Linuxからアホ話まで、何でもありでござる
2005年09月22日
Mozillaブラウザの脆弱性、IEを上回る
[おいらのパソコンに関わる話]
シマンテック:「Mozillaブラウザの脆弱性、IEを上回る」 - CNET Japanという記事が出ています。
Firefox使いとしては聞き捨てならない記事であります。
だけど、俺にはなんだか内容が良くわからないのです。
Mozillaのほうが脆弱性が数多く発見されたって事は
2005年上半期には、Mozillaブラウザで25件の脆弱性がベンダーによって確認され、公表されたという。
…
これらの欠陥のうち18件は深刻なレベルに分類されるものだった。
…
同じ期間中、IEでは13件の脆弱性がベンダーによって確認されたが、そのうち8件は深刻なレベルに分類されるものだった。
というくだりから読み取れますが、果たしてこの脆弱性はどのくらい解消されているのでしょうか。
セキュリティ監視会社のSecuniaによると、Internet Explorerには未対応のセキュリティの問題が19件あったが、Firefoxではわずか3件だったという。
という記述もあり、Mozillaは脆弱性が多数発見されたが未対応問題が少ないと言うことなのでしょうか?記事に載ってる調査会社が別々なのでさっぱりわからんですわ。
┓(´_`)┏
で、結局
どっちが安全なんだよ!!はっきりせい!!と叫びたくなる今日この頃、皆さんはいかがお過ごしでしょうか。
posted by oyajiman at 2005年09月22日 09:12:14
コメント
はじめまして。
今回のこの件に関する検索をしたところ、検索結果の上位にでたので読ませて戴きました。
記事全般を見る限りでは、シマンテックがIE寄りの発言をしていることが感じられます。
当然、脆弱性タップリのIEを使ってくれれば対策が必要になるのでウチの製品も売れるだろうというのが言いたいことだと思います。
公平な判断をするなら記事後半のことも考慮に入れて発表するのが筋です。
この記事を書いた人は公平な判断としてシマンテックの発表には矛盾があると感じて補足をしたと思います。
Mozilla系のブラウザは、そのパッチの提供速度が他に例を見ないほど早いです。
コレまでのバージョンアップの経緯を見れば、数個の脆弱性をパッチで仮補強するか、一時的に機能停止させ、間も無く1.0.xという感じで完全に対処済みのバージョンが出ます。IE(MS)ではこんな早い対応は無いですよね。
それにこの記事にもありましたが、Mozillaの脆弱性は、その脆弱性を突かれた被害が出る前(広がる前)に対策が施されます。
対してIEは被害が広がってセキュリティーソフト会社が対策ソフトのパッチを用意。MSはのんびりしてて忘れた頃にパッチが出ます。
オープンソース系の強みは多数のボランティア(ハッカー)によりそれらの修正が強力にバックアップされていることにあると思います。
巨大化し、OSと複雑に結合したIEとWindowsとは根本的に別のものです。
スレイニプル・ルナスケープ・ドーナッツなど多数のIEコンポーネントブラウザの中にはMozillaのコアであるGeckoエンジンに切り替えて使えるものもありますが、初期設定ではIEを使いやすく細かな設定を可能にしたIEの皮を被ったIE系ブラウザです。
これらは通常Geckoモードにして閲覧し、必要に応じてGeckoで閲覧できない(利用できない)サイトをIEモードで閲覧することで安全性が上がります。
本質的にはIEコンポーネントブラウザというものはIEそのものであり、IEを利用した拡張機能に過ぎないのですから、IEが狙われる穴はそのまま突かれてしまうことになります。
貴方の最後の疑問ですが、貴方の思ってる通りです。対応が早いMozillaには、指摘された穴を突かれる前に塞ぐという「早期の対応」がありますので、実際に攻撃されるかされないは別としてMozillaの穴埋めは早く、ユーザーを危険に晒す可能性はIEやIEコンポーネントブラウザと比べてかなり低いと言えるでしょう。
長文失礼・・・
通りすがりのクマさん、はじめましてこんぬつは。
多分そういうことでしょうね。IEとMozilla、どっちがセキュアかなんて比較するまでもない話でしょう。IEがOSと深く結合していることを知っている人であれば、IEに何かあった場合に直接システムにダメージを与えてしまうであろうことは、誰でも直感的にわかることですもんね。
このエントリは、あの記事が一般的な読み手にとってどう感じられるのかなと思い書いたものです。あれではIEの方がセキュアだと感じる方も多いだろうなぁって思ったものですから。
こんぬづわ(訛ってみるテスト)
IEがセキュアになれるかどうかはIE7に掛かってますよね。でも、IE7はXP以降にしか提供されないんだとか・・・(現状では)
そうなるとIE7対応のOSに乗り換えなければなりません。企業は勿論、個人でも「いま普通に使えているOS」を捨ててまで次期Windowsに乗り換えるでしょうか?
