アカウント名:
パスワード:
>Chromeウェブストア経由でのみ拡張をインストールできるようにしているのだが、>今回問題となった拡張はこの仕組みを無視し、AVGのセキュリティソフトをインストールすると>自動的にChromeにインストールされるという
つまりChromeには「ウェブストア経由でなくても拡張をインストールできてしまう脆弱性」がある、と。
Win32で動く限り、ウェブストア経由以外での拡張のインストールを完全にできなくすることは不可能なので、脆弱性とは言わないと思う。あえて言うなら「Win32にはストア以外の任意のサイトからダウンロードした任意のプログラムを実行できる脆弱性がある」。実際iOSやAndroidでは脆弱性として扱われるし、WindowsでもWinRTだったら脆弱性だ。
ストア配布時にデジタル署名するとか方法はいくらでもあると思うけど。
「拡張」を拡張とみなす/受け入れる動作はChromeの固有のものであってWin32がどうこうとか一切関係がない。
受け入れる動作なんて、簡単に乗っ取れるわけで。
それを脆弱性といわずして何と呼ぶのだ。
それを脆弱性というなら、ChromeじゃなくてWindowsの脆弱性じゃないかな。動作の乗っ取りに使える他プロセスへのアクセス等ができる仕様のOSなのだから。
まあ、同じ脆弱性はMacにもLinuxにもあるけどね。
dockerとかsnappyならそういう問題は解決できます。
セキュリティソフトとブラウザを別の環境にインストールすんの?それってそもそもセキュリティソフト入れる意味あるの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
脆弱性 (スコア:0)
>Chromeウェブストア経由でのみ拡張をインストールできるようにしているのだが、
>今回問題となった拡張はこの仕組みを無視し、AVGのセキュリティソフトをインストールすると
>自動的にChromeにインストールされるという
つまりChromeには「ウェブストア経由でなくても拡張をインストールできてしまう脆弱性」がある、と。
Re: (スコア:0)
Win32で動く限り、ウェブストア経由以外での拡張のインストールを完全にできなくすることは不可能なので、脆弱性とは言わないと思う。あえて言うなら「Win32にはストア以外の任意のサイトからダウンロードした任意のプログラムを実行できる脆弱性がある」。実際iOSやAndroidでは脆弱性として扱われるし、WindowsでもWinRTだったら脆弱性だ。
Re: (スコア:0)
ストア配布時にデジタル署名するとか方法はいくらでもあると思うけど。
「拡張」を拡張とみなす/受け入れる動作はChromeの固有のものであってWin32がどうこうとか一切関係がない。
Re: (スコア:0)
受け入れる動作なんて、簡単に乗っ取れるわけで。
Re: (スコア:0)
それを脆弱性といわずして何と呼ぶのだ。
Re: (スコア:0)
それを脆弱性というなら、ChromeじゃなくてWindowsの脆弱性じゃないかな。
動作の乗っ取りに使える他プロセスへのアクセス等ができる仕様のOSなのだから。
まあ、同じ脆弱性はMacにもLinuxにもあるけどね。
Re:脆弱性 (スコア:0)
dockerとかsnappyならそういう問題は解決できます。
Re: (スコア:0)
セキュリティソフトとブラウザを別の環境にインストールすんの?
それってそもそもセキュリティソフト入れる意味あるの?