アカウント名:
パスワード:
Firefoxの「ソフトウェアの更新を確認」機能は、HTTPで更新をダウンロードした後、xpiに署名がされていない場合でも自動的にインストーラが実行されるようです。 DNSや通信パケットが改ざんされた場合に、 任意のアプリケーションが実行される可能性があります。 ネットのドメインの85%は乗っ取り攻撃から逃れられない [srad.jp]といった話もあるので、不安に感じます。
心配な方は、Firefox - Web の再発見 [mozilla-japan.org]から最新版をダウンロードして、デジタル署名の確認後インストールすることをお奨めします。
参考: 「それは本物の Firefox ですか?」に対するコメント [bakera.jp]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
「ソフトウェアの更新を確認」の安全性 (スコア:-1, 余計なもの)
Firefoxの「ソフトウェアの更新を確認」機能は、HTTPで更新をダウンロードした後、xpiに署名がされていない場合でも自動的にインストーラが実行されるようです。
DNSや通信パケットが改ざんされた場合に、 任意のアプリケーションが実行される可能性があります。
ネットのドメインの85%は乗っ取り攻撃から逃れられない [srad.jp]といった話もあるので、不安に感じます。
心配な方は、Firefox - Web の再発見 [mozilla-japan.org]から最新版をダウンロードして、デジタル署名の確認後インストールすることをお奨めします。
参考: 「それは本物の Firefox ですか?」に対するコメント [bakera.jp]
Re:「ソフトウェアの更新を確認」の安全性 (スコア:4, 参考になる)
Firefox 1.5 では https で取得したハッシュ値との比較を行っているようです。
古い情報で皆様を混乱させてしまい申し訳ありませんでした。