『Safariに「絨毯爆撃」問題』ってAppleの反応の仕方も変だが記事の書き方も変
Appleは対処せず:Safariの「じゅうたん爆撃」問題、StopBadware.orgも対処を要求 - ITmedia News
という記事が結構各所で話題になっているような。
この記事をそのまま文脈通りに読んだら、権威ある専門家がSafariは欠陥ソフトであると警告したところ、Appleが
「そんなのセキュリティホールとはいわんよ」
という反応をしてユーザを危機にさらしていると読めてしまう。
本当にそういう話なんだろうか?
まずこのITmediaの記事に決定的に欠落しているのは、この警告の対象になっているのは
Windows版のSafari
だという点だ。
この記事だとSafariはWindows版もMac版も全てセキュリティホールがある欠陥ソフトと読めてしまうが、実際にはcontentタイプによるダウンロード動作を起こすのはほとんど全てのブラウザの標準的な動作で、別にSafariに限ったことではないという背景が見落とされている。
詳細は検証をしたキャプチャーを見ていただければ良いと思うが、例えば
こちらのページ
を見てもらいたい。
いきなりなにかダウンロードが始まったと思うが、これはウイルスみたいな名前だがウイルスではない。謹製ビル・ゲーツのスクリーンセーバなのでよかったら愛用していただきたい。
ところでダウンロードがいきなり始まったのはMac版のSafariとMac版のMozilla系のブラウザということになると思う。
(他は動作未確認、皆さんで確認してください)
MacOSXではこういう手法でマルウエアなどをダウンロードさせても勝手に開かなければ、問題は無い。
ダウンロードしたアプリは初回
「ダウンロードして初めて開くが問題ないか?」
というアラートが出る。(Leopardの場合)
問題はWindowsの場合だ。
WindowsではInternetExplorerもWindows版Firefoxもちゃんとダウンロードを開始する前に
「ファイルをダウンロードしようとしている。問題ないか?」
というアラートが出る。
ところがWindows版Safariだけはアラートが出ない。
これが問題なのだ。
Windowsではこれはリスクになりうる。
だから「セキュリティ問題とは考えていない」というAppleの態度はいただけない。
しかしITmediaのSafariは「バッドウエア」という書き方は明らかにミスリードだ。
Windowsの世界ではSafariはどれくらいのシェアを持っているのだろうか?
Mozillaでもないマイナーなブラウザのアラートが出なくても、記事になんかしないくせにそれがApple製だとなるととたんにセンセーショナルな記事になって、しかもまるでMac版のSafariも全て危険のような印象の記事になってしまう。
こういう時がITジャーナリズムにいい加減さを感じてしまう時だ。
ところで一部のはてブコメントを見ていたら
「MacOSXの場合、開くときに警告が出るし開かなければ問題ない。ウイルスなら。が、児童ポルノを強制ダウンロードさせられ、消すまでの間にTime Machineで自動バックアップされちゃってたりすると、単純所持で逮捕とか怖い。」
というコメントがあり。(笑)
確かにこれは怖い。
ウイルスより怖い国会議員・・・
これについてはこういう記事を見つけた。
「 Q 迷惑メールが増えているし、一方的に画像を送られて「単純所持」にされちゃうのは困るなあ。
A それは大丈夫。既に単純所持を処罰対象にしている国々も、そうした場合は罪に問わない法律になっています。海外を参考に、意図的に入手した人に限り処罰する方向で議論が進んでいます。」
ということだそうだ。
ちょっと安心。
contentタイプの記述で自動ダウンロードさせるページを開いてみた
InternetExplorerではご念の入ったことに「情報バーにお気づきですか」というアラートが出て
バーには「ファイルのダウンロードがブロックされました」という状況が表示される
Firefoxの場合は「次のファイルを開こうとしています」というアラートで
保存するか開くか何もしないかを選べる
ところがWindows版のSafariでは何もアラートが出ずにダウンロードが始まった
それでもダウンロードウインドウが開くので普通気がつきそうなものだが
勝手に開くような仕掛けをしていると確かにリスクになり得るかもしれない
ちなみにLeopardではSafariでダウンロード動作をしても
それを開く時に「開いてもいいのか?」というアラートが出る
これはMacとWindowsという環境の考え方の違いだと思う
問題はMacの考え方のSafariをWindowsにも持ってきてWindowsなりの対策をしていないことと
それを針小棒大に書き立てるITジャーナリズムの定見のなさということか
2008年5月21日
|
|