42937) このトピック中6番目の投稿
(環境: WinXP SP2/Other)

> > AMOでは登録時にレビューが行われますが、悪意ある拡張機能を完全に排除できる保証はありません。
>>信頼できる拡張機能だけをインストールするようにしましょう。
>  すみません。以前 piro さんが XUL/Migemo を add-on に登録した際に、コードのチェックが進まないためにサンドボックスに長い間とどめ置かれていたことがあります。最近は拡張を解凍してコードのチェックはされていないのですか?
>  現在でも、拡張作者はレビュワーがチェックしてくれていることを前提に add-on に登録していますが。

もちろんレビューはされていると思いますよ。
でも、レビューで100%悪意ある拡張を発見できるとは限りません。
何をもって悪意あると判断するかも人によってさまざまでしょうから。

Re[4]: 危険?
(#42938) このトピック中7番目の投稿
(環境: Linux/Other)

> でも、レビューで100%悪意ある拡張を発見できるとは限りません。
 それは私も認めることができます。人間がコードをチェックするわけですから、チェック漏れや難読化されたコードを読むのはかなり困難が伴うでしょう。

> 何をもって悪意あると判断するかも人によってさまざまでしょうから。
 一般的に言って以下のような機能を有する拡張は、悪意ある拡張といえるでしょう。

・XPCOM などを利用してシステムに悪影響を与えるスクリプトを実行する。
・Firefox の脆弱性を突くようなスクリプトを実行する。
・マルウェア、root kit などをシステムにインストールするスクリプトを実行する。
・悪意あるサイトに誘導するスクリプトを実行する。
・目的として Firefox をクラッシュさせる。
・Firefox が管理している情報を密かに収集する。
・その他

 あとはセキュリティホールmemoや、高木浩光の自宅の日記、ITPro-Security、JPCERT/CC などを参照してください。

Re[2]: 危険?
(#43001) このトピック中8番目の投稿
(環境: Mac/Minefield)

> ・通信途中で中身をすりかえられる。
> Firefox 3ではこのような中間者攻撃を防ぐ対策がとられています。

防ぐ対策自体は Firefox 2 でも利用可能でした。
が、それを使わない方法を、アドオン作者が選択することも可能でした。
Firefox 3 では、デフォルトの設定では選択不可になったので、その点では安心できるようになりました。

> ・(おまけ)古い、問題のある拡張機能をインストールしてしまう。
> Firefox 3では問題のあるアドオンの情報を持っており、インストール時にチェックします。

最初から持っているわけではなく、定期的にサーバに問い合わせてプロファイル内に保存します。
ということは、新規プロファイルを作った直後、最初に問い合わせが行われるまでの間はインストールできてしまいますのでお気をつけを。
なお、この仕組み自体は Firefox 2 からあったような気がします。
(ただし、Firefox 2 リリース時点ではリストに入れるべきアドオンは見つかっておらず、リストは空だったはずです。)


このトピックの全ページ / [0]

返信不可


- Child Tree -