答えは未知数ですが、乗り換えはまだまだ先との調査結果も出ています。見捨てられたWin2000やそれ以下のユーザーの取る手段はMozilla系かOperaでしょうね。
MSが見捨てたユーザーがブラウザシェアをひっくり返す手伝いをする可能性もあるみたいです。まさにMS自信が自分の首を締めかねない行為です。
>一般的な読み手
他の上位検索結に上がったブログではIEの方がセキュア?、とかIEを使えとか書いてる所がありました。でも、敢えて反論せず、静観します。ああいう人も多いという表れですよね。
幸い、ブラウザ事情に敏感な私たちGeckoファン(またはOperaファン)にとっては自分の身を守る手段としてFirefox(Operaも)という選択をしている訳ですから一般人より安全で居られる訳です。
IE6のポップアップブロックなどを見る限りでは完全に遮断しきれて居ませんし、それより優れたIEコンポーネントブラウザに走る一般人のも気持ちはわかりますが、やはりOSに標準で搭載されているブラウザは強いよなぁと思います。
一応、IEは無料ということになっていますが、IE(とWindows)のセキュリティーパッチを作ってる大勢の人の人件費が入ってない訳が無いですし、やっぱり、数年前に指摘された「IEの抱き合わせ商法の指摘」という事実から考えるにWindowsの値段って下がらないよなぁ・・・と思ってしまいます。
もっと便利で安全な方法もあるんですけどね(苦笑
関心のある人は自分から色々と試してみたり情報を集めて得をしますし、知らないと用意されたものだけ使って結果的に損をするというこのパソコンという世界は商売としてまだまだ伸びるでしょうね。
トラックバック
トラックバック
このエントリにトラックバックはありません
この
トラックバックURLを使ってこの記事にトラックバックを送ることができます。
もしあなたのブログがトラックバック送信に対応していない場合には
こちらのフォームからトラックバックを送信することができます。.
コメントする
今回のこの件に関する検索をしたところ、検索結果の上位にでたので読ませて戴きました。
記事全般を見る限りでは、シマンテックがIE寄りの発言をしていることが感じられます。
当然、脆弱性タップリのIEを使ってくれれば対策が必要になるのでウチの製品も売れるだろうというのが言いたいことだと思います。
公平な判断をするなら記事後半のことも考慮に入れて発表するのが筋です。
この記事を書いた人は公平な判断としてシマンテックの発表には矛盾があると感じて補足をしたと思います。
Mozilla系のブラウザは、そのパッチの提供速度が他に例を見ないほど早いです。
コレまでのバージョンアップの経緯を見れば、数個の脆弱性をパッチで仮補強するか、一時的に機能停止させ、間も無く1.0.xという感じで完全に対処済みのバージョンが出ます。IE(MS)ではこんな早い対応は無いですよね。
それにこの記事にもありましたが、Mozillaの脆弱性は、その脆弱性を突かれた被害が出る前(広がる前)に対策が施されます。
対してIEは被害が広がってセキュリティーソフト会社が対策ソフトのパッチを用意。MSはのんびりしてて忘れた頃にパッチが出ます。
オープンソース系の強みは多数のボランティア(ハッカー)によりそれらの修正が強力にバックアップされていることにあると思います。
巨大化し、OSと複雑に結合したIEとWindowsとは根本的に別のものです。
スレイニプル・ルナスケープ・ドーナッツなど多数のIEコンポーネントブラウザの中にはMozillaのコアであるGeckoエンジンに切り替えて使えるものもありますが、初期設定ではIEを使いやすく細かな設定を可能にしたIEの皮を被ったIE系ブラウザです。
これらは通常Geckoモードにして閲覧し、必要に応じてGeckoで閲覧できない(利用できない)サイトをIEモードで閲覧することで安全性が上がります。
本質的にはIEコンポーネントブラウザというものはIEそのものであり、IEを利用した拡張機能に過ぎないのですから、IEが狙われる穴はそのまま突かれてしまうことになります。
貴方の最後の疑問ですが、貴方の思ってる通りです。対応が早いMozillaには、指摘された穴を突かれる前に塞ぐという「早期の対応」がありますので、実際に攻撃されるかされないは別としてMozillaの穴埋めは早く、ユーザーを危険に晒す可能性はIEやIEコンポーネントブラウザと比べてかなり低いと言えるでしょう。
長文失礼・・・