Latest topics > 自分で自分を危険に晒す行為
宣伝。日経LinuxにてLinuxの基礎?を紹介する漫画「シス管系女子」を連載させていただいています。
以下の特設サイトにて、単行本まんがでわかるLinux シス管系女子の試し読みが可能!
自分で自分を危険に晒す行為 - May 19, 2008
extensions.checkCompatibility(対応バージョンの照合を行うかどうか)とextensions.checkUpdateSecurity(自動アップデートが安全に行われることを求めるかどうか)のうち、前者はまあfalseにしてもいいと思うけど、後者をfalseにするのは僕もいただけない。前者は「気をつけていれば被害を防げる」性質の物だけど、後者は「気をつけていても被害に遭う」性質の物だから。
自分でもよく分かってないものを人に勧めるな、とは言わない。それを言ったら自分も何もできなくなるから。その代わり、良くないことを勧めてしまったことに気がついたのなら、それを広めた時と少なくとも同じだけの労力を割いて訂正情報を広める努力をする(誤情報を伝えたエントリやコメントに正しい情報へのポインタを追記することもその一つ)のが、自分のしたことに対する責任の取り方という物だと僕は思ってる。
Comments/Trackbacks
他山の石は赤い
IEで言えば動かなくなったActiveXコントロールに署名を促す代わりに「未署名のActiveXコントロールのダウンロード」の設定を変更しろと勧めているようなものだと言えば、少しはヤバさが伝わるでしょうかね。
Re: 他山の石は赤い
この話になるとつい口を挟みたくなる者です。
自分が入れた拡張機能が信頼できるという前提では、この設定は経路上であれやこれやされるのを防ぐという効果しかありません。安全でないにしろupdateURLに書いてある内容は信頼しているはずなので。
これに対して訪問するページは信頼できるかっていうとそうでない場合が大多数で、そこに含まれるActiveXへのリンクもそもそも信頼できないわけです。
言いたいことも分かりますが、ActiveXと同列にするのは無理があるかと。
説得するには、ミトニック氏
http://www.atmarkit.co.jp/news/200805/19/micnick.html
がやっているように、被害が現実的なものだということを教えてあげることが一番効果的だと思います。
まあ私はといえばこの機能はFirefoxの機能の中で1,2を争うくらい有用だと思っているので、何があってもfalseにすることはないです。
安全でない更新を提供する拡張機能を、更新を無効にしてインストールする行為
えっと、この議論の別の結論(妥協点)は「安全でない更新を提供する拡張機能は、無効にはしないけど更新(のための通信)は一切行なわない」だと思うんですが、Firefox開発者がこれを選択しなかった背景には、「更新手段が提供されない拡張機能はそれ自体危険だ」という思想があると思うんです。なので、更新だけ無効にしてその拡張機能を使えるようにするworkaroundは「ちゃんと自分の手で更新を確認しましょうね」という啓蒙なしではやっぱり危険だと思うわけです。
もちろん、更新手段が存在することとセキュリティホールが発見されたときに適切に更新が提供されることは別問題なわけですが。
TrackBack ping me at
の末尾に2020年11月30日時点の日本の首相のファミリーネーム(ローマ字で回答)を繋げて下さい。例えば「noda」なら、「2008-05-19_secure.trackbacknoda」です。これは機械的なトラックバックスパムを防止するための措置です。
Post a comment
writeback message: Ready to post a comment.