パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

MozillaがFirefoxの拡張機能で難読化コードの使用禁止を発表した2日後、全拡張機能が動作しなくなるトラブルが発生」記事へのコメント

  • by Anonymous Coward

    自己責任でどうぞ
    臨時の回避策
    about:config
    "xpinstall.signatures.required"
    True を 
    False
    に変更。
    Firefox 再起動
    Android8.0 Firefox 66

    これで復旧しました。

    • Re: (スコア:4, すばらしい洞察)

      by Anonymous Coward

      しかし、セキュリティ対策の施策に障害があった場合に、
      それを無効にすることで対処するというのは、
      セキュリティ的にどうなのだろうか。

      # 使いたいソフトが、セキュリティソフトから嫌疑をかけられているとして、
      # セキュリティソフトを停止させて使うものだろうか?

      • by Anonymous Coward on 2019年05月04日 21時28分 (#3609647)

        しかし、アドオン無しだと、アクセスしたサイトのジャバスクが自分のパソコンで勝手に実行されるんだよ?
        それどころか、広告ブロッカーも当然無効なので、スラドにアクセスしただけでも数十ものドメインからiframeやジャバスクがロードされてそれが実行されてしまう
        万が一にもゼロデイ攻撃でサンドボックスが突破されたら権限昇格で任意のコードが実行されてしまう
        こんな恐ろしい事はない

        スラドを開いたとき、Firefoxの障害でアドオンが無効になっていたため、訳の分からない広告が山ほど表示され、ネットワークモニターに追いきれないほどの大量のURLの一覧(それも訳の分からないドメイン)がどばどばと滝の様に流れ込んだ
        恐ろしくて恐怖で鳥肌が立ったぞ
        ジャバスクフル実行のデフォルト環境のブラウザは、こんなにも無防備で、そして歌舞伎町のようにピカピカしたネオン(広告)が溢れていたのか……

        一方、署名検証無効化は、新しいアドオンでない限り、インストールした時点では署名が有効だったことは確認できているのだから、
        新しいアドオンをインストールしたりしない限りは大きな問題はないだろう

        親コメント
        • JavaScriptや画像表示の無効化ぐらいは最低限のセキュリティ機能なのだから、IEやGoogle Crhomeのようにデフォルトでできるようにしていただきたいものです。
          アドオンが無いとJavaScriptすら無効化できない今のFirefoxは絶対におかしいです。

          • by Anonymous Coward on 2019年05月04日 22時09分 (#3609665)

            両方ともFirefox単体でできますよ。
            JavaScript無効化はjavascript.enabledをfalseに、
            画像読み込み無効化はpermissions.default.imageを2に [mozillazine.org]
            するだけです。

            もっと簡単に設定できるようにしろという主張なら分からないでもないですが、殆どのユーザーは必要としない設定ですし、
            現状でも妥当だと思います。

            親コメント
          • by Anonymous Coward

            いやスクリプトの有効無効切り替えはabout:configで可能だから。
            アドオンはjavascript.enabledを切り替えてるだけ。

            • by Anonymous Coward

              > アドオンはjavascript.enabledを切り替えてるだけ。
              それはないでしょ。
              それだとドメイン毎にON/OFFできないから使い物にならないはず。

            • by Anonymous Coward

              この検証機能は、一度インストールしたユーザーが継続して認証し続けるか?
              というものだけではなく、新規にインストールする際に最低限のチェックを通過したか?を確認するものでは
              (もし、そうでないならハッシュだけを掲載すれば良いだけだし)?

              公式が言った訳では無いですが、事象としては何処かの国のオレオレ証明書の対処と近いものがありますし [takagi-hiromitsu.jp]、
              公式すらそのように対処しなくてはいけない状況に陥らせるなら、
              そのせきゅりてぃに意味はあったの?とは思います。

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...