- 59 名前:名無しさん@お腹いっぱい。 [2005/09/03(土) 00:41:03 ID:+xCwACp90]
- FirefoxはActiveXに非対応だから安全だという俗説があるが、大嘘である。
なぜなら、Firefox(Mozilla)にはXPCOMとXPConnectという技術があるからだ。
XPCOMとは、Firefoxの「ファイル操作」「通信」などといったOSに近い部分での
処理を行うためのライブラリのようなもの。
それをJavaScriptから呼び出すための仕組みがXPConnect。
XPConnectは基本的にXPConnect特権を持った「信頼されたスクリプト」からしか
利用できないため、 原 則 と し て 、Webページのスクリプトが
勝手にこれらを利用することはない(筈)。
だが、このXPConnect特権を不正に取得できてしまうセキュリティホール
(Firefox 1.0.6でやっと修正された)を突くと、攻撃者はXPCOMを使ってなんでもやり放題になる。
XPCOMにはファイル操作のAPIもあるしネイティブアプリケーションを起動するAPIもある、
それらが全て開放されるのだから、どれほど危険な話なのかわかるだろう。
この構図は、ActiveXのセキュリティの問題と全く同じものだ。
|
 |
