アカウント名:
パスワード:
このコード自体は悪意のある動作を行わないものの、外部からコードを読み込んで実行してしまうため
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
悪意って何だろう (スコア:3, 興味深い)
これって、悪意のある動作では?
Re: (スコア:5, 参考になる)
ただし、ソフトウェア作者もダウンロードサービス側も意図していないデータが含まれていた、という事実そのものに対しては、きっちりした対処が必要でしょう。
まず、根本的な問題として、拡張のウィルススキャンがアップロード時にしか行われていなかった、
Re:悪意って何だろう (スコア:0)
>htmlファイルに無造作にコードを埋め込むタイプだったから、
>言語パックに含まれていたhtmlに数行埋め込まれていた、
>ということのようですね。
>ヘルプですから権限は取れていなかったので、もしコードが
>実行されてもたいした事にはならなかったと思います。
脅威を過小評価し過ぎだと思います。
ヘルプの文書にスクリプトが仕込まれていたから大した権限を
取れなかったというのではないでしょう。
そのヘルプを表示させるユーザの権限が問題なので、
例えば管理者権限を持つユーザがこのヘルプを見て発動させて
いたら被害は大きかったでしょう。
最低でもそのユーザの権限で何かをダウンロードされて実行
させるくらいは可能だったと思います。
リスクレベルとしては、最近非常に多い、WWWページを改竄
して不正スクリプトを埋め込むものと同じ程度ですが、今回の
問題点はFirefoxの開発者(協力者)サイドの人間がちゃんと
確かめもせずにその被害を広めた、ということですよね。
ヘルプの文書ということから、フィッシング的な騙しとしては
もしかしたら一般のサイトよりも引っかかりやすい面もあり、
ちょっと問題は大きいかもしれないですね。
Firefoxチームのセキュリティに対する意識が低いのではないか
と疑問を抱かずにはいられません。