ブラウザのセキュリティーに関して勘違いしている人が多いので、いまさら感がとっても強いのですが、あえてこの問題を考えてみたいと思います。
(続きはこちら)
最初に断っておきますが、「ActiveX」も「VBScript」もIE特有のものです。
これらはもともとセキュリティーとは直接関係するものではなく、これらによりいろいろと便利な機能をIEで実現できるようにするというのが本来の目的でしたが、数多くある「ブラウザのセキュリティーホール」のなかでも問題が多い(悪用される)ことで有名な機能となってしまいました。
これがないだけで、だいぶセキュリティー的に安全だともいう人さえいますね。
まあ、IEの肩を持つわけではないですが、IEのシェア率が非常に大きいので、「ウィルス」等もIEに的を絞るという傾向があります。なので、確かにMSの脆弱性の放置っぷりはひどいものがありますが、IEだけのせいだけにすることもできないともいえます。
でも、やっかいな機能なことだけは事実でしょうね。
それで、このブログを読んでくださる方は、多分、使用しているブラウザは「Firefox」「Opera」「Sleipnir」のいずれかでしょうから、「Sleipnir」の方を除いては、この「ActiveX」、「VBScript」と自分は無縁であるということを知っておけばだいたいOKというお話ですね。
これらのセキュリティー問題が話題になると、よく、
「「ActiveX」って、Firefox(Opera)ではどうなっているの?」
という方を見かけますが、私たちにとっては、「(全く)関係のない話」です。
だって、そもそも、「ActiveX」も「VBScript」も入っていないのですから。
あまり過度に神経質になりすぎないように。
※でも、例えば、「Firefox url://ハンドラ問題」的な感じで、IEが迷惑をかけてくることも考えられるのでその点は注意してください
参考:
1.Browser.js 【ニュース 74】セキュリティー情報 1 -firefoxurl://ハンドラ問題
2.Browser.js 【ニュース 79】セキュリティー情報 3 -firefoxurl://ハンドラ問題の続報
ということで、この話は終わりです。
あとちょっと参考までにいろいろと書いてみようと思います。
□ActiveX - Wikipedia
ActiveX(アクティブエックス)とは、Microsoftが、インターネットでの利用を促進するために、OLE技術群を、1996年に改名したものである。
Web ページの表示に変化を与えたり、ユーザーのコンピュータとの結びつきによりウェブサイトを閲覧する際に楽しさや利便性を飛躍的に向上させるが、Internet Explorer でセキュリティー上、しばしば問題になっている。例えば、シマンテックやトレンドマイクロのオンラインウイルススキャンサービスからわかるように、ActiveXコントロール を用いれば現在ログオンしているユーザーがアクセスできるコンピュータ内のファイル全てに自由にアクセスできる。したがって、悪意のあるコードが含まれている ActiveXコントロール の場合は、個人のフォルダに不正アクセスし、情報を盗み取るということもできてしまう。ActiveXコントロール のインストールの際には充分気をつけなくてはならない。特に未署名の ActiveXコントロール は受け入れないのがよい(ただし、デジタル署名済みでも悪意がある可能性はある)。
□VBScript - Wikipedia
VBScript(ブイ・ビー・スクリプト)は、Visual Basic (VB) のサブセット(簡易版)で、マイクロソフト社製のスクリプト言語である。
Microsoft Windows上やInternet Information Server(IIS)上で動作する。
VBScriptとセキュリティ
VBScriptはOLEクライアント機能の強力さは、近年のコンピュータウイルスには、WSHとVBScriptを組み合わせて感染する型が多発しており、ユーザにとっては諸刃の剣となっている。
□参考:(ワロスw 他の部分も面白すぎる)
Sybianの日記 - アドオン要らずのIE轟沈機能トップ3
1. FFでいうナイツオブラウンドのような
ActiveXといえば「このページを開いただけでウィルスに感染します」などのニュースでおなじみの反則級の破壊力を持つ機能。もちろんIEにしか搭載されていない、画期的なアキレス腱のひとつ。
ほぼすべての致命的な脆弱性にはActiveXが関与しています。ActiveXがないだけでどれだけ安全か、想像できますでしょうか。
1.Firefoxについて
□Firefox Help: Firefox FAQ
Firefox は Internet Explorer よりも安全ですか?
はい。Firefox やその他の Mozilla をベースとした製品はすべて Internet Explorer よりも安全であると言えます。それはなぜでしょうか。最も重要な理由を以下にご説明します。
・Windows と統合されていないので、ウイルスや悪質なハッカーが何らかの形で Firefox に攻撃を試みた場合でも、危害を防ぐことができます。
・Internet Explorer の様々なセキュリティホールの原因となっている、VBScript、ActiveX という 2 つの技術をサポートしていません。
・Web サイトを訪れただけでスパイウェアやアドウェアが自動的にインストールされることはありません。 (すごい皮肉…ワロタw)
・Firefox は Microsoft の Java VM を使用しません。以前から他の Java VM よりも多くの欠陥を抱えてきたからです。
・Firefox では Cookie を完全に制御することができます。
但し、ActiveX Pluginにより、FirefoxのGeckoエンジンにActiveXを組み込むことは可能です。
□PluginDoc: Windows (A - Z) ActiveX Plugin
Ref.Mozilla ActiveX Control
ただ、こんな危険なことをわざわざするようなことは(一部の知識のある方を除いて)おすすめできません(非推奨)。初心者が安易に導入すると破滅へのカウントダウンがはじまります(笑)。
2.Operaについて
123 名無しさん@お腹いっぱい。 mail:sage 2007/05/24(木) 11:17:14 ID:/abR/oSH0
これ(Opera)、プニル(Sleipnir)みたいにjavascriptとActiveXを設定して切り替えることできないよね?
