ArtSaltのサイドストーリー

音楽、フリーウェア、WEBサービス、食べものなどに関する日記。トラックバック、コメント歓迎。

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

RSSリーダーの危険性

FirefoxのRSSフィード購読用の拡張はSageが有名だけど、他にもたくさんあって、Fizzleというのを使ってる。

Fizzleの作者がこの拡張の危険性について発言していることに先日気づいた。

I was recently notified of a security issue with Fizzle. Because of how its designed, its possible for untrusted JavaScript to execute in a trusted portion of Firefox. Obviously this doesn't effect the majority of RSS feeds, and its only vulnerable if manually subscribe to a malicious feed. But please be aware of the issue if you choose to continue to use Fizzle - YOU ARE AT YOUR OWN RISK.
Fizzle | Firefox Add-ons | Mozilla Corporation
軽く翻訳してみる。
最近、Fizzleのセキュリティの問題についてご意見をいただきました。信頼できないJavaScriptが実行されてしまう問題です。ほとんどのRSSフィードでは問題ありませんが、悪意のあるフィードを購読した場合、その攻撃を受ける可能性があります。Fizzleをお使いになるときは、この問題をご承知ください。自己責任で。

これはFizzleを使い始めたときから気づいていた問題。
「便利だけど、ちょっと危ないんじゃないかなぁ」と。

Fizzleスクリーンショット

ようするに、スクリーンショット(ロケーションバーに注目)にあるように、Fizzleは chrome://fizzle/content/fizzle.xul という特殊なファイルを生成してそこにフィードを突っ込んでいるみたいだ。
FirefoxのNoScriptという拡張を使うと、安全なサイトではJavaScriptを許可し、そうでないサイトについては許可しない、というふうにうまく切り替えられるんだけど、chrome: は禁止できない。

NoScriptスクリーンショット

よくわからないけど、これはFizzleとかNoScriptの問題というより、Firefoxの仕様として避けがたい問題(弱点?)であるような気がする。

よって、JavaScriptを許可した覚えがないサイト(ブログを含む)をFizzleで開くと、いろんなプラグインが実行されてしまうので、いきなり大音量の音楽がかかったり、いきなり動画の再生が始まったりする。
単なる音楽、単なる動画であればいいけど、ようするにFizzleを使ってブログとかを読むという行為は、悪意のあるスクリプトの攻撃を受けやすい状態であるわけで、これは本当に困った問題。

FizzleはSage同様、ブラウザベースのRSSリーダーだけど、Sageではこの問題にどう対処しているのだろう。
それと、考えてみればこの問題はWEB型RSSリーダー(Google Reader とか livedoor Reader)でも直面することがらであるわけで、結局のところ、Firefox本体が新たな危機に対して絶えず対処できるブラウザとしてこれからも成長していってほしいものだと思った。

Firefox をダウンロード!!

Google
WWW ArtSaltのサイドストーリー
はじめまして。
一時Sageの私製改造版を公開していたひぐまと申します。
Sageの問題については私のサイトでも取りあげていますので
もしよかったら上記URLをご一読下さい。

>Sageではこの問題にどう対処しているのだろう
Sageには簡易的なHTMLフィルタが実装されており、
危険なタグ/スクリプトが動作しないようになっています。
但しそのフィルタに脆弱性があった場合はリスク要因となり得ます。
(現に幾つか問題があるのを知っています)

またSage 1.3系はfile:でフィードを開くのでNoScriptで防げますが、
1.4系はFizzleと同様chrome:で開くので効果が不十分です。

>Firefox本体が新たな危機に対して絶えず対処できるブラウザとして
>これからも成長していってほしい
Web型リーダーでローカルファイルが読めたらブラウザの脆弱性ですが、
file:やchrome:で開いたページがローカルにアクセスできるのは
ある意味当たり前の仕様なのでブラウザ側で対策される可能性は低いと思います。
念のため付言させて頂きました。
2007/04/08(日) 17:02:42 | URL | ひぐま #z1/vyMRg[edit]
ひぐまさん、コメントありがとうございます。

SageのHTMLフィルタというのは便利そうですね。
ローカルにあるファイル云々という問題は、たしかにおっしゃるとおりだと思います。
2007/04/08(日) 17:51:19 | URL | ArtSalt(管理人) #GXI3NEIY[edit]
Web site (optional)
Comment - Need to type CAPTCHA, an image of distorted Japanese Hiragana or Katakana afterward.
Password - Not allowed to modify your comment later if password not entered.
On secret mode?
 

http://art2006salt.blog60.fc2.com/tb.php/388-061113fa

このブログについて

最近のエントリ

カテゴリー
あわせて読みたいブログ

あわせて読みたい

最近のコメント
Internet Explorer
よりも便利です

Opera 9 - Always secure with Opera Firefoxをダウンロード!!

相互リンク
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。