スポンサーサイト  このエントリーを含むはてなブックマーク はてなブックマーク - スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

拡張機能の信頼性  このエントリーを含むはてなブックマーク はてなブックマーク - 拡張機能の信頼性

スラッシュドットジャパンより、「悪意あるFirefox拡張機能、FFsniFFが出現」。

ようするに「悪意のある拡張機能をインストールさせれば盗聴できるよ」という話ですが、こういうのはFirefoxに限った話ではなくて、プラグインだとか拡張機能だとかを持つほとんど全てのソフトウェアに言えるわけです。私の公開している「Becky! アドレス確認プラグイン bkEnsure」でも同じことでで、これが悪さをしていないことを私は証明できません。例えば全てのメールにBCCを付加してメールを収集するとか、確認はしていませんが、Becky!のプラグインの仕組みなら可能なはずです。というか、拡張機能かどうかは実はあまり関係なくて、closedなソフトは全て怪しいとも言えます。

ただし拡張機能の方が多少たちが悪いかもしれません。最近の市販パソコンには最初からNorton Internet SecurityやPC GATEなどのパーソナルファイアウォールがインストールされているものがあります。プレインストールされていなくても、後から無料のZoneAlermなどを入れている人もいるでしょう。こういうソフトが動作していると、新しいソフトがネットにアクセスしようとした時点で許可するかしないかを選択する必要があります。なので、その時点で怪しいことに気が付くかもしれません。ところが拡張機能だと親と同一プロセスで動作してしまって、すでにアクセス許可済みということで確認されなんですよね。

じゃあオープンソースなら万事OKなのかというと、そんなこともないでしょう。UNIX系ではソースからビルドしてインストールするソフトが多いですが、いちいちソースを見て安全性を確認してからインストールする人はいないでしょう。数年前にオープンソースなソフトでソースが改竄されていたことがありましたよね。sendmailでしたっけ。

結局、世間の評判しかないってことでしょうか。

ちなみにBugtraqの元記事「Evil side of Firefox extensions」を読むと分かるとおり、今回話題になっている拡張機能FFsniFFはコンセプトウィルスみたいなもので、「本気で悪意を持って作られたもの」ではなく、「悪意を持っている人ならこんなのできますよ」というサンプルとして作られたものです。

コメント

コメントの投稿















管理者にだけ表示を許可する

トラックバック

この記事のトラックバックURL
http://srgia.blog46.fc2.com/tb.php/62-16397a6b

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。