ページ内ジャンプ:
スラッシュドット・ジャパン 全文検索

アレゲなニュースと雑談サイト

悪意あるFirefox拡張機能、FFsniFFが出現

mhattaによる 2006年03月29日 7時29分の掲載
Firefoxもメジャーになったもんだねえ部門より。
セキュリティ Mozilla

かつて拡張機能をプラグインと呼んでいたSassy曰く、"Firefox使いなら誰でも拡張機能のひとつくらいはインストールしたことがあるだろう。ならばソフトウェアインストール画面で「悪意のあるソフトウェアが…あなたのプライバシーを侵害する恐れがあります」という警告文を必ず一度は眺めているはずだ。
さてBugtraqに寄せられた情報によると、本当に悪意のあるFirefox拡張機能、FFsniFF v0.1が出現したそうだ。Symantecによれば、「Webページ内のHTMLフォームに入力される情報のコピーを事前に定義されたEメールアドレスへ送信」する拡張機能らしい(但しSymantecは「Mozilla Firefox ブラウザ拡張子」という窓の杜よりも意味不明な訳語を使っているが。笑)
かつてFree Access Pluginなるものもあったようだが、Firefoxが普及した現在、Firefox初心者にどうやって悪意ある拡張機能を見分けるよう助言することができるだろうか。"

この議論は賞味期限が過ぎたので、保存されている。 新たにコメントを書くことはできない。
悪意あるFirefox拡張機能、FFsniFFが出現 | ログイン/アカウントの作成 | 26 個のコメント | コメント検索
表示オプション しきい値:

  • 対応策 (スコア:3, 参考になる)

    btm (7635) : 2006年03月29日 10時44分 (#910948) ホームページ 日記
    Firefox 2.0から悪意のある拡張をインストールさせないよう警告する機能が付くはずです。
    実装方法はブラックリスト方式だったような...正確に思い出せなくてすまん。
    しかし、予想以上にこういう拡張出てくるの遅かったなぁというのが個人的な感想。
    --
    三日風呂に入らなかったら、あなたはすめるまんです。

    • Re:対応策 (スコア:2, 興味深い)

      Anonymous Coward : 2006年03月29日 11時20分 (#910974)
      もうだいぶ前のこの指摘、いまだに署名の無い機能拡張 [sakura.ne.jp]
      が当たり前の様に出回ってる訳で
      それが一番の問題だ
      • その翻訳ではこう書いてありますね
        顧客をそういった脅威から守るために、IEのインストールの初期設定では、署名されていないActiveXコントロールは全てブロックされるし、また、あなたが署名されていないプログラムをダウンロードしようとしていることをIEは示唆するだろう。もちろん、ソフトウェアが署名されている(もしくは、MD5ハッシュ値を持っている)ということは、そのソフトウェアがアヤシゲなものではないということを意味しない。それはあくまで、そのソフトウェアが信頼に足る物かどうかをあなたが考えるための一つの判断材料でしかない(論理の用語でいえば、必要条件ではあるが、十分条件ではない)。
        あくまで安全かどうか判断する上での必要条件としか述べられていませんが。 もちろん可能なら今後Microsoftが取り組んでいるように署名の必要性も出てくるでしょう。ですが、それ以外にも他のコメントにもありますように、拡張機能の配布形態の見直しとかブラックリストの整備などMozilla独自の対応策も必要なようですね。

        # はやくFirefox並に安全性が向上したIE7が出るといいですね。

    • Re:対応策 by Anonymous Coward (スコア:1) 2006年03月29日 16時51分

  • ちなみに (スコア:1)

    Elbereth (17793) : 2006年03月29日 7時33分 (#910855)
    窓の杜は、プラグインと拡張機能の呼称問題について、
    「これからは」正しく適用することにしたそうです。
    「Firefox」プラグイン特集 v1.5対応版 第5回 [impress.co.jp](の最後の「おわりに」参照)

    以前の記事は書き直さないみたいですけどね。

  • 日本語版 (スコア:1)

    akudaikan (26016) : 2006年03月29日 7時57分 (#910862)
    以前から危険だなと思っていたのは、拡張の日本語版。
    どこの誰がやっているのかわからないようなBlogで配布されていたりするよね。
    あれになんか仕込まれたらかなりの被害が出ると思う。
    Firefoxまとめサイト [geckodev.org]なんかのアップローダにあるやつは、より危険だね。
  • 結局IEのActiveXや普通のネットに落ちてるプログラムと同じように慎重になるしかないかと。
    それで切り捨てるのはアレすぎるので指針を出すとすれば、Firefox add-ons [mozilla.org]からのみインストールするようにするとか?
    ただし、チェック機構が存在するかは知りませんし(ぱっと見では見つからなかった)、日本語サイトじゃないし、日本語化されてない可能性も高いですから薦められる物じゃないですが。
    現状、本当の初心者へ出来るアドバイスは「入れるな」かも。

    # 機能拡張を手間と怖さから結局使ってない臆病者なのでAC
    --
    誰も信じちゃいけない、裏切られるから。
    私を信じないで、貴方を裏切ってしまうから。
  • コンセプトウィルスならぬ、コンセプト拡張機能(an example of the 'evil side of Firefox extensions')とページに書いてあるから、少し端折っただけで間違いと言えるほどの表現ではないと思うけど…。
  • 拡張機能ですから「悪意がある」とみて間違いないと思います。

    ただしこれを使って本当に悪用するためには、ユーザーにインストールさせる前に手作業でメールアドレスやらsmtpサーバなどを設定する必要があります。
  • 書き直しました(^^;

    これは脆弱性実証コード的な拡張機能ですから「悪意がある」とみて間違いないです。

    ただしffsniff-0.1.xpiを使って本当に悪用するためには、カモのユーザーにインストールさせる前に手作業でメールアドレスやらsmtpサーバなどを設定しておく必要があります(ご指摘のとおり単にffsniff-0.1.xpiをインストールしただけでは、設定がないので悪用されませんし、設定を変えることもできません)

    この拡張機能というかコンセプトコードが突いているのは、Firefoxの脆弱性というよりは、Firefoxの仕様に起因したユーザーの脆弱性だと思うのですが、いかがでしょうか。

    # 署名を云々する以前の問題かな。

  • 2個のコメント が現在のしきい値以下です。

このページのすべての商標と著作権はそれぞれの所有者が有します。 コメントやユーザ日記に関しては投稿者が有します。
のこりのものは、© 2001-2010 OSDN です。