加藤(大阪)です。 mozilla に新たに見いだされたバグとして、FTP View機能の、クロスサイト・ スクリプティング脆弱性が指摘されています。この穴を突かれると、クッキーを 抜かれるだけでなく、FTP View画面に、偽のFTP Viewを埋めこまれる、つまり 望んだ物ではないファイルをダウンロードさせられる可能性も有る、という、 かなりコワイものです。(詳細は下記 url で) http://slashdot.jp/article.pl?sid=02/08/04/1520218 http://www.geocities.co.jp/SiliconValley/1667/advisory03.html 取り敢えず回避方法として、「Mozilla 1.1 Betaを使用する」、「JavaScript を無効に設定する」、が紹介されているようです。 Sun, 04 Aug 2002 11:51:39 +0900 付 Masa Takahashi <masa@xxxxxxxxxxxxxxxxxxx> さんのメールより: > 私の様にMLも見ているし、apt-getも使うけどVineSeedには関らないというユー > ザーもおります。 > > 以前にmozillaの別のセキュリティの件でMLにmailした時に(他の方から)いただ > いた返信の感じでは、遠くない将来にmozilla1.0がVineSeedではないapt-getで > リリースされるのかな? と思いこんでおりましたので、ず〜っと0.98のまま使い > 続けておりましたが、もしかして、これってとても危険な事だったのですかね? > #私の様にVineSeedを利用しないユーザーもいるかと思うのですが....... 政さんのように、安定版だけでなんとかやって行けたら、と言う気持も良く分り ます。自分の場合も apt で VineSeed を enable にするかどうかに付いては、少 なからず悩んだ憶えが有ります。 そこで Vine Project の方々への提案(と言うよりお願い)ですが、現在 0.98 ベースの main を 1.0x ベースに、1.0 ベースの seed を 1.1 ベースにシフト して頂けないでしょうか。その方が安定版:開発版という枠組上 mozilla の 現状により近く、メンテナンスもしやすいように思うのですが。 --- 加藤 雅 <mkato@xxxxxxxxxxxxx>