墜落日記 - 2008年6月2日の墜落

安全神話は崩れるためにある

Apple Safari の安全神話は完全に崩れた。

と言うか、最初からそんな馬鹿げた神話を信じる馬鹿がいたことの方が驚天動地という気もするが、なんにしろ Apple Safari の安全神話は完全に崩れた。

こちら、Windows 上で Safari を標準設定で使っているとリモート攻撃が可能になると言う問題である。
これは Safari の「ダウンロードしたファイルの保存先」の設定を標準の「デスクトップ」にしたままにしていると起こるらしい。
これに先日公開されたマルウェアがデスクトップを埋め尽くす「じゅうたん爆撃」のセキュリティホールを組み合わせると凄いことになりそうな気がする。
ちなみに Apple は「じゅうたん爆撃」をセキュリティホールと認めていないようだが、どう考えても紛うことなくセキュリティホールである。

ちなみに自分はこの「ダウンロードしたファイルの保存先」がデスクトップか、その他の一箇所かという、どちらにせよ固定されてしまう仕様バグがどうしようもなく嫌いだ。
これが治らない限り、どこの誰が何と言おうと自分は Safari をメインで使うブラウザの候補に挙げることは断じてない。

ま～それはいいとして。

Mac OS X が出た当時、Apple 信者は Windows のセキュリティを扱き下ろし、自分達が使っている Mac OS X が如何に優れたセキュリティで実装されているかを強調していた。
貴方がもしセキュリティ専門家ならば指差して嗤っただろう。

お前らは相手にされていないだけだ、と。

で、実際そうなった。
１日目から安全と謳った Safari は公開初日にバカスカとセキュリティホールが見付かって、それが０日目であることを自ら証明した。
で、今回コレである。

と、言うわけで。
最初から信じてなどいなかったが Apple Safari の安全神話は完全に崩れた。
ただ、これは Apple Safari がやっとクラッカーやセキュリティ研究者に注目してもらえる程度にシェアが伸びたということであり、もちろん Firefox も似たような道を通っている。
遠からず Linux もこの洗礼を受けよう。
だからこれは Apple が絶望的なまでにダメダメだという意味ではない。
しかし Apple の対応を見る限り、この分だと iPhone も (Apple と iPhone 共に) セキュリティ対策的に成熟して、謙虚にセキュリティ報告に耳を傾けて対応するようになるその時まで危なっかしくて使えないかもしれない。

セキュリティに絶対はない。
安全神話はあり得ない。

別に自分は Apple と Safari が嫌いというわけではないし、WEB 標準の実装を競う選択肢が多く存在することにも大賛成だ。
Apple には今後更なる謙虚な姿勢でセキュリティ問題に対処して貰いたいと思う。

―――ただ、ことセキュリティに関して大言壮語はやめた方が良いよ、とは思うけどね(汗々)