2009-10-18

Firefoxのプラグインブラックリストがちゃんと動き始めたようだが

Mozilla、Microsoft製Firefoxアドオンを無効化

個人的にはやっとという感じだなぁと。ブラウザでネイティブコードが動く以上、ホワイトリストとブラックリストってのは、実装されるべきだから。

他のブラウザでも、Internet Explorerだって、KillBitというのがあって、セキュリティ問題のあったActiveXコントロールは、このKillBitで無効化される(他社製であっても)。各ActiveXコントロールがCLSIDを持っているので、そのCLSIDをブラックリスト(KillBit)に追加するというだけのこと。たまにWindows Updateで配信されているのは、そのリストを追加するだけのもの。

で、問題を修正した場合、そのActiveXコントロールが新しいCLSIDを使えば、それはKillBitに入ってないので問題なく動作する。また、アプリケーション側は直にCLSIDを使わずにProgIDという別名を使っておけば、アプリケーションを再コンパイルすることもないし。

そもそも、プラグインの実行する場所にサンドボックスがあったとしても、それが逆にプラグインの動作に対して制限を加えることになるし、セキュアなプラグイン環境を作るためには、別のバイトコードで実装する方向にいくんだろうな。。。return of the javaじゃないけど、JavaScriptで実装できるとか。

0 件のコメント: