パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

カスペルスキーのセキュリティソフトを導入するとWeb閲覧中勝手にカスペルスキーと通信するJSコードが実行される」記事へのコメント

  • これって脆弱性じゃないの?

    • by Anonymous Coward

      httpsがどういうものかちゃんと理解できてないとこういう疑問が出てきちゃうんだろうなぁ

      • by Anonymous Coward

        HTTPSって通信内容の盗聴や改竄を防ぐものじゃないの?
        PC内に入り込んで高位の権限を得ているプログラムによるものとは言え、ブラウザの外からHTMLを書き換えられちゃまずいんじゃないの?

        • by Anonymous Coward

          PCに入り込んで高位の権限を得た時点で、それどころじゃなく何でもできるで。

          他のコメントにあるように、ルートサーバ証明書をインストールした上で、HTTPS通信に割り込んで、
          通信内容を書き換えて、即興で作った証明書と差し替え、エラーが出なくなるようにも出来るし。

          本当はエラーががんがん出てるのを、ブラウザのバイナリを書き換えて握りつぶすように改造することだって、原理的には出来る。
          そもそもブラウザのバイナリ改造より簡単に、OS自体をそっくりなニセモノに入れ替えることすら出来るし、
          そうなると、何一つ前提は成り立たなくなる。

          rootなりAdministratorなりの権限を渡すというのがどういう意味かもうちょっとちゃんと理解しといた方が良い。

          • by Anonymous Coward on 2016年02月03日 13時38分 (#2958968)

            なんでもできる奴に侵入されたら何をやっても無駄だとしても、限られた細工しか出来ないケースだけでも退けられるようにしとくべきだろ

            親コメント
            • by Anonymous Coward

              ああ、べきだ論?
              「HTTPS通信」というように「セキュアな何か」をうたう以上は、
              何がどうあれその部分のセキュリティは絶対に侵されないようなOS設計にしとけよ、というような。

              その前提と、通信内容を監視してウィルスの有無をチェックするようなソフトは相容れないから、両立は無理だね。

              ウィルス対策ツールとかのAdministrator権限を必要とするようなソフトウェアを一切入れない、という運用にすれば、
              OSが元々持っていたセキュリティを守る仕組みを一切崩さないまま使う、というのは可能なので、そうやるしか。

アレゲは一日にしてならず -- アレゲ研究家

処理中...