アナログ
RSS  
<< 2009/03 >>
01 02 03 04 05 06 07
08 09 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31

RSS

Firefox Add-ons:NoScript その22009/03/09 22:47

NoScript

目的外の利用を書いたので、NoScript本来の利用についても書いておこうかと。

NoScriptを使う価値があるか?

意外に思われる方が多いかも知れませんが、セキュリティ対策ソフトというものは、インストールしただけではあまり意味がありません。設定を必要とするソフトならば尚更です。

よく「NoScriptで禁止しても、見る時には最終的に許可するので意味がない」という話を聞きます。
これは、利用者にNoScriptを使う適正がないか、セキュリティポリシーに問題があります。

Firefox 3以降には「オプション」の「セキュリティ」を見れば分かる通り、攻撃サイト偽装サイトアクセスを禁止する仕組みを持っています。
つまり、NoScriptを使うというのは、それ以上のセキュリティを求める場合になることを理解してないと使う意味がないのです。

NoScriptに使う価値があるかを決定するのは、利用者のセキュリティポリシーにあるのです。

NoScriptが提供するもの

「Whitelist」に登録されてないサイトのScriptPlugin、特定のタグ(<IFRAME>など)の動作を抑制します。
逆に言えば、Whitelistに登録されているサイトはノーガードになります。

他には
クロスサイトスクリプティング - Wikipedia
クリックジャッキング - Wikipedia
など
Google ChromeとFirefox、クリックジャック攻撃の脆弱性の様な場合にも危険を回避できたりします。
また、一時的に許可することが可能なので、確認しながら一部だけを実行することもできます。

例えば、Flashなどアクセス禁止の状態でサイトを開いた後、Flashのアドレスを確認して利用者が問題ないとすれば、一時的に実行を許可することも、Whitelistに登録することも可能です。

信頼するサイトとは?

よく雑誌やWebサイトの説明で「信頼するサイト以外、Scriptを実行しないようにしましょう」などと説明されていることがあります。
けれども、信頼するサイトとは何を基準に考えればいいのか提示している記事を私は今まで見たことがありません。

私は「信頼するサイト」という表現は適切でないと思いますが、他にいい表現も見当たりません。
強いて言うなら「一蓮托生サイト」でしょうか……信頼するとは微妙に違うとつたわれば、どんな言葉でもいいのですけど。

遠回りしてしまいましたが、つまり
PCにダメージを受ける可能性を覚悟し、実行を許可する」というのがWhitelistに登録するサイトになると考えています。

他にも
得られるメリット>被害を受けた場合に想定される損失
といった場合も、Whitelistに登録していいのではないかと私は考えます。
この場合、どれだけ被害を押さえ込める環境(たとえば専用機やバーチャルマシン)を用意できるかで、許可の範囲が決まるでしょう。

例えば過去に価格.comが、利用者がウイルスに感染するのを承知の上で、不正侵入を特定するためサイトを閉じなかったということがありました。
今も「カカクメソッドとは - はてなキーワード」として伝わっていますが、企業がやっているからといって信頼に足る訳ではない一例です。

しかし、利用者が得られるメリットが大きいと判断すれば、Whitelistに入れてもいいでしょう(私は絶対入れないけど)。

他にも「ドメイン乗っ取りでブログが危険に」で取り上げたように、運営側がポカをやらかして、ユーザを危険にさらす可能性がない訳ではありません。例では幸いにも他のサイトに飛ばされるだけで住んでますが、ウイルス仕掛け放題だったことを思うとぞっとします。

そういう意味でも「信頼するサイト」という表現は適切ではないと思うのです。

結局は利用者次第

NoScriptのように、利用者の適切な判断が求められるソフトというのは、判断するための知識が必要なため、初心者向きではないと言えます。
初心者レベルのままでいることを望むなら、別の手段、例えばフィルタリングサービスを受けるという手もあります。

結局は利用者が何をしたいか、どうしたいか。そのためには何を使えばいいかを考えないと、安全確保は難しいのが今のインターネットだと思います。

グダグダ言ってないでサクっとまとめろ

Firefox Add-ons:NoScript目的外使用NoScriptが提供するものを読んでどうしたいか思いつかないなら、NoScriptはFirefoxを重く不便にする足かせにしかなりません。

Firefoxが提供するセキュリティ以上のものを求めるけど、難しいことをしたくないなら他のサービスを考えるべきでしょう。

窓の杜 - 【NEWS】“サーフシールド”機能が追加された「AVG Anti-Virus Free Edition」v8.5
IEや「Firefox」で表示したWebページ上のリンクをクリックした際に、意図しないダウンロードや悪意あるコードの実行が行われないかなどをチェックして、問題があった場合はブロックできる“サーフシールド”機能が追加された
こんなのもあるわけですから。

by puppet [Firefox] [Add-ons] [PC] [セキュリティ] [コメント(2)トラックバック(1)]