スクリプト無効は万人にオススメできるのか
2009年5月31日(日曜日)
スクリプト無効は万人にオススメできるのか
更新: 2009年6月1日12時7分頃
「NoScript」をやめて「RequestPolicy」にした (takagi-hiromitsu.jp)。見出しはFirefox拡張機能の話に見えますが、話の内容としては「スクリプト無効は万人にオススメできるのか?」という話ですね。
ある脆弱性が発見されてパッチがまだ出ていないときに、回避策としてJavaScriptのオフが紹介されることがよくあるが、それはその脆弱性についての回避策(の一つ)であって解決策ではない。そこを混同させて語るのはやめてもらいたい。
確かによくありますね。IPAの「ブラウザ(Internet Explorer等)のセキュリティ設定をする (www.ipa.go.jp)」も無効にする方法を説明していますし、ITProのセキュリティ検定も「スクリプト無効で攻撃が防げる」などと言っていました。
しかし実際のところ、スクリプト無効でのブラウザの運用は大変です。スクリプト無効で残念なことになるサイトは多く、そういうサイトでどうしたら良いのか、きちんと分かっていなければ困るはずです。
もっとも、スクリプト必須のサイトでは、スクリプトを有効にするための設定方法を説明してくれていることが多いでしょう。ですから、サイトの説明に従えば問題ない……と言いたいところですが、その説明に問題があることも多いので困ります。うっかり説明に従うと、インターネットゾーンで「スクリプトによる貼り付け処理」なんかを有効にさせられて、初期状態よりセキュリティが弱くなってしまうことになりかねません。
分かっている人が自分の意思でスクリプトを無効にする分には問題ないと思いますが、誰にでもオススメできるものではないと思うのですよね。
※ちなみに、かく言う私は普段スクリプトもActiveXも無効にしていて、真っ白だと文句を言う係です。会社に一人はこういう人がいた方が良いと思うので。
- 「スクリプト無効は万人にオススメできるのか」へのコメント (3件)
- 前(古い): ぶんどり君
- 次(新しい): 情報セキュリティ白書2009
