アカウント名:
パスワード:
このコード自体は悪意のある動作を行わないものの、外部からコードを読み込んで実行してしまうため
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
悪意って何だろう (スコア:3, 興味深い)
これって、悪意のある動作では?
Re:悪意って何だろう (スコア:5, 参考になる)
ただし、ソフトウェア作者もダウンロードサービス側も意図していないデータが含まれていた、という事実そのものに対しては、きっちりした対処が必要でしょう。
まず、根本的な問題として、拡張のウィルススキャンがアップロード時にしか行われていなかった、というのがあります。つまり、粗製乱造な進入コードの場合、タイミング的に掴み損ねる危険があるので、ウィルススキャンは定期的にやる方がいいということですよね。現に、全ファイル再スキャンの結果、このファイルだけ引っかかっているわけですから、やっていれば効果はあったはずです。この場合のように、パターンが未発見なら、混入そのものは避けられなかったと思います。しかし、やはり数ヶ月把握していなかった、というのはダウンロードサービス(つまり、addons.mozilla.org)側の落ち度でしょう。
おそらく、この問題は「毎日スキャンする」という対処法で、対外的にもケリになるのではないでしょうか。良し悪しは別にして。
Re: (スコア:0)
Re: (スコア:0)
>htmlファイルに無造作にコードを埋め込むタイプだったから、
>言語パックに含まれていたhtmlに数行埋め込まれていた、
>ということのようですね。
>ヘルプですから権限は取れていなかったので、もしコードが
>実行されてもたいした事にはならなかったと思います。
脅威を過小評価し過ぎだと思います。
ヘルプの文書にスクリプトが仕込まれていたから大した権限を
取れなかったというのではないでしょう。
そのヘルプを表示させるユーザの権限が問題なので、
例えば管理者権限を持つユーザがこのヘルプを見て発動させて
いたら被害は大
Re:悪意って何だろう (スコア:1)
Re: (スコア:0)
いあ、そもそも塩基配列自体が悪意の有るコードなのでは・・・。
てか、ビックバン自体が悪意のあry
Re: (スコア:0)
外部からのコードが悪意のある動作をするとは限らない、といいたいのかな(笑)
Re: (スコア:0)
混同してるあたりが痛い。
誰が混同したにせよ。
Re: (スコア:0)
Re: (スコア:0)
直接被害を及ぼすコードではないというだけの話。
ただし被害を及ぼす環境を作り出すという意味では悪性なので、
分類上の表記としては「悪意のある動作」という表現自体の運用が正しくないと言える。
直接的だろうが間接的だろうがユーザ(or PC)にとって悪性なコードには変わり無いが
直接的なものだけ取り出しているのにはたして意味があるのか?疑問ではある。
今回のタレコミに限らず。