zunda

ブラウザ拡張はブラウザくらい信頼できないと使わない(ので僕は私用には使ってない)ものだと思ってたんだけどそうでもないのかな

HTMLソースコードから個人情報が筒抜け? Chromeなどのブラウザ拡張機能の多くで脆弱性 米研究者らが発見:Innovative Tech - ITmedia NEWS https://www.itmedia.co.jp/news/articles/2311/16/news047.html

1
mmasuda (最終出社日まであとn日)

@zundan 普通の人は「このツールがいいよ」と教えてもらった(WEB記事含む)ものをほいほいと使う傾向があるというのが自分の結論ですね。

1
zunda

🥺

1
h12o

セキュリティチェックを嬉々としてやるような我々は特殊だと思っています。

面接で生まれて初めて脆弱性診断をしたら「面白そうにやっていたので採用した」と後日面接官から直接言われた経験があるのですが、そのときは「セキュリティチェックを面白がるって特殊なのか」と思ったものでした。

1
zunda

自分で診断できるのうらやましい!僕はできないので拡張なしで生きております…。

1+
mmasuda (最終出社日まであとn日)
フォロー

@zundan @h12o
外形的なチェックしかしてないですね。

・製造元の身元ははっきりしているか
・要求する権限は過大ではないか
・きちんとリリースが継続的に行われているか

まぁこんな感じ。ザルですね。

· · Web · 2 · 0 · 1
h12o

実際は「ザル」なチェックしかできないと思いますし、「ザル」でも水切りの役にはたつわけで、やらないよりはやった方がいいなと。そもそもザルすら使っていない人はとても多いのですし。

1
mmasuda (最終出社日まであとn日)

@h12o @zundan
大きな話になると、昨今話題の「サプライチェーンリスク」なんですけど、基本的には外形的なざるチェックが基本にならざるを得ないよなぁというのが昨今の悩みです。
重要取引先ならチェックを重点的に入れられる・入れるべき・コストを掛けられるけど、そういうところばかりではないし。

1
h12o

いまの仕事がまさにそのへんを見ることなのですが、それは僕自身が本当にやりたいことなのか(それ以上いけない)

0
zunda

最近のブラウザ拡張は与える権限を制御できるんですね!どれか試してみようかな…(老害なので情報が古い

1
h12o


support.google.com/chrome_webs

1
zunda

ありがとうございます!コビーとペーストの内容が危険度低ということは、パスワードはコピペしないものなのかあ、とか、アクセストークンが含まれるかもしれない、ウェブサイトでユーザーが閲覧したページ上のデータが見える「特定の」ウェブサイトはどのウェブサイトなのかとか、どうして危険度高じゃないのか、とか、酔っ払いの老害には難しすぎました…トホホ

1
mmasuda (最終出社日まであとn日)

@zundan @h12o

結局のところリスク(与える権限)とベネフィット(機能の利便性)におうじて個々人で判断するしかないというやつ。

そしてこういうあいまいな言い方すると普通の人には「ゼンゼンワカラナイ!」とキレられるアレ。

1
mmasuda (最終出社日まであとn日)

@zundan @h12o

例えばこれを見てインストール許可を判断できるのかというのはいつも思っているところ。

1
zunda

仕事に使うやつは会社がインストールしてって言ってくるので会社が監査してくれてると思って仕事で使うブラウザにつっこんでおりますw

0
ログインして会話に参加
Fedibird

様々な目的に使える、日本の汎用マストドンサーバーです。安定した利用環境と、多数の独自機能を提供しています。

トレンドタグ

リソース

開発者向け

Mastodon とは?

fedibird.com

さらに…