Home > Latest topics

Latest topics > 自分で自分を危険に晒す行為

宣伝1。日経LinuxにてLinuxの基礎?を紹介する漫画「シス管系女子」を連載させていただいています。 以下の特設サイトにて、単行本まんがでわかるLinux シス管系女子の試し読みが可能! シス管系女子って何!? - 「シス管系女子」特設サイト

宣伝2。Firefox Hacks Rebooted発売中。本書の1/3を使って、再起動不要なアドオンの作り方のテクニックや非同期処理の効率のいい書き方などを解説しています。既刊のFirefox 3 Hacks拡張機能開発チュートリアルと併せてどうぞ。

Firefox Hacks Rebooted ―Mozillaテクノロジ徹底活用テクニック
浅井 智也 池田 譲治 小山田 昌史 五味渕 大賀 下田 洋志 寺田 真 松澤 太郎
オライリージャパン

自分で自分を危険に晒す行為 - May 19, 2008

塞がれたセキュリティホールを開けろという人々

extensions.checkCompatibility(対応バージョンの照合を行うかどうか)とextensions.checkUpdateSecurity(自動アップデートが安全に行われることを求めるかどうか)のうち、前者はまあfalseにしてもいいと思うけど、後者をfalseにするのは僕もいただけない。前者は「気をつけていれば被害を防げる」性質の物だけど、後者は「気をつけていても被害に遭う」性質の物だから。

自分でもよく分かってないものを人に勧めるな、とは言わない。それを言ったら自分も何もできなくなるから。その代わり、良くないことを勧めてしまったことに気がついたのなら、それを広めた時と少なくとも同じだけの労力を割いて訂正情報を広める努力をする(誤情報を伝えたエントリやコメントに正しい情報へのポインタを追記することもその一つ)のが、自分のしたことに対する責任の取り方という物だと僕は思ってる。

分類:Mozilla > Firefox, , , , , , 時刻:12:28 | Comments/Trackbacks (3) | Edit

Comments/Trackbacks

他山の石は赤い

IEで言えば動かなくなったActiveXコントロールに署名を促す代わりに「未署名のActiveXコントロールのダウンロード」の設定を変更しろと勧めているようなものだと言えば、少しはヤバさが伝わるでしょうかね。

Commented by えむけい at 2008/05/20 (Tue) 06:42:45

Re: 他山の石は赤い

この話になるとつい口を挟みたくなる者です。

自分が入れた拡張機能が信頼できるという前提では、この設定は経路上であれやこれやされるのを防ぐという効果しかありません。安全でないにしろupdateURLに書いてある内容は信頼しているはずなので。
これに対して訪問するページは信頼できるかっていうとそうでない場合が大多数で、そこに含まれるActiveXへのリンクもそもそも信頼できないわけです。
言いたいことも分かりますが、ActiveXと同列にするのは無理があるかと。
説得するには、ミトニック氏
http://www.atmarkit.co.jp/news/200805/19/micnick.html
がやっているように、被害が現実的なものだということを教えてあげることが一番効果的だと思います。

まあ私はといえばこの機能はFirefoxの機能の中で1,2を争うくらい有用だと思っているので、何があってもfalseにすることはないです。

Commented by takeshi at 2008/05/26 (Mon) 02:14:00

安全でない更新を提供する拡張機能を、更新を無効にしてインストールする行為

えっと、この議論の別の結論(妥協点)は「安全でない更新を提供する拡張機能は、無効にはしないけど更新(のための通信)は一切行なわない」だと思うんですが、Firefox開発者がこれを選択しなかった背景には、「更新手段が提供されない拡張機能はそれ自体危険だ」という思想があると思うんです。なので、更新だけ無効にしてその拡張機能を使えるようにするworkaroundは「ちゃんと自分の手で更新を確認しましょうね」という啓蒙なしではやっぱり危険だと思うわけです。

もちろん、更新手段が存在することとセキュリティホールが発見されたときに適切に更新が提供されることは別問題なわけですが。

Commented by takeshi at 2008/06/24 (Tue) 03:44:26

TrackBack ping me at


の末尾に2014年1月19日時点の日本の首相のファミリーネーム(ローマ字で回答)を繋げて下さい。例えば「noda」なら、「2008-05-19_secure.trackbacknoda」です。これは機械的なトラックバックスパムを防止するための措置です。

Post a comment

writeback message: Ready to post a comment.

2014年1月19日時点の日本の首相のファミリーネーム(ひらがなで回答)

Powered by blosxom 2.0 + starter kit
Home

カテゴリ一覧

過去の記事

1999.2~2005.8

最近のつぶやき

オススメ

Mozilla Firefox ブラウザ無料ダウンロード