アカウント名:
パスワード:
Adobe Flash Playerと、主要WebブラウザのHTML5再生機能って、どっちがセキュリティー的にマシなの?
Flashはほぼ毎月脆弱性報告がでてるよ。JPCERT/CC過去の注意喚起 [jpcert.or.jp]HTML5で再生するならFlashの脆弱性は気にしなくて済むのでセキュリティ改善しそう。
ブラウザだろ低機能(少機能)だから自明
狭義なセキュリティではHTML5なのかもしれないけど広義なセキュリティだとFlashより酷い気が
視聴側の意図しない実行を防げないという意味ではFlashのがましですよね
え?防げないの?なんで?
ブラウザによる、としか言いようがない部分はあるが
たとえばFirefoxの場合、Flashでゼロデイ攻撃が確認された等のときはFlashのアドオンだけ無効にする、という選択肢が存在するがHTML5での動画再生の場合、一部コーデック(H.264)を除いて「特定のMIMEタイプだけ再生を無効にする」という操作ができないかといって動画再生を全無効にすると弊害がでかすぎる
みたいな話じゃね?
まあそのへんは今後進歩するだろう。
HTML5では現状、(video要素の子としての)source要素に、Content-Typeを設定できるtype要素が必須ではない仕様なので、現状ではどうしようもないだからブラウザは「とりあえずファイルをダウンロードして再生を試みる」挙動を行うし、そこに攻撃できる脆弱性があれば狙われたらアウトになる強いて言えば「type要素が指定されてないvideoタグは読まない」みたいな設定を実装すればいいかもしれないけど、一般ユーザーは何のこっちゃになりかねないし、当然に副作用もある
FlashだとObjectタグ(の当該CLSIDのもの)を読み飛ばせばとりあえず対策できる(Flashプラグインを読ませなければ事足りる)
autoplayとautobuffer属性というセキュリティー上凶悪なもんありますしね。。
HTML5の動画規格にDRMがないとでも思ったのか?まあ、MozillaはDRM導入に反対してたけどさ・・・最終的には折れたよDRMが掛かってないならFlashだろうがHTML5だろうが抜き放題は変わらん
マジレスすると最近のブラウザは強制アップデートなのでブラウザの勝ち
ユーザーが設定で切れる程度のものを強制アップデートと言うならFlash Playerも同じだろ
強制したのに勝手に外すアホはほっときゃいい。強制しないといつまでもアップデートしないままの奴がいるから。そもそもアップデートという概念を知らなかったり理解してなかったり忘れてたりする。
本当にセキュリティ強化の為の強制アップデートなのだろうか?
ブラウザ起動時チェックを行い「アップデートする」「ブラウザ終了」を選ばせればいいと思うのですが、常駐して裏でこそこそアップデートと称するものが行われていて、しかも、ブラウザ起動時にはチェックがない?(ここは推測ですが、PC起動時にすぐにブラウザを起動すると起動できたからです)使わなときでも何度も何度もアップデートする意味が分からない。
真の目的はなんだろう
穴のある古いバージョンを使ってるユーザを残さないことによるサポートコストの削減
社内IT担当やってると、それは凄く感じる。実際やると、環境固有の不具合にぶち当たったお偉いさんからクレームが入って大変だけど。
ブラウザにももちろん脆弱性はあるが、脆弱性の元となる部分がなくなればその分危険性も下がる・・・と思ったのだが違うのだろうか
Flashの脆弱性を探してた人がそのままブラウザの脆弱性にシフトしてくるんじゃね?
#マイナーだったから誰も狙わないだけなのにウイルスに強いOSと言い張ってたOSがありましたね
今でもブラウザの脆弱性発見コンテストやってるし、実際見つかってる。それでもFlashが狙われやすいのは、単に脆弱性が無茶苦茶多いから。品質の問題。
っていうか「Flashを入れててブラウザを使ってないPC」なんてありえないけど、「ブラウザを使っててFlashを入れてないPC」はあり得るわけで、攻撃者だってできることならブラウザを狙いたいだろ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
主要WebブラウザがFlash Playerのサポートの縮小・中止へ動いている (スコア:0)
Adobe Flash Playerと、主要WebブラウザのHTML5再生機能って、どっちがセキュリティー的にマシなの?
