SecurityFocus が Greasemonkey のセキュリティバグを取り上げる
SecurityFocus が Greasemonkey の最近のセキュリティ問題に関する記事を掲載している。これは Don’t Click on the Blue E! の作者である Scott Granneman によるものだ。Mozilla Firefox の拡張 Greasemonkey が何をするものかを述べて(Gmail に削除ボタンを追加するユーザスクリプトを例に使用)、Scott は訪問したサイトがユーザのコンピュータのファイルにアクセスできる危険性があるという Greasemonkey に見つかったセキュリティ脆弱性について議論を進めている(Greasemonkey 0.5のベータベージョンはこれらの問題を解決している)。
Scott は InfoWorld のコラムニスト Jon Udell が彼の Greasemonkey の危機 という記事で指摘した問題に取り組んでいる。彼は Firefox が Greasemonkey の欠陥に責任を負うという Jon の指摘には合意せず、”問題はブラウザそのものの設計と製造にあるのではなく、ひとつの拡張機能により貧弱にインプリメントされた API を通じて多くのユーザのコンピュータが危険にさらされたことにある”としている。
Scott は Greasemonkey の開発者は攻撃の表面積を削減するためにもっと統制されたアプローチを取るべきだったという Jon の意見に同意しているが(Jon は Microsoft をこの統制の主要な提案者として引用している)、彼はこれは重要な要因であるだけではなく、発見されたセキュリティバグの扱いもまた致命的になり得ると主張している。Scott は Greasemonkey チームは問題の通知、ユーザへの警告、公開メーリングリストによる解決のための議論という点に関しては正しく行動していると信じている。”厄介な手続きを経て、情報はそれを必要とする人々(開発者、IT 管理者、ユーザ、セキュリティ専門家)全てに伝えられた”と彼は述べている。Scott は、この公開性は、Microsoft や Cisco のようなメジャーなプロプライエタリなソフトウェアベンダーがしばしば適用する閉鎖的な処理よりもはるかに良いと結論付けている。
[ 原文 / 2005年8月10日(水) ]
