アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
アドオンの署名 (スコア:1, 興味深い)
いつになったら署名付きアドオンがでてくるのでしょうか?
正直セキュリティ教育には悪すぎる話です。
Re:アドオンの署名 (スコア:3, 参考になる)
http://piro.sakura.ne.jp/latest/blosxom/mozilla/xul/2007-04-09_cert.htm [sakura.ne.jp]
ちゃんとしたのなら
http://glucose.jp/logs/mtamaki/4 [glucose.jp]
署名は改変が行われていないことを作者が保証するだけで、
意図どおりに動くことの保障ではないので勘違いしないように。
(^_^)/ ここ重要!! テストに出ます。
Re: (スコア:0)
# 今更。
Re:アドオンの署名 (スコア:2, 参考になる)
Re:アドオンの署名 (スコア:1, 参考になる)
Re: (スコア:0)
で、アドオンに悪意がないことを証明する手段ですが、こちらは署名機能では担保されず、逆にaddons.mozilla.orgでは公開前に人為的にレビューを行っているようなので、担当者のお墨付きをもらっている分信頼できるかと思います。
# こういうことを積極的に広報しないほうが問題だと思うのですが。
Re:アドオンの署名 (スコア:3, 参考になる)
拡張にはどうしようもないくらい品質が低いものもあるわけで、そういうものを弾くためにボランティアグループが審査している。必ずしもセキュリティ関係に明るい人が取り組んでいるわけではない。逆に言うと、本当に悪意を持った人なら楽にパスできるわけで、結局は作者やコミュニティを信用するしかないんだよ。だから、知らない人が作ったものは、一見便利そうでも、使わずに様子を見る方がいいと思う。
そもそも、「セキュリティ的に問題がない」と判断できるレベルの人が、きちんと審査する労力は、おそらく拡張そのものを書く労力と大体同じくらいだと思う。いや、労力だとわずかに審査の方が楽かもしれないけど、要求スキルを満たした人材分布を考えると、登録時に「きちんと審査されている」ってのは、まずありえない仮定なんだよね。最終的には、バザールを当てにするしかないわけだから(経験上では、コレはFirefoxの拡張に関しても結構効いているから、その点では心配していないが)、そういう意味では、なるべく人気が高いものを使うのが好ましい、と思う。
ガイドライン等も整ってきているから、黎明期のような杜撰さはないだろうけど、もっと根本的な原因である、人材不足というか技術レベルに絡んだ問題は、解決するのが難しいだろうね。