Firefox のアップデートプロセスを高速化する方法の一つとして、Mozilla のエンジニアはサイレントアップデート機能の導入を検討しているが、あるセキュリティ専門家はこれは悪い考えだと主張している。
現在、Firefoxは利用可能なアップデートを検出すると通知し、インストールに同意するとブラウザのアップデートプログラムを起動します。このプログラムはアップデートをダウンロードし、Firefoxに適用してブラウザを再起動します。その間、あなたはコンピューター画面に表示されるプログレスバーを指でなぞりながら、ただ待つしかありません。
現在のアップデートプロセスの遅延を回避するため、Firefoxチームは「サイレント」な代替案を検討しています。フォアグラウンドでアップデートを実行するのではなく、アップデートはバックグラウンドでダウンロードされ、新しいディレクトリにあるブラウザのコピーにインストールされます。アップデート完了後、初めてFirefoxを起動すると、古いバージョンのFirefoxが新しいバージョンに切り替わります。「このシナリオでは、UIが表示されないため、Firefoxがアップデートを適用したことに気付かない可能性が高いでしょう」と、FirefoxエンジニアのEhsan Akhgari氏は最近Mozillaブログに書いています。
「このアプローチが問題を解決する理由は、アップデートを適用する実際のプロセスとは異なり、ディレクトリの入れ替えが非常に高速だからです」と彼は付け加えた。
速いけど危険?
ロサンゼルスに拠点を置くパスワード管理ソリューションのメーカー、リーバーマン・ソフトウェアの創設者兼社長、フィリップ・リーバーマン氏によると、それは本当に危険かもしれないという。
「Firefox のバックグラウンド更新を可能にするために、多くの IT セキュリティ システムを再構成する必要があるが、これはそもそも良いことではない。ハッカーが更新システムを破壊し、ユーザーのコンピュータにバックドアからアクセスできるようになる危険性がある」とリーバーマン氏は本日、Business Computing World に書いている。
確かに、サイレントアップデートは消費者にとって便利かもしれないとセキュリティ専門家は指摘する。しかし、同時にハッカーによる悪用も招くだろう。「ハッカーがFirefoxのバックグラウンドアップデートシステムをリバースエンジニアリングし始める可能性は高いと考えているが、もしそうなれば(ここで話題にしているのはオープンソースソフトウェアであることを忘れてはならない)、この自動アップデートの仕組みを破壊してマルウェアを仕込むのは時間の問題だ」と彼は記している。
リーバーマン氏はさらに、今週後半にインドで開催されるカンファレンスで、まだ主流にもなっていないWindows 8用の最初のブートキットが、ホワイトハットハッカーのピーター・クライスナー氏によって実演される予定だと付け加えた。「Windows 8のブートキットを前提とすれば、Firefox 10のようなオープンソースソフトウェアのバックグラウンドアップデーターを破ることは難しくないだろうということは、プログラミングの天才でなくても分かるだろう」とリーバーマン氏は推論した。
彼は、コンピュータの更新プロセスへのアクセスは管理者権限を持つ人に委ねられるべきだと主張している。これは企業システムでは当てはまるが、消費者向けシステムでも当てはまり、所有者がソフトウェアが自分のマシンに及ぼす影響を制御できるようになる。
管理者がアップデートプロセスの制御権を放棄しなければならないという見通しは、管理者とユーザーの両方を激怒させるに違いありません。「そして、これはハッカーによるセキュリティ侵害をバックグラウンドで引き起こすという、非常に明白な理由から、当然のことです」とリーバーマン氏は断言しました。
フリーランスのテクノロジーライター John P. Mello Jr. と Today@PCWorld を Twitter でフォローしてください。
