アナログ
RSS  

Firefoxはセキュア?2008/06/27 23:53

Firefoxはセキュアだとか聞くと「あらあら」としか思わないのだけど、Firefoxネタもすっかり飽きてきたので、一区切りつける意味でもセキュリティを扱ってみよう。
と言っても、技術的な話ではなく、すごく当たり前の話です。また、前提として、脆弱性の話は横に置いときます。そうしないと、体制の問題だったり、企業の問題だったり、話がずれるからです。

Firefoxには安全にブラウズするための助けになる機能が、いくつか備わっています。その一つに、ダウンロードファイルを自動でウイルススキャンする機能がありますが、Firefoxはセキュアだからと、ウイルス定義が最新のものかチェックするのを怠っていたら、何の役にも立たないことはすぐ理解して頂けると思います。

つまり、最大のセキュリティホールは使う人なのです。

Firefoxをメインで使ってるという前提で、次の項目で知らないことがいくつあるでしょうか?

  1. インストールされているプラグインの確認方法
  2. インストールされたプラグインの更新方法
  3. IFRAMEの危険性
  4. SQLインジェクションワーム
  5. 広告にワームが仕掛けられていることがある
  6. JavaとJavascriptは別物
  7. Scriptの実行を禁止にする方法
  8. 画像を表示するだけでウイルスが実行される
  9. 圧縮ファイルを解凍するだけで、ウイルスが仕掛けられる
  10. Flashで任意の通信ポートを開くことができる(UPnP)

あげると、きりがありませんが、いくつ知らないことがあったでしょうか?

ちょっと例をあげてみましょう。
インストールされているプラグインの確認方法ですが、アドレスバーに「about:plugins」と入力すると確認でします。
Fx3だと、「メニュー」「ツール」「アドオン」の「プラグイン」でバージョン確認と無効化の設定ができます。

この前、Flashに0dayの脆弱性(最新版は対策済みだったので、0dayではなかった)があると騒ぎになりましたが、最新になってますか?
WindowsのユーザはFirefoxのプラグインだけでなく、IEのFlashプラグインも更新する必要があります。
Adobe Flash Playerダウンロードセンターで最新版が入手できます。
バージョンの確認はhttp://www.adobe.com/jp/products/flash/about/で確認できますが、困ったことに掲載されている情報が古いですね。
Flashプラグインが古いだけで、Fxはたちまちセキュアでないブラウザに変身してしまいます。

知ってる人には当たり前の話ですが、知らない人には、情報の入手すら困難です。ましてや最新版の導入、確認方法なんて困難どころの話ではありません。
私が「あらあら」と思ってしまう理由が、この話一つとっても分かって頂けるのではないでしょうか。
まして、Fx3は一般の人へブラウザを乗り換えようとアピールしています。本当、大丈夫なのでしょうか?

IFRAMEの危険性ですが、今はSQLインジェクションワームとの組み合わせがホットwです。

SQLインジェクションワームが猛威、4000サイトが感染 - ITmedia エンタープライズ
このワームは4月半ばごろから活動を始めたとみられ、Googleで検索すると感染サイトが約4000件も見つかったという。

 データベースに侵入する手口は不明だが、感染したサイトには不正なスクリプトとiframeタグが仕込まれる。
よく分からないセキュリティに金は出せないということでしょうか、未だに殆ど対応できてない状況がつづいてます。

これに対しては、アドオンのNoScriptで、オプションのタグのIFRAMEの禁止で対応可能です。
しかし、その状態で「ITmedia」とか見ると、大変見苦しい状態になります。信頼するサイトに指定するかどうかはあなた次第w

画像のウイルスとか、解凍すると組み込まれるウイルスとかは過去のもので、対策済みなら過剰反応する必要はありませんが、対策済みでしょうか?

圧縮ファイルの解凍はFxに関係ないように思えるでしょう。でもFx3からは、ダウンロード後、ウイルスチェックします。ウイルス対策ソフトの解凍エンジンに同様のバッファオーバーフローの脆弱性があった時、笑えない話になります。

Flashもそうです。Fxがどうこうという話ではありませんし、UPnPでポートが開けるのは仕様であり脆弱性と認められないため、ルータなどでUPnPを無効にするくらいしか対策方法はありません。

アドオンもそうです。Fxを便利にしてくれますが、見境なくインストールしてると、何が仕込まれているか、分かったものではありません。

長々と書いてしまいましたが、Fxはセキュアだと盲信すると、セキュアでもなんでもなくなるということは、知っていて欲しいなと思うのです。