IEの脆弱性はエンジン起源によるものでIEコンポーネントのタブブラウザもその脆弱性を共有しているといわれています。
Geckoの方はどうなんでしょう?
Geckoの3大ブラウザのNN、Mozilla、FireFoxはよくブラウザの脆弱性として報道されているようなのですがGeckoエンジンには問題ないのでしょうか?
また、Geckoによる脆弱性のニースサイトを教えて下さい。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

Geckoでも最近は脆弱性が目立っていますね。

おかげさまで本当にGeckoが安全と言い切れるのかという議論まで噴出している状況です。

ただ、GeckoブラウザはIEとは異なり、OSと密接に結びついていない分、ブラウザを通じてOSの脆弱性を突かれるようなことはないでしょう。

IE7に関する話題も出ており、IE7ではタブブラウジング機能の搭載、OSとの切り離しを実施するともいわれていますので期待できますね。

ブラウザに限らずセキュリティホールに関する情報はネットセキュリティが見やすくてお勧めです。

参考URL:http://www.netsecurity.ne.jp/
    • good
    • 0

 IEコンポーネントのタブブラウザが I.E. の脆弱性を共有しているのは当然です。

と言うか、I.E. に報告されるセキュリティホールの多くはエンジン起源のものですから…ι 各 I.E. クローンを細かく見れば、特有のセキュリティホールも存在するでしょうけど…大元のブラウザエンジンのそれからしてみれば些事ですからね。

 Gecko エンジンの脆弱性は I.E. エンジンとは別問題です。先日の 価格.com がやられたウィルス問題も Gecko は無問題だったようですから(ブラウザ本体のセキュリティホールってのはそういうもんです)。

 ですんで、セキュリティホール自体が存在しない訳ではないです。それは報道されてる通りですよ。
 もっとも、最近( Firefox1.0 リリース以降)の報道は Firefox (及び Mozilla Suite)のバージョンアップに伴うもので、そこはその都度修正されてきました。…結果 Firefox 1.0.4 に至るワケですけど。

 従って、Gecko には I.E. とはまた別のセキュリティホールが存在する、と云うのが本当のところです。ただ現時点では、ターゲットにするウィルスなどは少ないと言うくらい…(時間の問題ですけどね。Linux じゃシェアが丸っきり違うわけですから)。ただ、オープンソース故か、そうした情報の流布やまた対処も早いのも事実です。そうした情報に常に目を光らせていれば、安全性は高い…かもしれません。
#Firefox にはセキュリティアップデートの通知機能もあるし。加えて、セキュリティ機能に関しては設定は簡便ですね。各種ある拡張(Extension:アドオン)の中にはセキュリティ設定をサポートするのがありますからね。

 加えて言及するなら、Mozilla/Firefox には追加できる「拡張」によってもセキュリティホールは指摘されています(『Greasemonkey』はちょっと前に話題になりましたが…有名どころの『タブブラウザ拡張』もかつてセキュリティアップデートした事があります)。…もっともそれは、I.E.コンポーネントブラウザ毎の脆弱性と代わりないんですけどね。
 要するに、「利便性と危険性は比例する」ってことです。
 いっそセキュアを追求するなら、その辺の設定が簡便な Opera も魅力的ではありますね(もちろん、エンジンが異なりますからこれまた別に脆弱性は存在しますよ)。

 取り敢えず、Gecko も含めて広いセキュリティ情報は参考URL【Secunia】などに集まっています。
 Gecko に関しては、日本だとやっぱりここですよ。(^^;)
【もじら組】
http://www.mozilla.gr.jp/
【mozillaZine 日本語版】
http://ryuzi.dyndns.org/mozillazine/

 …スラドも情報早いけど(笑)。
#現在 NN はアップデートに関しては Mozilla と足並みが揃いませんけどね…。8 がリリースされた今後の動向に注目です。先ずは 8 の日本語版か(^^;)。

参考URL:http://secunia.com/

この回答への補足

返答ありがとうございます。
僕はOperaユーザですが、セキュリティーのためというより操作性など機能的な良さを理由に利用しています。
Geckoにもあまり目立ってないだけでそれなりに脆弱なところが多々あるということでしょうか?
Geckoエンジン搭載のブラウザが増えてくると、ハッカーも狙い出すんでしょうね。
ダブルエンジンだと結局は安全というよりもむしろ、より危険な状態に近づくこともあるということですね。
提供するブラウザ・プラグインにも穴はたくさんあるけどマイナーだから狙われない。
結局セキュリティーの基本は狙われないマイナーを使えということになってしまうのでしょうか?
そうなら寂しすぎる。

補足日時:2005/06/06 03:04
    • good
    • 0

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aと関連する良く見られている質問

QMozilla/3.01 (compatible;)と表示されるブラウザはなんでしょうか?

宜しくお願い致します。

アパッチのアクセスログをみていると
Mozilla/3.01 (compatible;)
というのがよくいるのですが
これは何のブラウザー(バージョン含む)からの
アクセスなのでしょうか?
ご教授下さい。

Aベストアンサー

どうやらプロクシのようです。

参考URL:http://www.bayashi.net/st/faq/mozilla301.html

QSafari脆弱性

2008年3月18日にアップル社がセキュリティアップデートを公開しました。
数日前に、アップル社のブラウザSafariをダウンロードしましたが、
私はWindowsユーザーなのでアップルのセキュリティアップデート
を適用する必要はあるのでしょうか?
Safari脆弱性があるという事ですよね?
なんだかよく分かりません。
http://www.apple.com/jp/ftp-info/