あれブラウジングでは必須だと思うんだけどなぁ
133 名無しさん@お腹いっぱい。 mail:sage 2007/05/24(木) 12:29:47 ID:/abR/oSH0
ファイルを実行せずともWEBブラウジングだけで感染するウィルスは
javascriptとActiveXを使うものらしいから、この2つは必要時以外は使いたくないんだよね
でも、OperaはCookieを個別に設定できるんんだよなぁ
プニルはCookieは個別に設定できないから迷う
134 名無しさん@お腹いっぱい。 mail:sage 2007/05/24(木) 12:32:16 ID:sw7rRpNs0
「ウィルス! ウィルス!」いう割に、OperaでアクティブXとか言っちゃうやつはなんなんだ?
135 名無しさん@お腹いっぱい。 mail:sage 2007/05/24(木) 12:48:11 ID:9+dbNUXbO
響きがカッコイイから言ってみたかっただけかも知れんぞ
136 名無しさん@お腹いっぱい。 mail:sage 2007/05/24(木) 12:49:07 ID:5x8VrpSu0
( ゚д゚)
_(__つ/ ̄ ̄ ̄/_
\/ /
 ̄ ̄ ̄
( ゚д゚ )
_(__つ/ ̄ ̄ ̄/_
\/ /
 ̄ ̄ ̄
( ゚д゚)
_(__つ/ ̄ ̄ ̄/_
\/ /
 ̄ ̄ ̄
ちなみに、滅びの(ry、いや期待のプラグインもあります(Neptune plug-in)
□Opera Software - Knowledge Base ActiveX and VBScript support in Opera
「私はIEと運命をともにするんだ〜」という熱い方はどうぞ。
(ただ、Operaの中でIEエンジンを走らせるだけっぽいけど…)
※注意:私は怖くて試せません(笑)
3.Sleipnirについて
Sleipnirの場合、IEコンポーネントブラウザなので、全く無関係というわけにはいきません。でも、(さんざん、脅してきましたが(笑))Sleipnirの場合、手動で「ActiveX」のオンオフを替えられるし、情報バーでも知らせてくれますから、そんなに神経質になる必要はないのかもしれません。
むしろ、「ActiveX」が使える点が利点であるともいえますね。
ただ、このことをもし知らなかったとしたら、ちゃんと知っておくということは必要ではないかなと思います。
□ActiveX - Wikipedia
セキュリティーの観点から、Windows XP で Service Pack 2 以降は初期設定で ActiveXコントロール のインストールやダウンロードを自動的にブロックして情報バーでその旨を通知するようになっている。また、Internet Explorer 7 では ActiveXコントロールの機能を実装した上で標準では無効とされている。
□Microsoft Windows XP : Internet Explorer 情報バーの使用
Windows XP Service Pack 2 (SP2) には、Web の閲覧時にユーザーがセキュリティを制御できるようにするための機能が数多く追加されています。
Internet Explorer では、アドレス バーのすぐ下に情報バーが表示されるようになり、ダウンロード、ブロックされたポップアップ ウィンドウ、潜在的なセキュリティ上の危険、およびその他の動作に関する情報を確認できます。これらの情報は、潜在的に有害なファイルをインターネットから受信してしまう可能性を防ぐのに役立ちます。情報バーは、必要のないときにはブラウザに表示されません。伝える必要のある情報があるときだけ表示されます。
Internet Explorer の既定の設定が有効の場合は、Web サイトが次の動作を実行しようとしたときに情報バーが表示されます。
・ActiveX コントロールをコンピュータにインストールしようとしたとき
・ポップアップ ウィンドウを開こうとしたとき
・ファイルをコンピュータにダウンロードしようとしたとき
ヒント
情報バーに表示されたメッセージをクリックすると、詳細を表示したり、操作を実行したりできます。
ポップアップ ブロック機能のメッセージが表示された情報バー
情報バーの動作のしくみ
Web サイトの中には、潜在的な危険性を含む ActiveX コントロールやアクティブ コンテンツを表示するものや、ユーザーの認知や許可がないままユーザーのハード ディスク ドライブにファイルをダウンロードするものがあります。多くの人が、知らないうちにスパイウェアを自分のコンピュータにインストールしてしまうのも、このような原因によるものです。情報バーは、このようなコンテンツをブロックするときにそのことをユーザーに知らせ、ユーザーは、実行する操作を指定できます。
アクティブ コンテンツを表示しようとする Web サイトにアクセスした場合は、次のような通知が表示されます。
この場合、危険性のあるコンテンツを除外して Web ページを表示し、そのページが適切に表示できるのであれば、アクティブ コンテンツを表示しないように選択します (通常はこのようにすることをお勧めします)。
関連:
1.Browser.js Sleipnir:Tips 1 情報バーを消す方法
・IEの情報バーとSleipnirの情報バーは同じようにみえるけど、違うものらしい
2.Browser.js 第5回 Sleipnirのカスタム:パネルの追加+α 1
・ステータスバーにセキュリティーボタンを追加する
以上で終わりです。
各種ソーシャルブックマーク:
|
|
;