GLOBAL-ALIGN::left
悪意ある
拡張機能を
作ってみた
----
HEADER::自己紹介
発表者：
　下田洋志 aka "Piro"
----
自己紹介
（略歴）
----
2001
　Mozilla用拡張機能の開発に手を出し始める
（略）
2006
　書籍 "Firefoxを究める256のテクニック"
----
作った物
　Tabbrowser Extensions
　ContextMenu Extensions
　Text Link
　Ez Sidebar
　XHTML Ruby Support
　...
----
HEADER::
ALIGN::center
Mozilla Party JP 6.0
前回の概要
----
拡張機能
----
何でも
できる
----
無限の
可能性
----
開発
する時
----
セキュリティ
ホール
----
作らない
----
気を
付ける



----
疑問
----
具体的に何が
起こりうる？
----
実証
----
FFsniFF
----
フォームの
送信内容
----
ぶっこ
抜き
----
ALIGN::center
プチ
祭
----
「有名どころは一様に口をつぐんでる」
「気まずいんだろう」
----
え？
----
何でも
できる
----
＝悪意ある
　拡張機能も
　作れる
----
当り前
----
アタリマエ
----
ATARI
MAE
----
でも
----
人間
----
差し迫っ
た危機
----
実感
できない
----
圧倒的
閃きっ
……!!
----
悪魔的
奇手っ
……!!
----
禁断の領域
----
危険
な例
----
もっと
見せる
----
セキュリティ
の意識
----
高まるんじゃね？
----
という
わけで
----
実証実験
----
悪用
----
厳禁
----
デモ
実演
----





実演内容
　・保存されたパスワードを盗む
　・フォームの送信内容を盗む
　・Basic認証のパスワードを（入力時に）盗む
　・Firefoxのツールバーの内容をシャッフルする
　・デスクトップなどにあるファイルを適当にアップロードする
　・正しいドメイン名で異なるサイトにアクセスするようにする
　　（ファーミング詐欺の例）
　・Windowsを強制的に終了させ、起動ドライブを破壊する
----





対策
----
4つ




----
対策1
----
信頼できる
配布元
----
野良
----
野良拡張
機能
----
日本語パック
同梱版
----
ブログ等で
公開されて
いる物
----
ノーチェック
----
Mozilla Addons
[[addons.mozilla.org|https://addons.mozilla.org/]]
----
登録時に
審査有り
----
どこまで
信用できる？
----
賢い
やり方
----
人柱
----
報告
待ち
----
ご利用は
計画的に


----
対策2
----
今後の
展望
----
Firefox 2.0？
----
拡張機能
マネージャ
----
改良
----
ブラック
リスト
----
どこまで
頼りになる？





----
対策3
----
Firefoxを
アップデート
----
Firefox 1.0[[EM:.8]]
Firefox 1.5.0[[EM:.2]](3)
----
今回の例
----
悪意ある
[[EM:拡張機能]]
----
インストール
しなければ安全
----
でも
----
セキュリティ
ホール
----
拡張機能の穴
Firefoxの穴
----
ALIGN::center
XPConnect
特権
----
同じ事が可能
----
[[EM:インストール
すら不要]]
----
超
危険
----
古い
Firefox
----
使わ
ない



----
対策4
----
ホワイト
リスト型
実行許可
----
NoScript
[[http://noscript.net/]]
----
JavaScript
Flash
その他
----
少しでも
リスクを
軽減





----
おし
まい






----
質疑
応答