• 締切済み

古いタブブラウザのセキュリティについてお聞きしたいです。

古いタブブラウザをずっと使っているんですけどセキュリティに関して不安になって質問しました。 DonutP .4.3bというのを使っているのですが大丈夫でしょうか? IEは6です。 やはり最新のと古いのではセキュリティに関してだいぶ違うものなのでしょうか? IEのセキュリティに依存し,タブブラウザ自体は関係ないのだったら安心なんですがどんなものでしょうか?

みんなの回答

  • ryu-fiz
  • ベストアンサー率63% (2705/4228)
回答No.4

Donut Pのような古いタブブラウザで注意しなくてはいけないのは、次の脆弱性でしょう。 主要ブラウザのタブ機能に、共通のセキュリティバグ:ニュース - CNET Japan http://japan.cnet.com/news/sec/story/0,2000056024,20075279,00.htm 注意すべきなのは次の点でしょうね。 *****  このうち1つの欠陥は、タブウィンドウで悪質なウェブサイトを開くと、そのサイトから別のタブウィンドウに入力された情報にアクセスされるおそれがある、というもの。またもう1つは、悪質なウェブサイトが、別のタブウィンドウで開かれているサイトのものと見せかけて、ダイアログボックスを表示することができてしまう、というものだ。 *****  Secuniaではタブ機能つきブラウザの利用者に対し、JavaScriptを使用不可にするか、あるいは十分信頼できないウェブサイトにアクセスする際には、別のタブウィンドウで信頼できるサイトを開いたままにしておかないように奨めている。 ***** 結局のところこのバグに関しては、怪しいサイトを開く際には、普段利用しているサイトのタブを同時に開いておかないことで何とかなりそうに思われます。 あとは概ね、IE6の脆弱性をきちんと防いでおけば、それなりではないかと思います。 まぁ、ですが…実際のところ、IEに依存するブラウザというのはやはり、FirefoxやOperaのようにIEに依存しないブラウザに比べて、根本的に感染が起こりやすいようには思われます。 その最も大きな要因は、IE上で利用されるJavaScript、JScriptの仕様にあります。一応、建前上はブラウザ上から直接、システムを左右するような危険なコードは実行出来ないことにはなってますが…ソース上で定義することによって拡張された結果、危険なコードが実行される可能性はゼロではないと思われ、事実、以前2ch辺りで話題になった『ハードディスクをフォーマットするブラクラ』なんてのはその辺が原因ではないかと思われます。 そもそも、WindowsOSは事実上、管理者権限での普段遣いが当たり前になっている一方で、システムにも重大な影響を及ぼす能力を秘めているWindows Scripting Hostのスクリプトがバリバリと使われてしまっています。個人的には特に、こうしたスクリプトをブラウザの機能拡張に利用するのは危険ではないかと思えるのですが、現状ではそれが普通に行なわれています。 スクリプトの動作を必要な特定のサイト上だけに限定すればよい、という考え方についても、正規のサイトの改変が元となる感染が日常化したことで、既に過去のものになっていると思いますし、これからはIEに依存しないブラウザを常用化して、IEやそれに依存するブラウザはIE以外で正常利用出来ないサイトでの利用に限定したほうが良いのでは、と思います。 それでもなお、DonutPのようなタブブラウザを常用したいということであれば、次のようにすべきだと思います。 1)次のURLで紹介されているReducedPermissionsやRUNASAのようなソフトの利用を検討してください。 http://www.oshiete-kun.net/archives/2006/05/iereducedpermissions.html http://www.oshiete-kun.net/archives/2007/04/vistauacxprunasa.html 制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsやRUNASAを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。 ReducedPermissionsの入手は、次の各URLから行うことが出来ます。 http://download.cnet.com/Reduced-Permissions/3000-2239_4-10572884.html http://www.softpedia.com/get/System/System-Miscellaneous/Reduced-Permissions.shtml 2)次のページの内容を参考にし、Windows Scripting Hostを無効化することで、IEをはじめとするブラウザ上での感染のリスクは相応に低くなると考えます。 http://service1.symantec.com/support/inter/navjapanesekb.nsf/jp_docid/20011030160535930 私自身、もう何年も前からNoScript.exeを使ってWSHは無効化しています。 (FirefoxのNoScript拡張とは全く別物ですので、注意してください)

