「Safariもファイルダウンロード時にユーザー許可を」--専門家が要望
翻訳校正:編集部
「Internet Explorer」や「Firefox」と違って、ブラウザ「Safari」はファイルをダウンロードする際、ユーザーの許可を求めない。そのため、Safariのユーザーは、悪質なソフトウェアの被害に合う恐れがあると、セキュリティ研究者が米国時間5月15日、警告を発した。
Safari Carpet Bombというタイトルのブログ投稿の中で、Nitesh Dhanjani氏は、悪質なウェブサイトからWindowsのデスクトップやMacのダウンロードディレクトリにリソースをダウンロードすることがいかに容易かを説明している。
また、同氏は「Appleはこれが今回対処すべき問題であるとは認識しなかった」と述べている。
Appleの関係者からはDhanjani氏に対し、「何かをダウンロードする際はユーザーに許可を求める」という「機能強化の要望」は、Safariチームに報告するとの連絡があったという。Appleの関係者がDhanjani氏に送った電子メールには「これはセキュリティ上の問題とは認識していないことを注意されたい。これは、さらなる対策を施し、不要なダウンロードに対するバリアを高めるための措置である」と書かれていた。
Dhanjani氏は取材に応じ、SafariはHTMLファイルのようなローカルのリソースが、クライアントサイドスクリプティングなどを実行しようとしたときなどに警告を出さないため、ユーザーを危険にさらしていると述べた。「今日のユーザーは、ブラウザにより多くのことを求めるようになっている」(Dhanjani氏)
Apple関係者は、Appleが「ローカルのHTMLファイル向けの『セーフ』モードようなものを検討している」とDhanjani氏に伝えていた。
その一方で、AppleはDhanjani氏が発見した高リスクのセキュリティ脆弱性を修正することを計画している。この脆弱性は、遠隔地から、ユーザーのファイルシステムにあるファイルを盗難される恐れがあるというもの。
Appleの広報担当に電子メールと電話で問い合わせたが、コメントは得られなかった。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
- この記事を読み解くキーワード:
- ブラウザ
ZDNet用語検索
企業情報
キーワード
関連ホワイトペーパー
-
セキュアで安定した「仮想ホスティングサービス」とは? 【株式会社ブロードバンドタワー】
-
マイクロストラテジーとハイペリオンの製品比較に関するホワイトペーパー(英語) 【マイクロストラテジー・ジャパン株式会社】
-
【オリエントコーポレーション様】 クレジットカード会社の個人情報保護対策 【日本CA株式会社】
-
新しいコンテンツの台頭〜変化の兆しがみえるモバイルコンテンツ市場〜 【株式会社ビデオリサーチインタラクティブ】
-
FTPマルチ静的配信モジュールFlexPublisher2 【FatWire株式会社】
関連製品
- ジョイグラフ地図版
メモ帳で作るインタラクティブな色塗り分け地図グラフ
【タイムランド】 - 電脳デタキャビ
デタキャビは、メール添付では重過ぎる大容量のファイルや緊急で送りたいファイルを安全・簡単に転送することができるサービスです。
【システムグラフィ】 - KapowMashupServer
KapowMashupServerは社内、社外問わずWeb上にあるコンテンツや情報、アプリケーションをインテグレーション、収集、マッシュアップします。
【ベイサイドフレームワーク】
注目記事
脆弱性の情報開示はいかに失敗したか
・7月8日に多くのベンダが同時にパッチを公開したDNSに関する脆弱性に関する秘密は、発見者のKaminsky氏や関係者が守ろうとした30日間よりもずっと早く明らかになった。この背後で起こった出来事についてまとめる。 2008/07/23 17:02 【Zero Day】
安全こそが銀行の“ウリ”--「みずほダイレクト」が講じたセキュリティ強化策とは?
・みずほ銀行のネットバンキング「みずほダイレクト」が、相次いでセキュリティ強化策を打ち出した。契約者が増大するにしたがって、ネットバンキングのセキュリティ対策は、銀行にとって至上命題になっている。 2008/07/23 11:00 【事例】
カテゴリ新着
- Intego製ウイルス対策ソフト、初めてiPhone/iPod...
- モジラ、Firefox 3のセキュリティアップデートを...
- シマンテック、「Norton 2009」2製品のベータ版...
- 「iPhone 2.0」へのソフトウェアアップグレード...
- アップル、「iPhone 2.0」および「iPod Touch 2....
- 米ヤフー、Click Foresicsのクリック詐欺対策ソ...
- マイクロソフト、Wordの脆弱性に関するセキュリ...
- シマンテック:「ベンダーとしての責任でマーケ...
- カスペルスキー、セキュリティ業界の再編には「...
- DNS脆弱性の修正パッチ、複数ベンダーから同時リ...
記事ランキング
- カスペルスキー、セキュリティ業界の再編には「技...
- マイクロソフト、企業向けセキュリティソフト「ISA...
- マカフィー、ゲートウェイアプライアンスを発表--...
- シマンテック、Windows Server 2008対応のバックア...
- 「iPhone 2.0」へのソフトウェアアップグレード、...
- エレコム、パソコンの不正使用を防止する「PCロッ...
- NECとトレンド、不正接続検知アプライアンスとセキ...
- MS、OEM版「Vista」に対するハッキングの存在を正...
- マイクロソフト、Windows Vista 用の更新プログラ...
- シマンテック、企業向けIMセキュリティ製品「IM Ma...
