アカウント名:
パスワード:
Adobe Flash Playerと、主要WebブラウザのHTML5再生機能って、どっちがセキュリティー的にマシなの?
狭義なセキュリティではHTML5なのかもしれないけど広義なセキュリティだとFlashより酷い気が
視聴側の意図しない実行を防げないという意味ではFlashのがましですよね
え?防げないの?なんで?
ブラウザによる、としか言いようがない部分はあるが
たとえばFirefoxの場合、Flashでゼロデイ攻撃が確認された等のときはFlashのアドオンだけ無効にする、という選択肢が存在するがHTML5での動画再生の場合、一部コーデック(H.264)を除いて「特定のMIMEタイプだけ再生を無効にする」という操作ができないかといって動画再生を全無効にすると弊害がでかすぎる
みたいな話じゃね?
まあそのへんは今後進歩するだろう。
HTML5では現状、(video要素の子としての)source要素に、Content-Typeを設定できるtype要素が必須ではない仕様なので、現状ではどうしようもないだからブラウザは「とりあえずファイルをダウンロードして再生を試みる」挙動を行うし、そこに攻撃できる脆弱性があれば狙われたらアウトになる強いて言えば「type要素が指定されてないvideoタグは読まない」みたいな設定を実装すればいいかもしれないけど、一般ユーザーは何のこっちゃになりかねないし、当然に副作用もある
FlashだとObjectタグ(の当該CLSIDのもの)を読み飛ばせばとりあえず対策できる(Flashプラグインを読ませなければ事足りる)
autoplayとautobuffer属性というセキュリティー上凶悪なもんありますしね。。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
主要WebブラウザがFlash Playerのサポートの縮小・中止へ動いている (スコア:0)
Adobe Flash Playerと、主要WebブラウザのHTML5再生機能って、どっちがセキュリティー的にマシなの?
Re: (スコア:0)
狭義なセキュリティではHTML5なのかもしれないけど
広義なセキュリティだとFlashより酷い気が
視聴側の意図しない実行を防げないという意味ではFlashのがましですよね
Re: (スコア:0)
え?防げないの?なんで?
Re: (スコア:2, 興味深い)
ブラウザによる、としか言いようがない部分はあるが
たとえばFirefoxの場合、Flashでゼロデイ攻撃が確認された等のときはFlashのアドオンだけ無効にする、という選択肢が存在するが
HTML5での動画再生の場合、一部コーデック(H.264)を除いて「特定のMIMEタイプだけ再生を無効にする」という操作ができない
かといって動画再生を全無効にすると弊害がでかすぎる
みたいな話じゃね?
Re: (スコア:0)
まあそのへんは今後進歩するだろう。
Re:主要WebブラウザがFlash Playerのサポートの縮小・中止へ動いている (スコア:1)
HTML5では現状、(video要素の子としての)source要素に、Content-Typeを設定できるtype要素が必須ではない仕様なので、現状ではどうしようもない
だからブラウザは「とりあえずファイルをダウンロードして再生を試みる」挙動を行うし、そこに攻撃できる脆弱性があれば狙われたらアウトになる
強いて言えば「type要素が指定されてないvideoタグは読まない」みたいな設定を実装すればいいかもしれないけど、一般ユーザーは何のこっちゃになりかねないし、当然に副作用もある
FlashだとObjectタグ(の当該CLSIDのもの)を読み飛ばせばとりあえず対策できる(Flashプラグインを読ませなければ事足りる)
Re: (スコア:0)
autoplayとautobuffer属性というセキュリティー上凶悪なもんありますしね。。