RequestPolicyを使わない理由 ― 2009/07/12 22:11
私がRequestPolicyを使わない理由は昨日もちょっと書いたのですけど、主な理由が抜けてたのでダラダラと書いてみます。
使わない主な理由は、RequestPolicyは表示中のサイトのJavaScriptを実行禁止にできない点にあります。
この仕様では、ショート(短縮)URLなどで0-day攻撃のサイトにうっかり誘導されてしまった場合、NoScriptより危険になります。
NoScriptでも「許可」すると同じことですが、止められるか止められないかは大きな差です。
RequestPolicyはNoScriptですぐに「許可」してしまう人向けのアドオンなのだと思います。
それに私は、あのホワイトリストの考え方(AのサイトからBのサイトの呼び出しを許可するというやり方)が非合理的だと思うのです。
ホワイトリストに入れたなら、どのサイトからの呼び出しても許可すればいいのであって、許可できないならホワイトリストに入れるなと。(アレは広告を非表示にするための仕組みなんじゃないかなぁと)
G`nome様のところでも書かれてますが(というか取り上げられたからこれを書いてるのですけどw)
2009.07.12 SUN - UnderForge of Lack
よく「NoScriptは許可する癖がつくので意味がない」と言われますが、そんな癖がつく人はNoScriptを使う適正がないだけだと思います。
ちなみに私が許可するまでの流れはこんな感じです。
(普通127.0.0.1にするそうですが、たくさん登録すると大変ですので0を使ってます)
これでもまだぬるい方だと思います。
NoScriptの基本は、許可したら負けかなと思ってるw
そんなのやってられないと思うかもしれませんが、セキュリティは利便性とトレードオフの関係なのですから仕方ありません。
妥協の結果として、RequestPolicy、YesScript、Fxのセキュリティブロック、ウイルス対策ソフトのWeb保護機能などを選べばいいのだと思います。
使わない主な理由は、RequestPolicyは表示中のサイトのJavaScriptを実行禁止にできない点にあります。
この仕様では、ショート(短縮)URLなどで0-day攻撃のサイトにうっかり誘導されてしまった場合、NoScriptより危険になります。
NoScriptでも「許可」すると同じことですが、止められるか止められないかは大きな差です。
RequestPolicyはNoScriptですぐに「許可」してしまう人向けのアドオンなのだと思います。
それに私は、あのホワイトリストの考え方(AのサイトからBのサイトの呼び出しを許可するというやり方)が非合理的だと思うのです。
ホワイトリストに入れたなら、どのサイトからの呼び出しても許可すればいいのであって、許可できないならホワイトリストに入れるなと。(アレは広告を非表示にするための仕組みなんじゃないかなぁと)
G`nome様のところでも書かれてますが(というか取り上げられたからこれを書いてるのですけどw)
2009.07.12 SUN - UnderForge of Lack
※許可は基本的には一時的!私もそう思います。手元が狂って間違えないように、「一時的に許可」しか表示しないようにしてますw
よく「NoScriptは許可する癖がつくので意味がない」と言われますが、そんな癖がつく人はNoScriptを使う適正がないだけだと思います。
ちなみに私が許可するまでの流れはこんな感じです。
- JS Offでなにも見えない場合、5割はそのまま見ない。
残り5割はケースバイケースで次の通り。 - view-source:で読めるだけ読む。例:ソフトバンク モバイル 2009年夏モデルの罠
- 怪しかったり、万が一の覚悟もできないけど、どうしても見たいならVirtual PC上で見る。
- 万が一の覚悟ができた場合、「一時的に許可」(ネットで買い物するときなど)
- 頻繁に見るサイトでJS Onにする必要があり、万が一の覚悟ができた場合はホワイトリストに登録。
覚悟ができるまでは「一時的」でも見れないですけどw
(普通127.0.0.1にするそうですが、たくさん登録すると大変ですので0を使ってます)
これでもまだぬるい方だと思います。
NoScriptの基本は、許可したら負けかなと思ってるw
そんなのやってられないと思うかもしれませんが、セキュリティは利便性とトレードオフの関係なのですから仕方ありません。
妥協の結果として、RequestPolicy、YesScript、Fxのセキュリティブロック、ウイルス対策ソフトのWeb保護機能などを選べばいいのだと思います。
最近のコメント