説明が下手でスミマセン・・・
どなたか教えて下さる方、よろしくお願い致します。

Aベストアンサー

これらはMac OS Xのセキュリティアップデートなので関係ありません。Windows版Safariのセキュリティアップデートはまだ無いはずですよ。

QFTPの脆弱性

FTPの脆弱性について調べています。

初心者の初の字なので、どこを調べていいのか全くわかりません。

 どなたか、ここらへんを調べれば出てくるという知っているかた、教えてください。

Aベストアンサー

FTP の脆弱性ですが、サーバ一般に共通することから
FTP だけの話までいろいろあります。

■ バッファオーバーラン
インターネットでサービスを提供するサーバすべてに
共通するものだが、サーバが予期しない異常な要求を
受けて、その結果サーバがのっとられるという脆弱性

■ 平文パスワード
FTP はパスワードになんの暗号化もかけず送信して
認証を行う。パケットキャプチャーすることで、
簡単にパスワードを盗み、そのアカウントでログイン
できるようになってしまうという脆弱性

■ Anonymous FTP
FTP は匿名でログインしてサービスを受けることを
可能にしていることがよくある。この匿名性は、
不正な攻撃の寝床になることが多いという脆弱性

■ chroot
FTP はサーバのファイルにアクセス(見たり読んだり
書き込んだり)するサービスである。サーバには
設定ファイルやパスワードファイルなどの管理用ファイル
も多数あり、本来見られてはならないものである。
これを防ぐ為に、ログインした人のホームディレクトリを
ルートディレクトリに見せかけるのが chroot だが
逆に言えば、この chroot の設定ミスやバグによる
脆弱性もありえる。

---
ここであげた■の欄のキーワードなどと共に
インターネットで検索をかければいろいろ詳しい
話がみつかると思います

FTP の脆弱性ですが、サーバ一般に共通することから
FTP だけの話までいろいろあります。

■ バッファオーバーラン
インターネットでサービスを提供するサーバすべてに
共通するものだが、サーバが予期しない異常な要求を
受けて、その結果サーバがのっとられるという脆弱性

■ 平文パスワード
FTP はパスワードになんの暗号化もかけず送信して
認証を行う。パケットキャプチャーすることで、
簡単にパスワードを盗み、そのアカウントでログイン
できるようになってしまうという脆弱性

■ Anonymous...続きを読む

QWebアプリケーションの脆弱性検査ツール

こんにちは。Webアプリケーションの脆弱性の検査を行うツールを探しています。商用のものではWebInspectやAppscanがあることは知っています。
以下の質問があります。

1.フリーのツールでよいものはないでしょうか。
2.もしくは、Webの入力フォームに入れる値のテストパターンはないでしょうか。
3.商用ツールを使用しない場合のテスト手法はあるのでしょうか。あるのであればどのようなものでしょうか。

よろしくお願い致します。

Aベストアンサー

下記を参考にどうでしょうか?

http://www.itmedia.co.jp/enterprise/articles/0507/07/news001.html
フリーだとどうしても欠ける部分がありますよねぇ。。。

・Nessus
・Network Security Analysis Tool(NSAT)
・SuperScan

Qセッション脆弱性を克服するには?

またお世話になります。
いつも的確な回答を頂いて助かっていますm( __ __ )m

【仕様】
・ ログイン認証ページのみ SSL で、それ以外のページは 【非SSL】 です。
・ ログイン認証時にセッションIDをクライアントのクッキーに保存し、サーバー側では MySQL にセッションIDとログイン情報を保持します。
・ 認証以降のページでは、クライアントから送信されてくるクッキーセッションIDを元に MySQL のデータと照合し、ユーザーのログイン状態を維持します。
・ 言語は PHP を使っています。

よくあるセッション管理サイトだと思います。
そして、セッションIDさえ盗まれなければセキュリティとして問題無いと考えています。逆に言うとセッションIDが盗まれると極端に弱いと思います。

【私の考える脆弱性】
・ ログインページ以外が 非SSL ということから、セッションIDの盗聴が可能かと思います。
・ 普通に使用していても悪意あるサーバーを経由したらトレースされて簡単にセッションIDが抜かれると思います。
・ ログインした状態のユーザーが怪しいリンクをクリックしてクロスサイト攻撃でクッキーを抜かれる可能性もあります。

質問は、なぜ、こういった多くの問題が予測できるのに
この「教えて!Goo」の認証もログインページはSSLですが、それ以外は非SSLです。といった具合に多くのサイトがこのような認証方式を取っているのか?

もう一つ質問は、私は先に上げたような脆弱性を防ぐ方法がわからないのですが、何か画期的な方法でセッションハイジャックなどを防御しているのでしょうか?

もしくはセッションIDが盗まれてもそのセッションIDでのアクセスを無毒化するような方法があるのでしょうか?

以上です。
よろしくお願いします。

またお世話になります。
いつも的確な回答を頂いて助かっていますm( __ __ )m

【仕様】
・ ログイン認証ページのみ SSL で、それ以外のページは 【非SSL】 です。
・ ログイン認証時にセッションIDをクライアントのクッキーに保存し、サーバー側では MySQL にセッションIDとログイン情報を保持します。
・ 認証以降のページでは、クライアントから送信されてくるクッキーセッションIDを元に MySQL のデータと照合し、ユーザーのログイン状態を維持します。
・ 言語は PHP を使っています。

よくあるセ...続きを読む

Aベストアンサー

>2つ目の質問についてですが、セッションライフタイムを1時間にするというのは正規のログイン中のユーザーも1時間経ったら再ログインが必要ということでしょうか?
いろいろ考え方はあると思いますが、
最後にアクセスされてからの時間の場合もあるでしょうし、最初のログインからの時間から考える場合もあると思いますよ
Okwaveは最終ログインから24時間?なのかな?ときどきログイン要求されますね
webショップの決済開始~決済終了画面までのセッションは15分程度のところもありますね~


人気Q&Aランキング

おすすめ情報