アカウント名:
パスワード:
パッチのリリースとフルインストールにタイムラグがありますが 毎回インストールする仕様ではないですよ
IEの問題はシステム関連を書き換えたりできる 余計な部分が多過ぎるから危険なのですよ
特に広告系をブロックすると攻撃そのものすら受け付けません。
というわけで,あなたのコメントは親コメント [srad.jp]にある「Firefoxは・・・危険な状態のバージョン使用者が多い」という現実については,なんら答えていないのだが。とはいえ同コメント [srad.jp]内にある「当然だが、脆弱性が修正されているものを使っていればIEもFirefoxもリスクは同じくらい。」という根拠のない文章には異議あり。最新パッチをあてたIE6+ WinXP SP2 [secunia.com]と比べても,Firefox 1.0.3 [secunia.com]は遥かに安全だ。Win98上で使われているIE6(現実そういうユーザーもいまだ多い)は論外。
# で,Firefox 1.0.3 for OS/2 + Adblock+ Script OFF,これ最強(爆笑)
今の日本語版Firefoxではそれが出ないんですよ。 ユーザーさんがニュース等を見て1.0.2にセキュリティリスクがある事を知り自らUpdateしない限りそのまんまです。 mozilla-japanのFirefox Centralページ [mozilla-japan.org](右上の丸い点々アイコンから飛ぶトコ)見ても急いでUpdateしようとは思ってくれないんじゃないかしらん。
状況はあまり宜しくないです。
日本語版Firefoxでは、この「ソフトウェアの更新」から1.0.3へのアップデートは未だに出来ません。 これ押すとサーバー上の http://aus.mozilla.org/update/firefox/ja-JP.rdf [mozilla.org] ってとこに更新情報を取りに行くんですが・・このRdfが未だに更新されておらんのですよ…。
まあそういうわけで、俺のFireFoxは1.0.2のままです。
# いや上のストーリーを知らなかったら詫びるけど
現状でどうしても自動アップデートを生かしたければ、about:configのapp.update.urlの行を
http://aus.mozilla.org/update/firefox/test/ja-JP.rdf
(Mozilla系を対象にする有効な攻撃ツールなどが広まったりすれば)一気に100%になることも考えられます。
「ロシアの2人のスパイウェア作者がFirefoxを解剖していると聞いても驚かない。2か月もしたら、最初のスパイウェアが見つかるだろう」
# Firefox 1.0.3 for OS/2ユーザーだけどID
Firefoxでもいくつかの深刻なセキュリティホールが見つかってきましたが、IEが攻撃を受けやすい素質を持っているという考えもあります。下で挙げられているものがそうですが、Microsoftもそれを認識して (Internet Explorer 6 SP2で) 仕様を修正したものもありますね。
(別のブラウザへの移行は一時的な解決策にしかならないが) そうはいっても、攻撃対象がMicrosoftのブラウザに偏っているのは、市場を独占していることだけが原因ではない。DHSの全米サイバーセキュリティ局(NCSD)傘下のUS-CERTで、インターネットセキュリティアナリストを務めるアート・マニオン氏は、IE独自の機能がオンラインでの脆弱性を高めていると指摘する。IEのセキュリティゾーン機
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
セキュリティ・リスク (スコア:1)
かくいう私もWindowsXP上でFirefoxをメインのブラウザとして利用しているのですが。
IEはWindows Meを使用していた頃にフリーズしまくったので嫌になりました(でもIEじゃないとちゃんと表示できないサイトがあるのでまったく使わないというわけに行かないのが悲しいところですが)。
Don't ask me why!
Re:セキュリティ・リスク (スコア:3, 参考になる)
Firefoxはユーザ自ら再インストールが必要なので
危険な状態のバージョン使用者が多い。
WWWサーバのログでUser-agentを見てみたらわかるよ。
いい加減な知ったかぶりに「IEよりFirefoxが安全。これ使え」
って言われて信用し、Firefoxを使ってる低スキルユーザに
古いバージョンのまま使ってる奴多し。
「Firefoxはアップデートが出たら、ウィンドウの右上に
アップデートボタンが出るんだぜ」なんて言われていたら
もう確実にアップデートしてないな。
セキュリティリスクは今やFirefoxのほうが高い。
こんなことを書くと、ここじゃフレームのもとにされて
マイナスモデされちゃうが、残念ながらそれが現実なのだ。
当然だが、脆弱性が修正されているものを使っていれば
IEもFirefoxもリスクは同じくらい。
IEは攻撃者が多いからリスクが高いと思えるし、
Firefoxは攻撃者が直接ソースを見て研究できるので
リスクが高いとも思える。
ほへ? (スコア:0)
詳細>ソフトウェアーの更新の所に
アップデートがありますけど...
パッチのリリースとフルインストールにタイムラグがありますが
毎回インストールする仕様ではないですよ
ソースが見れるかから即攻撃ってより
IEの問題はシステム関連を書き換えたりできる
余計な部分が多過ぎるから危険なのですよ
その辺が大きく違いますけど
ADblockってあるんだけどあれにドメイン入れると
そのサイト全てブ
Re:は? (スコア:2, 参考になる)
というわけで,あなたのコメントは親コメント [srad.jp]にある「Firefoxは・・・危険な状態のバージョン使用者が多い」という現実については,なんら答えていないのだが。とはいえ同コメント [srad.jp]内にある「当然だが、脆弱性が修正されているものを使っていればIEもFirefoxもリスクは同じくらい。」という根拠のない文章には異議あり。最新パッチをあてたIE6+ WinXP SP2 [secunia.com]と比べても,Firefox 1.0.3 [secunia.com]は遥かに安全だ。Win98上で使われているIE6(現実そういうユーザーもいまだ多い)は論外。
# で,Firefox 1.0.3 for OS/2 + Adblock+ Script OFF,これ最強(爆笑)
adblock (スコア:1, 参考になる)
上に書いてあったようなメリットもあるかもしれません。が、adblockは、所詮バナー広告の表示を取り除くためのものなので、過分の期待は禁物です。それよりも、adblock自体に穴があいている可能性を考慮すべきです。contentにちょっかいをかける系の拡張は常に細心の注意をはらう必要がありますので…
# どこかに不具合があってもおかしくない、くらいの気分ですが、
# adblockのデバッグはやりたくないのでAC
Re:は? (スコア:0)
ユーザーレベルでは通常のアップデートとの違いはまったく分からないですよ。
アップデートがある場合は右上にアイコンが出ますよね。
それをクリックして終了。
問題あります?
