アカウント名:
パスワード:
>Chromeウェブストア経由でのみ拡張をインストールできるようにしているのだが、>今回問題となった拡張はこの仕組みを無視し、AVGのセキュリティソフトをインストールすると>自動的にChromeにインストールされるという
つまりChromeには「ウェブストア経由でなくても拡張をインストールできてしまう脆弱性」がある、と。
Win32で動く限り、ウェブストア経由以外での拡張のインストールを完全にできなくすることは不可能なので、脆弱性とは言わないと思う。あえて言うなら「Win32にはストア以外の任意のサイトからダウンロードした任意のプログラムを実行できる脆弱性がある」。実際iOSやAndroidでは脆弱性として扱われるし、WindowsでもWinRTだったら脆弱性だ。
ウェブストア経由以外のソフトは有用な拡張でも悪意ある拡張と認定してアップデート毎にウェブストアにあるかをチェックして、なければ強制アンインストールするぐらいの強硬策取ればよほど邪悪なソフト以外従うのでは?
ストア配布時にデジタル署名するとか方法はいくらでもあると思うけど。
「拡張」を拡張とみなす/受け入れる動作はChromeの固有のものであってWin32がどうこうとか一切関係がない。
受け入れる動作なんて、簡単に乗っ取れるわけで。
それを脆弱性といわずして何と呼ぶのだ。
きじゃくしょう?
つまり拡張機能のないEdgeだけが脆弱性のないブラウザなんだよ!GoogleはWindows版には脆弱性機能である拡張機能を搭載し、Android版には搭載しなかったのは、つまりそういうことなんだよ!Appleはそれがわかっていたから、脆弱性を防止するためにサードパーティーのウイルス対策ソフトを認めていないのさ。
ってことですよね?
エッジは未搭載状態なだけでこれから…
NSAの陰謀に違いない
それを脆弱性というなら、ChromeじゃなくてWindowsの脆弱性じゃないかな。動作の乗っ取りに使える他プロセスへのアクセス等ができる仕様のOSなのだから。
まあ、同じ脆弱性はMacにもLinuxにもあるけどね。
dockerとかsnappyならそういう問題は解決できます。
セキュリティソフトとブラウザを別の環境にインストールすんの?それってそもそもセキュリティソフト入れる意味あるの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
脆弱性 (スコア:0)
>Chromeウェブストア経由でのみ拡張をインストールできるようにしているのだが、
>今回問題となった拡張はこの仕組みを無視し、AVGのセキュリティソフトをインストールすると
>自動的にChromeにインストールされるという
つまりChromeには「ウェブストア経由でなくても拡張をインストールできてしまう脆弱性」がある、と。
Re:脆弱性 (スコア:0)
Win32で動く限り、ウェブストア経由以外での拡張のインストールを完全にできなくすることは不可能なので、脆弱性とは言わないと思う。あえて言うなら「Win32にはストア以外の任意のサイトからダウンロードした任意のプログラムを実行できる脆弱性がある」。実際iOSやAndroidでは脆弱性として扱われるし、WindowsでもWinRTだったら脆弱性だ。
Re: (スコア:0)
ウェブストア経由以外のソフトは有用な拡張でも悪意ある拡張と認定して
アップデート毎にウェブストアにあるかをチェックして、なければ強制アンインストールするぐらいの強硬策取れば
よほど邪悪なソフト以外従うのでは?
Re: (スコア:0)
ストア配布時にデジタル署名するとか方法はいくらでもあると思うけど。
「拡張」を拡張とみなす/受け入れる動作はChromeの固有のものであってWin32がどうこうとか一切関係がない。
Re: (スコア:0)
受け入れる動作なんて、簡単に乗っ取れるわけで。
Re: (スコア:0)
それを脆弱性といわずして何と呼ぶのだ。
Re: (スコア:0)
きじゃくしょう?
Re: (スコア:0)
つまり拡張機能のないEdgeだけが脆弱性のないブラウザなんだよ!
GoogleはWindows版には脆弱性機能である拡張機能を搭載し、Android版には搭載しなかったのは、つまりそういうことなんだよ!
Appleはそれがわかっていたから、脆弱性を防止するためにサードパーティーのウイルス対策ソフトを認めていないのさ。
ってことですよね?
Re: (スコア:0)
エッジは未搭載状態なだけでこれから…
Re: (スコア:0)
NSAの陰謀に違いない
Re: (スコア:0)
それを脆弱性というなら、ChromeじゃなくてWindowsの脆弱性じゃないかな。
動作の乗っ取りに使える他プロセスへのアクセス等ができる仕様のOSなのだから。
まあ、同じ脆弱性はMacにもLinuxにもあるけどね。
Re: (スコア:0)
dockerとかsnappyならそういう問題は解決できます。
Re: (スコア:0)
セキュリティソフトとブラウザを別の環境にインストールすんの?
それってそもそもセキュリティソフト入れる意味あるの?