Mozilla は何故何も云わないのか

2006年4月17日(月) 22時45分 by level
B ?

Mozilla Firefox Thunderbird の拡張あれこれ-MEMO過去ログ(2006年4月)- (4/17) Mozilla は何故何も云わないのだろう?

例えば SecurityFocus - Evil side of Firefox extensions (Mar 01 2006) では既に3月1日に例の悪意ある拡張 FFsniFF について指摘がされていてもう一月半も経っているのに筆者の探した限り Mozilla 側の反応は何処にもありません.これはどういうことなのでしょうか.安全が謳い文句のはずの Firefix は今後ますます危険に晒されるというのに Mozilla 関係のどのブログも触れていません.

それは、悪意ある拡張機能が存在しうるということは、既に周知の事実なので今さら騒ぎ立てるほどのことでは無いと思っているからではないでしょうか。私もその一人です。いちおう、ネタとしては取り上げていますが、それはあくまで、私の知る限り初めて広く公にされた実証コードだからです。

Mozilla Firefox Thunderbird の拡張あれこれ-MEMO過去ログ(2006年4月)- (4/17) Mozilla は何故何も云わないのだろう?

筆者の知る限り Mozilla が 拡張の危険性について述べられたのはこれが最初だと思います.(中略) 始めてインストールするサイトだと警告が出るので矢張り何らかの危険の可能性は有るという証拠だと思っていました.しかしあんなちゃちな警告で済むのだったらきっと構造的にそんなに問題が起こるようなものは作れないようになっているのかとも思っていました.でも実際のところはどうなのかよく分かりません.Mozilla が口をつぐんでいるから分からないのです.

逆に、私からすると、何も知らない素人さんならともかく、このサイトの作者のように、Firefox に詳しい人がこういう勘違いをしているということ自体に非常に驚いています。

しかしながら、このあたりの説明って、WEB に限ってはあまりおおっぴらに説明されることは無かったような気もします。そういう意味では、これは Firefox コミュニティのプロモーション不足かもしれません。

手前味噌ながら、ブラウザ選択の時代を読み解く [amazon] では拡張機能の危険性について以下のように述べています。

ブラウザ選択の時代を読み解く p59

拡張機能とインストール

Firefoxにさまざまな機能を追加してくれる拡張機能はFirefoxの大きな魅力である。しかし、これはFirefox上で動作するプログラムの一種であり、基本的にFirefox上のすべてのリソースにアクセスすることができる。つまり、悪意ある拡張機能をインストールしてしまうと、個人データを盗まれたり、ブラウザを乗っ取られたりというような深刻な結果をもたらしてしまう可能性がある。これはちょうど、一般的なソフトウェアを(フリーソフト、商用ソフトを問わず)インストールする場合と同じ危険性を持つということである。

Mozilla Updateのように安全な(とはいっても完全に安全性が保障されているわけではないが)サイトから、すでに評判の定まった拡張機能をダウンロードするように心がけることが重要だ。

同様の内容は、p79の「拡張機能=ソフトウェア」という箇所でも繰り返しています。

コメント (3)

1 4/18 02:27 Cube
(c1) [2006/04/18 02:27:12] by Cube

そもそもIEでなくあえてFirefoxを使ってるような人は、
そこそこ安全に気を遣ってる人が多いと思ってたので、

>しかしあんなちゃちな警告で済むのだったらきっと(略
とか確かに今更何を言っているのだろうって感じですね。
「きっと」とか「たぶん」とかが実生活でも一番怖いです。

2 4/19 21:44 うひょ
(c2) [2006/04/19 21:44:48] by うひょ

Internet Explorer で何か起きても自己責任。
Microsoft は何もしてくれません。
当然、高い金を払って買ったOS(Windows)も然り。
フリーソフトもシェアウェアもインストール時に自己責任と出る。
商用ソフトは無償のサポートのあるものもあれば無いものもあるし、
損害の上限額は大抵の場合購入したソフトの価格までが普通。
これらは全て使うのも自由だし、使わないのも自由。

という事で、対価のやり取りの有無に関わらず当然ながら
拡張機能だって入れるのも入れないのも自由なので、
本人の知識と正しい判断が最大のセキュリティーなことには
何ら変わりは無い・・・と思います。

3 4/20 19:32 ゆきち
(c3) [2006/04/20 19:32:50] by ゆきち

http://piro.sakura.ne.jp/xul/doc/security/
http://piro.sakura.ne.jp/xul/doc/security2/
拡張の作者が危険性に述べた文書の一例です。
開発者レベルでは、危険性自体が既に周知のものと思っていました。

トラックバック

トラックバックは検索対象外です。

この記事にリンクしているページ < >

  1. [52] http://beau.g-com.ne.jp/mon-extension-memo06_04.html