Re:主要WebブラウザがFlash Playerのサポートの縮小・中止へ動いている (スコア:1)
Flashはほぼ毎月脆弱性報告がでてるよ。
JPCERT/CC過去の注意喚起 [jpcert.or.jp]
HTML5で再生するならFlashの脆弱性は気にしなくて済むのでセキュリティ改善しそう。
Re: (スコア:0)
ブラウザだろ
低機能(少機能)だから自明
Re: (スコア:0)
狭義なセキュリティではHTML5なのかもしれないけど
広義なセキュリティだとFlashより酷い気が
視聴側の意図しない実行を防げないという意味ではFlashのがましですよね
Re: (スコア:0)
え?防げないの?なんで?
Re:主要WebブラウザがFlash Playerのサポートの縮小・中止へ動いている (スコア:2, 興味深い)
ブラウザによる、としか言いようがない部分はあるが
たとえばFirefoxの場合、Flashでゼロデイ攻撃が確認された等のときはFlashのアドオンだけ無効にする、という選択肢が存在するが
HTML5での動画再生の場合、一部コーデック(H.264)を除いて「特定のMIMEタイプだけ再生を無効にする」という操作ができない
かといって動画再生を全無効にすると弊害がでかすぎる
みたいな話じゃね?
Re: (スコア:0)
まあそのへんは今後進歩するだろう。
Re:主要WebブラウザがFlash Playerのサポートの縮小・中止へ動いている (スコア:1)
HTML5では現状、(video要素の子としての)source要素に、Content-Typeを設定できるtype要素が必須ではない仕様なので、現状ではどうしようもない
だからブラウザは「とりあえずファイルをダウンロードして再生を試みる」挙動を行うし、そこに攻撃できる脆弱性があれば狙われたらアウトになる
強いて言えば「type要素が指定されてないvideoタグは読まない」みたいな設定を実装すればいいかもしれないけど、一般ユーザーは何のこっちゃになりかねないし、当然に副作用もある
FlashだとObjectタグ(の当該CLSIDのもの)を読み飛ばせばとりあえず対策できる(Flashプラグインを読ませなければ事足りる)
Re: (スコア:0)
autoplayとautobuffer属性というセキュリティー上凶悪なもんありますしね。。
Re: (スコア:0)
HTML5の動画規格にDRMがないとでも思ったのか?
まあ、MozillaはDRM導入に反対してたけどさ・・・最終的には折れたよ
DRMが掛かってないならFlashだろうがHTML5だろうが抜き放題は変わらん
Re: (スコア:0)
マジレスすると最近のブラウザは強制アップデートなのでブラウザの勝ち
Re: (スコア:0)
ユーザーが設定で切れる程度のものを強制アップデートと言うならFlash Playerも同じだろ
Re: (スコア:0)
強制したのに勝手に外すアホはほっときゃいい。強制しないといつまでもアップデートしないままの奴がいるから。そもそもアップデートという概念を知らなかったり理解してなかったり忘れてたりする。
Re: (スコア:0)
本当にセキュリティ強化の為の強制アップデートなのだろうか?
ブラウザ起動時チェックを行い「アップデートする」「ブラウザ終了」を選ばせればいいと思うのですが、
常駐して裏でこそこそアップデートと称するものが行われていて、
しかも、ブラウザ起動時にはチェックがない?(ここは推測ですが、PC起動時にすぐにブラウザを起動すると起動できたからです)
使わなときでも何度も何度もアップデートする意味が分からない。
真の目的はなんだろう
Re: (スコア:0)
穴のある古いバージョンを使ってるユーザを残さないことによるサポートコストの削減
Re: (スコア:0)
社内IT担当やってると、それは凄く感じる。
実際やると、環境固有の不具合にぶち当たったお偉いさんからクレームが入って大変だけど。
Re: (スコア:0)
ブラウザにももちろん脆弱性はあるが、脆弱性の元となる部分がなくなればその分危険性も下がる
・・・と思ったのだが違うのだろうか
Re:主要WebブラウザがFlash Playerのサポートの縮小・中止へ動いている (スコア:1)
Flashの脆弱性を探してた人がそのままブラウザの脆弱性にシフトしてくるんじゃね?
#マイナーだったから誰も狙わないだけなのにウイルスに強いOSと言い張ってたOSがありましたね
Re: (スコア:0)
今でもブラウザの脆弱性発見コンテストやってるし、実際見つかってる。
それでもFlashが狙われやすいのは、単に脆弱性が無茶苦茶多いから。
品質の問題。
っていうか「Flashを入れててブラウザを使ってないPC」なんてありえないけど、
「ブラウザを使っててFlashを入れてないPC」はあり得るわけで、攻撃者だって
できることならブラウザを狙いたいだろ。