脆弱性なのか仕様なのか…、微妙な解釈の違い
問題とされているのはSafariでのファイルダウンロード処理に関するもので、『Safariではファイルをダウンロードする際に通知を出さない』ところにあるらしい。
FirefoxやInternet Explorerではファイルがダウンロードされようとした時にダイアログが出る。これが出る事により、ユーザの与り知らぬところでファイルがダウンロードされる事を防ぐ事が出来る。このような仕組みがSafariには無いから危険だと言っているわけだが、指摘している側は『脆弱性』と言い、一方のAppleは『仕様』だと言っている。つまりセキュリティーホールではないということなのだが…。
面白い事にMac OS X専用ブラウザのSafari(当初)とCaminoはもともとダウンロードの確認を促す仕組みが設けられていない。どちらもダウンロードはダイレクトに処理される。しかしFirefoxやOperaなどWindows環境とともに配布されているブラウザにはダウンロードの確認を促す仕組みが設けられている。これはブラウザとOSのどちらに重要な堤防を設けているかという考え方の違いによるものかもしれない。
Mac OS XにのみSafariを提供していた頃はこの認識のままで居ても殆ど実害に結びつく事はなかったかもしれないが、Windowsにも提供するとなると根本的に認識を改める必要がAppleにはあるのかもしれない。確かに仕様と言われれば仕様だし、セキュリティーホールじゃないと言われればそんな気もしてくるが、どっちにしてもこのままの状態はあまり安全な設計でないので、Appleには改善してもらうよう努力して欲しい。
最後に、興味のある方はちょっとテストしてみると良い。下のリンクをクリックすると別のページが表示されるのだが、Safariだと勝手にファイルがダウンロードされるが、Firefoxなどではダウンロード処理が発生した瞬間にダイアログが出るはずだ(ダウンロードファイルはテスト用に作った無害な圧縮ファイルなので安心して下さい)。
【テスト】テストを実行してみる:実害はありません