プレスリリース
プレスリリース Feed- 豊作プロジェクト: 携帯電話アクセスランキングTOP25 (7月13日〜7月19日 ショッピングカートの「豊作くん」)
- イクオリティ: 振り込め詐欺の電話を受けたことがある人は全体の15%。身に覚えのない支払督促メールは25%に上る。 - 振り込め詐欺について調査
- セントラルマーケット: インターネットテレビ「Catchy-TV(キャッチーTV)」がMEGUMIのインタビューを配信開始!
- AOSテクノロジーズ: AOSテクノロジーズ株式会社 アップル「iTunes」に対応。ジニーバックアップなら、あなたの音楽、ビデオ、プレイリストが1クリックで選択、バックアップができます。
- 有限会社第四企画: SNSサイトの企画・構築から運営までサポート【d4k SNS構築パッケージ】をリリース
レビュー
レビュー Feed
[レビュー]高い信頼性を普通に使う地球に優しい電源ユニット--Antec EarthWattsシリーズ EA-650
オンリーワンの個性を極めた超薄型テレビ--日立 Wooo UTシリーズ
[レビュー]“この手があったか”と思わせるパワーユーザーも納得のPCオンデマンド--「VALUESTAR G タイプR Luiモデル」+「Lui RN」詳細レビュー
最新記事
- SAP、エンタープライズSOAに必要なコンサルタントを育成するサービスを展開へ
- SAPジャパン、ERPを3000万円台から導入できる新プログラムを開始
- 【23日市況:後場】14時からは利益確定売りに押されるが13300円を回復
- 脆弱性の情報開示はいかに失敗したか:DNS同時パッチの問題を理解する
- こぶし1個分の成功(ZDNet Japanブログより)
- WebサイトのiPhone 3G対応問題を考える(ハード編)
- Halvar氏がトップシークレットのDNS脆弱性の内容を看破
- 【23日市況:前場】13350円で高止まり
- SAP傘下TomorrowNowが10月末で事業停止へ
- サンディスク、次世代SSD製品の投入を2009年まで延期
企画特集
ZDNet Japan ホスティング特集- 2008年夏のホスティングサービスのトレンドは何?
DELLが掲げる「新・仮想化アセスメントサービス」- 〜企業システムの仮想化環境の構築を支援〜
ZDNet Japan Green IT- サミットだけでは終わらせない!エンタープライズの取り組みはこれからだ!
Techno Exchange- 仮想化技術がグリーンITにもたらすもの
ブログ
ブログ RSS Feed
洞爺湖と環境と私- 裏方の裏方日記〜日々是広報 2008/05/20 12:57
- その41:ジェスチャー4 〜ジェスチャー再生方法〜 Second Life 新世界的ものづくりのススメ
- LC2008: 発表者2次募集のお知らせ 日本Linux協会blog
- その後の僕とMac IT-Walker on ZDNet
- 地域ごとにWebサイトを切り換え(その2) 「ズームイン!IPアドレス」ちょっとドメインも
- builder by ZDNet Japanに移行します あとで読むRailsのススメ
- Mac OS X 10.5.2 update 猫科の手も借りたい
- バーチャルとリアルの境界線 大競争時代のBI活用術
- 「ダイヤモンドの原石」? - フィリピンのソフトウェア開発企業 アジアIT通信
- builder blog log4day〜1人月からの脱却
- わざと、こぶし1個分あけてみる 真水不足のミッドウェイ
- 愛社精神ならぬ愛製品精神はどう? 現場からの「協働革新」
- キャストの真実 「Second Love Story」〜あの頃の僕たちに〜
- アプライアンス・サーバーは皆を幸せにする DIY的ITシステムのススメ
- MacPortsに乗り換えた Macでたしなむスクリプト言語
- tool editor: emacs(5) - ~/.emacs Admin.Mac
- インサイドオープンソース
- 9X Problem 「エンタープライズ2.0」への道しるべ
- GoogleとAT&T、iPhoneからの検索リクエストにうれしい悲鳴 J. O'Gradyのアップルコア
- Google検索サイトにビデオ広告が登場 グーグリングGoogle
- マイクロソフトの頼んでもいない提案を評価するYahoo!取締役会 シリコンバレーの現場から
- 上達しない英語術 エンタープライズニュースの読み方
- 真の「オープンソース候補」はだれか? ZDNet.com オープンソースブログ
- SOAスイートの誘惑に打ち勝つ! ZDNet.com SOAブログ
- 事業継続マネジメントシステム認証制度の賢い作り方(2) ITセキュリティー下学上達
- 米国一般家庭のブロードバンド事情 IP Telephony最前線
- CSKに聞く! ITIL成否を分ける要因「なぜPDCAが回らない!?」 (2) ITIL:インサイドストーリー
注目トピックス From CNET Japan
フォトレポート:分解、アップル「iPhone 3G」 - CNET News.comの姉妹サイトであるTechRepublicは、7月11日に発売されたばかりの「iPhone 3G」を早速分解し、その様子を紹介した。
ちょっと変わった「iPhone」向けアプリケーション10種 - 「iTunes」のApp Storeでは、「iPhone」向けのさまざまなアプリケーションが販売または無償で提供されているが、中にはちょっと変わったアプリケーションも存在する。
契約してわかった、iPhoneのさまざまな注意事項 - 7月11日にソフトバンクモバイルから発売された、アップル製携帯電話「iPhone 3G」。その契約手続きの中で、機種変更時の料金やメールの保存期間など、iPhoneが持つさまざまな注意事項が見えてきた。