Firefox 3で 安全にアドオンを 配布するための 方法のまとめ ---- ALIGN::left 1. アドオンの配布方法 2. どこに危険が潜むのか 3. 解決するための技術 4. まとめ ---- Firefox 3以降 [[EM:安全に更新できない アドオンは 利用できなくなる]] ---- 安全な 配布方法について 勉強しよう ---- [[EM:1]] アドオンの 配布方法 ---- ALIGN::left ・USBメモリ、CD-Rなどで手渡し ・イントラネットで配布 ・自前のWWWサーバで配布 ・Mozilla Add-onsで配布 ---- それぞれの 詳細 (図) ---- [[EM:2]] どこに危険が 潜むのか ---- 1. 手渡し ---- ALIGN::left ・相手が詐欺師だったら…… ---- 2. イントラネットで配布 ---- ALIGN::left ・スパイが紛れ込んでいたら…… ・盗聴されていたら…… ---- 3. 自前のWWWサーバで配布 ---- ALIGN::left ・相手が詐欺師だったら…… ・通信経路上で情報が  改竄されていたら…… ・サーバ上にあるファイルを  改竄されていたら…… ・アカウント情報を盗まれたら…… ---- 4. Mozilla Add-ons ---- ALIGN::left ・レビュアーがちゃんと  レビューしてなかったら…… ・アカウント情報を盗まれたら…… ---- [[EM:3]] 解決する ための技術 ---- ALIGN::left ・相手が詐欺師だったら…… ・スパイが紛れ込んでいたら…… ・盗聴されていたら…… ・通信経路上で情報が改竄されていたら…… ・サーバ上にあるファイルを改竄されていたら…… ・アカウント情報を盗まれたら…… ・レビュアーがちゃんとレビューしてなかったら…… ---- ALIGN::left [[#{font-size:80%;}:・相手が詐欺師だったら…… ・スパイが紛れ込んでいたら…… ・盗聴されていたら……]] →しらんがな  (´・ω・`) ---- ALIGN::left [[EM:・レビュアーがちゃんと  レビューしてなかったら……]] →しらんがな  (´・ω・`) ---- ALIGN::left [[#{font-size:80%;}:・アカウント情報を盗まれたら……]] →[[EM:パスワードはしっかり管理しよう]]  ・推測されにくいパスワード  ・メモに書いて画面に貼り付けておいたりしない ---- 情報が改竄 されていない ことを確認する (なりすましを防ぐ) ---- ALIGN::left いくつかの技術 ・SSL ・オブジェクト署名 ・ハッシュ ・XML署名 ---- SSL ---- ALIGN::left ・暗号化 ・なりすましを防ぐ ---- メリット ---- ALIGN::left ・安全、確実 ---- デメリット ---- ALIGN::left ・コストがかかる  (お金も手間も) ---- ALIGN::left 認証局証明書 ・ベリサインで9万円/年 ・グローバルサインで3~6万円/年 ・ドメイン認証用なら  比較的簡単に買える ---- オブジェクト署名 [[#{font-size:50%;}:(Netscape Object Signing)]] ---- メリット ---- ALIGN::left ・安全、確実 ---- デメリット ---- ALIGN::left ・コストがかかる  (お金も手間も) ・[[EM:企業限定]] ---- ALIGN::left オブジェクト署名証明書 ・ベリサインで10万円/年 ・グローバルサインで4万円/年 ・購入に会社の登記簿謄本が必要 ---- ハッシュ ---- ALIGN::left ・難読化 ・改竄を防ぐ ---- メリット ---- ALIGN::left ・簡単 ---- デメリット ---- ALIGN::left ・ハッシュそのものを  安全に提供する  必要がある ---- XML署名 ---- ALIGN::left アップデート情報に署名して 安全でない通信経路でも 安全にアップデート情報を 提供する ---- メリット ---- ALIGN::left ・安全 ---- デメリット ---- ALIGN::left ・アップデート情報に  署名を付けるのが大変 ---- 便利なツール ---- McCoy [[#{font-size:30%;}:http://developer.mozilla.org/ja/docs/McCoy]] ---- アップデート情報に 簡単に署名を付けられる ---- ALIGN::left [[#{font-size: 200%;}:参考]] [[#{font-size: 150%;}:・さぁ、McCoyをはじめよう!!]]  [[http://maguroban.s41.xrea.com/diary/diary.xcg?Date=20070921]] [[#{font-size: 150%;}:・XML署名とハッシュを使って  安全な方法でアドオンを更新できるようにする]]  [[https://piro.sakura.ne.jp/latest/blosxom/mozilla/xul/2007-09-21_mccoy.htm]] ---- 実演 ---- ALIGN::left [[#{font-size: 150%;}:・McCoy]](Windows/Mac OS X/Linux)  [[http://developer.mozilla.org/ja/docs/McCoy]] [[#{font-size: 150%;}:・bkhashes]](Windows/Linux)  [[http://homepage2.nifty.com/bkclass/bkhashes.html]] [[#{font-size: 150%;}:・sha1sumコマンド]]  LinuxやCygwinなど  > sha1sum -b extension.xpi > sha1hash.txt [[#{font-size: 150%;}:・開発中のアドオン?]]  [[http://www.cozmixng.org/repos/piro/mccoyextension/trunk/]] ---- 番外:Mozilla Add-ons ---- メリット ---- ALIGN::left ・標準でSSL ・レビューもある ・日本語でおk ---- デメリット ---- ALIGN::left ・レビューが完了するまで  新バージョンを一般向けに  公開できない ・英語が少しは使える必要が…… ---- [[EM:4]] まとめ ---- |~ |~初回インストール|~自動更新|~手軽さ|~スピード|~秘密で配布 |~データ手渡し |◯ |× |? |? |◯ |~イントラネット |◯ |◯ |◯ |◯ |◯ |~自前サーバ(非SSL)|× |◯ |◯ |◯ |◯ |~自前サーバ(SSL) |◯ |◯ |× |◯ |◯ |~Mozilla Add-ons |◯ |◯ |◯ |× |×