noname#151570
noname#151570
回答No.3

単純に古い、最新のバージョンの比較でしたら、どのブラウザも最新版が安全でしょうが、異種のブラウザ間の比較でしたら、最新版でもセキュリティ機能上も一長一短あります。 少なくとも、IE6及びそのエンジンを使用したブラウザのメイン使用はどうでしょうか・・。 最新版のどんなブラウザも脆弱性は必ず見つかり、完璧に安全なブラウザはありませんから、そのブラウザを色々な観点から理解し、メインブラウザを決めた方が良いと思います。 最近は、第2次ブラウザ戦争と言われていますが、セキュリティの面での対策もしっかりしていないと嫌われると思います。 また、ブラウザのデフォルトの設定でセキュリティを高めると使い勝手が悪くなりますが、そうなった場合に、それをユーザーが我慢できるかだと思います。折角、良い機能があるのに、ユーザーがそれを外して使用するのはどうかと思います。 最近の主だったブラウザのセキュリティに関しての解説記事がありますから、参考にしてみてください。 http://www.computerworld.jp/topics/browser/144710-8.html 私は、オープンソース(公開)ということで、世界の開発者などが誰でもセキュリティ上の脆弱性や問題点をチェックでき、見つかった場合は、直ぐに開発責任組織に通報が行き、早めの修正が可能になっているFirefoxをメインに使用しています。 タブブラウザとそうでないブラウザは、セキュリティ上は関係ないと思います。単に、ウィンドウに表示するサイトやページをタブという形で表示しているだけですから。 なお、最近は、ブラウザに付随するプラグインなどの脆弱性を狙ったマルウェアが多いとも聞きます。ベンダーは早めのパッチ当てをするようにしていますから、アップデートを必ず行うべきです。 不具合発生時に、中には、プラグインやブラウザを「旧バージョンに戻したらどうですか」、何て平気でアドバイス?する人がいますから気を付けた方がよいですね。

  • violet430
  • ベストアンサー率36% (27472/75001)
回答No.2

難しい問題ですね。 というのはセキュリティホールというものは誰かが発見しない限り公表されないからです。 利用者が多くないブラウザですと発見される可能性も低くなるので、そこが問題になります。 セキュリティホールが発見されないブラウザと、発見されて直ぐに修正版が出るブラウザのどちらを信用するかという問題ですね。 私なら後者を選びますけどね。 後者にあたるのは、IEはもちろn、Firefox、Opera、Safari、Goofle Chrome、Sleipnir、Lunascapeなどのメジャーなブラウザですね。

  • neddoheny
  • ベストアンサー率60% (921/1528)
回答No.1

>IEのセキュリティに依存し,タブブラウザ自体は関係ない んなわけありません。 簡単に言えば、IEの脆弱性 + DonutP .4.3b特有の脆弱性を抱えます。 例えば、一年前に「国産ブラウザー「Sleipnir」「Grani」に脆弱性、最新版に更新を」というニュースがありました。 これなどはそのブラウザに依存したセキュリティの問題です。 参照↓ http://itpro.nikkeibp.co.jp/article/NEWS/20080604/306425/ この場合は、すぐに最新版へのアップデートの推奨がありましたが、 もしも開発がストップしているブラウザだったら 迅速な対応は無理ですね。 >やはり最新のと古いのではセキュリティに関してだいぶ違うものなのでしょうか? 違うと思いますよ。 わかりやすいとこで言うと、IE8にはフィッシング詐欺検出機能が入っていますが、 二世代前のIE6にはそんな機能はデフォルトで入っていません。

関連するQ&A