Re:は? (スコア:1, 参考になる)
今の日本語版Firefoxではそれが出ないんですよ。
ユーザーさんがニュース等を見て1.0.2にセキュリティリスクがある事を知り自らUpdateしない限りそのまんまです。
mozilla-japanのFirefox Centralページ [mozilla-japan.org](右上の丸い点々アイコンから飛ぶトコ)見ても急いでUpdateしようとは思ってくれないんじゃないかしらん。
状況はあまり宜しくないです。
Re:ほへ? (スコア:1, 参考になる)
日本語版Firefoxでは、この「ソフトウェアの更新」から1.0.3へのアップデートは未だに出来ません。
これ押すとサーバー上の http://aus.mozilla.org/update/firefox/ja-JP.rdf [mozilla.org] ってとこに更新情報を取りに行くんですが・・このRdfが未だに更新されておらんのですよ…。
Re:ほへ? (スコア:1, 参考になる)
> 日本語版Firefoxでは、この「ソフトウェアの更新」から1.0.3へのアップデートは未だに出来ません。
そもそも、署名を確認していないので [bakera.jp]そのボタンから更新してはいけません(Windows Updateはもちろん確認しています)。
現時点では更新チェックは更新の有無を確認するためだけに使って、実際の更新は手動でダウンロードして署名を確認しないと危険。
参考:
自動アップデートは電子署名検証が必須なのだが…… [takagi-hiromitsu.jp]
Re:ほへ? (スコア:0)
まあそういうわけで、俺のFireFoxは1.0.2のままです。
# 更新チェックが[更新は無いよ]って言うんです
Re:/.Jにも縁がないユーザーならともかく (スコア:1, 参考になる)
# いや上のストーリーを知らなかったら詫びるけど
現状でどうしても自動アップデートを生かしたければ、about:configのapp.update.urlの行を
に変えてみることだ。これで更新のチェックをしてみてほしい。これはテストだからと云々する奴らもいるが、放置プレイのFirefox 1.0.2はIE6と危険度は変わらないなのだから仕方ない。適用が面倒くさければ、Mozilla Foundation セキュリティアドバイザリ 2005-39:Firefox のサイドバーパネルを通じて任意のコードが実行される (2) [mozilla-japan.org]を利用して変更する手口 [srad.jp](リンク先にあるPoC.txtを使う、もちろん無保証)もある。Re:/.Jにも縁がないユーザーならともかく (スコア:1, 参考になる)
せめて
https://aus.mozilla.org/update/firefox/test/ja-JP.rdf
を勧めていただけませんか。まあ実際のダウンロード先がhttp:な上に.xpiが未署名ではあまり意味がないのですが、偽の更新通知を出すことが可能になってますます攻撃が容易になります。
> これはテストだからと云々する奴らもいるが、
app.update.urlは「テストだから」とかいう理由でホイホイ変えてはなりません。あなたにそう言って設定を変えさせようとしているのがフィッシング業者ではないという保証はありますか?
https://*.mozilla.org/~ ならクラックでもされていない限りとりあえず詐欺業者でないことは信じられると思いますが。
Re:ほへ? (スコア:1)
そのパターン指定では、ad.jpドメインのサイトや、AdBlockの公式サイトである「adblock.mozdev.org」もブロックされてしまうのでは?
そろそろAdBlockのパターンリストをメンテする時期なのでtuneo。
Re:ほへ? (スコア:0)
1.0.3 アップデータはいつ来るだろうと待ちつつ。
そのための機能なんだから、是非、それを使って
アップデートしたいなぁ、と思い。
Re:ほへ? (スコア:1)
先日とうとう待ちきれずに日本語版をアンインストールして
英語版をインストールしてしまいました。
これで次回からタイムラグなしにアップデートできます(^_^)
# 何か間違ってるような気がする。
Re:セキュリティ・リスク (スコア:0)
Re:セキュリティ・リスク (スコア:1)
例えば
Re:Mozilla系のセキュリティ・リスク (スコア:2, 参考になる)
# Firefox 1.0.3 for OS/2ユーザーだけどID
ウソ!! (スコア:0)
こんな偽論理がApacheはIISより安全はどう説明する?
Re:ウソ!! (スコア:0)
Re:セキュリティ・リスク (スコア:0)
Re:セキュリティ・リスク (スコア:0)
有限のシステムリソースを大量に使っている状態なので
はじめから不安定っていう最大の欠点をもつOSです。
98系はseでしょう。
IE選択した時点でシステム関連を拡張しまくる使用が仇になってる気がする
Re:セキュリティ・リスク (スコア:0)
Firefoxでもいくつかの深刻なセキュリティホールが見つかってきましたが、IEが攻撃を受けやすい素質を持っているという考えもあります。下で挙げられているものがそうですが、Microsoftもそれを認識して (Internet Explorer 6 SP2で) 仕様を修正したものもありますね。