アカウント名:
パスワード:
最近、Flash Player をセキュリティの敵のような言い方をして叩くのが流行っているようですが、Firefox や Chrome においては Flash Player はサンドボックス上で実行されており、万が一脆弱性があったとしてもユーザーは、実質的な被害を受けません。
一方、Flash Player 否定派が推奨している HTML5 + JavaScript ですが、決して安全ではなく、最高レベルの脆弱性(任意のコードを実行したり、ソフトウェアをインストールすることが可能な脆弱性で、通常のブラウジングの範囲を超えるユーザの操作を必要としないもの) [mozilla-japan.org] が、直ちに悪用可能な状態で頻繁に
FirefoxではFlashの方が安全というのに同意ですが、ChromeではWebプロセスもsandbox化されるためどちらも同等です。というか、一番の問題は、Windowsの強制アクセス制御の弱さにあります。Windowsの強制アクセス制御である「整合性レベル」は、わずか6段階の設定しかありません。一方Linuxの強制アクセス制御は、システムコール毎に非常に細かく設定でき (更にはGoogleによってスクリプタブルなSeccomp-BPFまで追加され)、プロセスの権限を必要最小限にできます。
いや、どう考えても一番の問題はFlash自身だろ。アクセス制御の粒度はOSごとのポリシーだし、どんな設定があったとしても脆弱性を攻撃されれば同じこと。
0dayの脆弱性を全て無くすことは現在のところ不可能であるため、多層防御が重要となります。そのためにsandboxが導入されているわけですが、Windows上でのどんなsandbox実装も、Windowsの強制アクセス制御がしょぼいせいで弱いのです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
HTML5+JavaScript よりも Flash Player の方が安全 (スコア:3)
最近、Flash Player をセキュリティの敵のような言い方をして叩くのが流行っているようですが、Firefox や Chrome においては Flash Player はサンドボックス上で実行されており、万が一脆弱性があったとしてもユーザーは、実質的な被害を受けません。
一方、Flash Player 否定派が推奨している HTML5 + JavaScript ですが、決して安全ではなく、最高レベルの脆弱性(任意のコードを実行したり、ソフトウェアをインストールすることが可能な脆弱性で、通常のブラウジングの範囲を超えるユーザの操作を必要としないもの) [mozilla-japan.org] が、直ちに悪用可能な状態で頻繁に
Re: (スコア:0)
FirefoxではFlashの方が安全というのに同意ですが、ChromeではWebプロセスもsandbox化されるためどちらも同等です。というか、一番の問題は、Windowsの強制アクセス制御の弱さにあります。
Windowsの強制アクセス制御である「整合性レベル」は、わずか6段階の設定しかありません。一方Linuxの強制アクセス制御は、システムコール毎に非常に細かく設定でき (更にはGoogleによってスクリプタブルなSeccomp-BPFまで追加され)、プロセスの権限を必要最小限にできます。
Re:HTML5+JavaScript よりも Flash Player の方が安全 (スコア:0)
いや、どう考えても一番の問題はFlash自身だろ。
アクセス制御の粒度はOSごとのポリシーだし、どんな設定があったとしても脆弱性を攻撃されれば同じこと。
Re: (スコア:0)
0dayの脆弱性を全て無くすことは現在のところ不可能であるため、多層防御が重要となります。そのためにsandboxが導入されているわけですが、Windows上でのどんなsandbox実装も、Windowsの強制アクセス制御がしょぼいせいで弱いのです。