Dashboardウィジェットが知らないうちにインストールされる可能性 12
ストーリー by Acanthopanax
便利すぎる機能 部門より
便利すぎる機能 部門より
Mac OS X 10.4のSafari 2.0でウェブページを開くだけで、自動的にDashboardウィジェットがインストールされる可能性があることが指摘されている(デモと解説のページ(注: 回避策をとっていないSafari 2.0でアクセスするとウィジェットをインストールされる)、本家ストーリー: Malicious Web Pages Can Install Dashboard Widgets)。Safari 2.0は、ウィジェットをダウンロードすると自動的に~/Library/Widgetsへインストールする機能を持っており、上記デモページでは、これとHTMLのmeta refreshとを組み合わせている。インストールされたウィジェットは自動的には実行はされないものの、知らないうちに悪意のあるウィジェットをインストールされる可能性が指摘されている。回避方法は、Safariの環境設定で「ダウンロード後、“安全な”ファイルを開く」のチェックをはずしておくこと。
修正 (スコア:2)
IEみたい (スコア:1, すばらしい洞察)
Tigerではない方に補足 (スコア:1)
拡張子.wdgtを持つパッケージがその中にあると勝手に~/Library/Widgetsへ移動されるようです。
#展開されたファイルがデスクトップのどこにもないのでダウンロードし直した馬鹿
Re:Tigerではない方に補足 (スコア:1)
Re:Tigerではない方に補足 (スコア:0)
そのディレクトリのオーナーはSafari を実行しているユーザーなので、
> 管理者権限のないユーザでもインストールされちゃうんですね。これは怖い。
というのには違和感がありました。
# Tiger 持ってないのでそれだけ。
Re:Tigerではない方に補足 (スコア:1)
なんだ、そういうことか。
Finder の問題でもある? (スコア:1)
つまり、実行ファイル(バンドル)をどのディレクトリにおいてあっても
ダブルクリックで実行できてしまう、また特定のディレクトリに配置された
ファイルは自動的に実行されてしまう、というFinder の機能です。
今回のwidget は勝手に実行される事は無いようなのでそこまで危険では無いでしょう。
しかし例えば~/Library/InputManagers にダウンロードファイルを
自動で配置されるようなことがあると、キーロガーを仕込まれる可能性が出てきます。
スクリーンセーバーのようにバンドルをダブルクリックすることで
インストールするかどうか確認する、というのが正解な気がしますね。
Re:Finder の問題でもある? (スコア:1)
keyloggerや、踏み台にさせられる可能性は、全くないとも言えず、逆にDashboard自体が、下位でPerlでもRubyでも動かせる仕組みになっているので、間違いなくその手の踏み台アプリは作られそうです。
一番良いのは、widget自体に認証をかけることでしょうけど、そこまでやるようなものでもないような気がするし・・・
まぁ、昔から言われてきたことですが、信用できないところからはダウンロードしない、訳の分からないwidgetはダウンロードしないという自己防衛でしょうか?
シェア拡大 (スコア:1, おもしろおかしい)
ジョブス「なにそれは問題だ!よし、ウイルスとセキュリティホールのシェアも拡大だ!」
という理由でわざと穴が開けられました、仕様です。
CNET (スコア:0)
「Dashboard」にご用心--Mac OS X「Tiger」の新機能、ハッカーの餌食に
[cnet.com]
そもそも Dashboard の問題なのだろうか。
まあ、とりあえず、Dashboard に限らず何が安全で何がそうでないかは
ファイルの名前や種類からはわからないわけだから、既出の通り
「ダウンロード後、"安全な"ファイルを開く」のチェックを外すってことで
いいんではないの?
# むしろデフォルトがそうなってるほうがいい気がするな。
Re:CNET (スコア:2)
Hotwiredの記事 [goo.ne.jp]も同様だけど、なんだか複数の問題が一緒くたに論じられているような気がする。問題はおそらく以下の3点。
このうち、ウィジェットのアンインストール方法は、ヘルプなどで説明があればすむ話。特定のフォルダへのファイルの出し入れでインストール/アンインストールをおこなうというのは、機能拡張やコントロールパネルの時代からの伝統である。とはいえ、後年「機能拡張マネージャー」ができたように、Widget Manger [downtownso...ehouse.com]のような形で管理できた方がいいというのはあるかも。
危険なウィジェットが存在しうるというのは、危険なアプリケーションが存在しうるというのと同じ話。信頼できないサイトからファイルをダウンロードすべきではないというのは、まあ基本だろう。ただ、"Dashboard Programming Guide: Security [apple.com]"で記述されているセキュリティ・モデルが~/Library/Widgetsでも例外扱いになっている(みたいな)のは再考の余地がありそう。
で、今回の問題で最大の問題なのは、Safari 2.0のデフォルトの設定で「ウィジェットが勝手にインストールされる」ということではなかろうか、と。
しかし、あおるだけで対処策に言及しないのはどうかと思うぞ > Hotwired。
Re:CNET (スコア:0)