『Firefox 3.0』第8アルファ版公開、拡張機能更新の安全性を強化

この記事のURLhttp://japan.internet.com/webtech/20070921/11.html

Mozilla Foundation の Web ブラウザ『Firefox』が人気を集めた理由の1つに、拡張機能の作成とインストールが比較的容易なことが挙げられる。しかしその容易さには潜在的な問題もある。

Firefox の拡張機能アドオンは、一般にブラウザの利便性を高めるものだが、セキュリティ上のリスクともなり得る。Mozilla Foundation が20日に公開した『Firefox 3.0』の第8アルファ版ではこの点を改善するため、拡張機能アドオンの更新処理において、安全性を高める変更が加わった。

Mozilla Foundation が公開している安全なアドオン更新に関する文書のなかには、次のような記述がある。「Firefox は現在、アドオンのインストール マニフェストに記載された URL を使い、更新の有無を自動的にチェックしている。現在のところ、これらの URL に関する規定はなく、https (SSL 暗号化) を用いた URL でなくてもよい。このため、アップデート マニフェストやアップデート パッケージが危険にさらされ、悪意のあるアップデートが差し込まれる結果につながる恐れがある。既にセキュリティ侵害の実施例が、1件公開されている」

拡張機能に関する新しいセキュリティ機能では、アドオンの作者を識別し、その信頼性を担保するため SSL 暗号化やデジタル署名などの仕組みを利用して、アップデートの安全性向上を試みている。更新パッケージの完全性と、更新の仕組みのセキュリティが適切な状態にあることを保証することで、全体的な安全性が向上するというのが基本的な考え方だ。

しかし、アドオンのセキュリティをさらに高める上で、Mozilla Foundation が取り組むべき課題はこれだけではない。

Mozilla Foundation は拡張機能に関する今回の変更について、上述した文書のなかで次のように記している。「この機能はアドオン更新時のセキュリティ強化を狙ったもので、最初にアドオンをインストールする際には、なんの影響もないことを強調しておかねばならない」

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。