Operaは安全……か?
Thursday, 1. February 2007, 17:01:52
the 200ok weblogというサイトにWebブラウザのセキュリティ脆弱性の数とその修正済みの物の割合をまとめたエントリが掲載されています。
それをOpera WatchのDanielが見やすくまとめているので、こっちにも転載させてもらいます。
そのリストがこちら。
Browser patches between Feb 2003 and Jan 2007:
- IE6 - 67% patched (out of 110 reported bugs).
- IE7 - 25% patched (out of 4 reported bugs).
- Firefox 1 - 87% patched (out of 39 reported bugs).
- Firefox 2 - 50% patched (out of 4 reported bugs).
- Opera 8 - 100% patched (out of 15 reported bugs).
- Opera 9 - 100% patched (out of 3 reported bugs).
- Safari 1 - 93% patched (out of 15 reported bugs).
- Safari 2 - 33% patched (out of 6 reported bugs).
このリストを見てみると……おお! 唯一Operaだけが100%修正済みとなっているじゃないか! 四年間を通じて常に完璧な状態を保っているなんて!! すごい!! なんてすばらしいんだOperaは!!!
……と、思いたくなるのですが、実はこのデータには裏があるんですね。
いやDanielに非は全くないんですが、そのリストのソースであるSecuniaのデータには、嘘とは言えないものの、ちょっと問題があります。
実際にSecuniaでOpera 8のVulnerability Reportのページを見てみましょう。なるほど、確かにSolution Statusは100% patchedになっている。報告されたセキュリティ脆弱性は全て修正済みという事ですね。
では今度は、個々のAdvisoryのページを見てみましょう。例えば半年前に報告されたOpera 8の脆弱性Opera JPEG Processing Integer Overflow Vulnerabilityはどうでしょうか。もちろんこちらも修正済みとなっていますね。……しかし、Solutionの項目をよく見てください。Upgrade to version 9.0.
と書いてあります。
これって変じゃないですか? Opera 8の脆弱性の話をしていたのにOpera 9にアップグレードすれば解決するからOpera 8の脆弱性は修正済みだということですよね。そんなものなんでしょうか?
確かに、セキュリティ脆弱性の少なさから見ても、それの修正の速度から見ても、フィッシング防止等の機能や、あえて拡張性を制限する強固な仕様から見ても、Opera 9は世に存在する視覚系User Agent中最高レヴェルの安全性を誇ると断言していいけれど、Opera 8には問題がまだ残っているという点は見逃してはならないでしょう。
なるほど、Opera 8とOpera 9はヴァージョンナンバこそ違えども、本質的には同じ物だから一緒に考えてもいいという意見もあるでしょう。が、だったら他のWebブラウザだって同じことです。
いや、私はSecuniaが不誠実だとかOperaが危険なWebブラウザだとかと言いたいのではなくて、Opera 8が危険な状態にあるのを知っているにも関わらず政治的に都合がいいからといって黙っていたとするならば、今もOpera 8を使い続けているユーザのためにもならないし、もしそのユーザが実際に何らかの被害を受けたとすれば、Opera Softwareにも不利益になるんじゃないかということを言いたいんです。
ここでもう一つ問題にしたいんですが、Danielも少しふれていますが、Operaのまずい点に自動更新機能がないということがあります。
なんだそんなもの、Operaのアップグレードなんてインストーラをダウンロードして「次へ」を押すだけじゃないか、と思われるかもしれませんが、それは日常的にPCを触っている人の意見であって、一般的なユーザはいちいちそんな面倒なことはしませんよ。ちょっとYouTubeやmixiを三十分くらい見たいだけなのに、なんだかわけのわからんアップグレードしますかとかなんとか書いてあるダイアログを出されても、そんなもん無視するに決まってるじゃないですか。
最新版のOperaは安全だといくら言っても、ユーザが誰もアップグレードしないのなら全く意味がないどころか、脆弱性が知れ渡っているという点から考えれば、旧ヴァージョンを使い続けることによって極めて危険となりかねない。
Operaは本当にほれぼれするほどよくできている。良いソフトウェアだと思うし、最高峰の安全性を誇っている。ただし、そこには最新版をちゃんと追いかけて使い続ければという条件が付いてしまう。偉そうなことを言うようですが、Opera Softwareもその辺をちゃんとアナウンスすべきですし、もっとアップグレードを積極的に促すべきなんじゃないかと思います。
現状、総合的に考えて、Operaは安全かと問われれば、なんとも言えないと答えざるを得ません。
WIDGETIZE
さとる # 2. February 2007, 13:00
Opera社がすべき対応は、Winデスクトップ版Opera1~8までを
Opera9と同じ状態にバグfixする事ではなくて、「古いバージョンは
サポート終了したので最新バージョンをお使い下さい」と強くコメントする事
だと思います。古い全てのバージョンを、永遠にサポート続行しようとしている
ソフトウェア・メーカーは存在しないと思いますので。
ユーザー側からは、古いバージョンを何時までもサポート対象にして欲しいと要望するより、
Opera9になってから失われたOpera8の長所を新バージョンに復活させて欲しいと、
強く要望した方が建設的だと思います。
>Operaのまずい点に自動更新機能がないということがあります。
これは、あった方が良いと思います!
Watanabe # 2. February 2007, 18:22
なんだか妙に嬉しいですw
> Opera社がすべき対応は、Winデスクトップ版Opera1~8までを
> Opera9と同じ状態にバグfixする事ではなくて、「古いバージョンは
> サポート終了したので最新バージョンをお使い下さい」と強くコメントする事
> だと思います。
ホントにそう思います。
Opera Mobileについてはjp.opera.comのトップページでアップグレードを積極的に促しているのに、デスクトップ版でそれをしていないのはなんだか変だなと。
Operaに自動更新機能が付けば解決の一助となるのではないかなとも思うんですが。
> ユーザー側からは、古いバージョンを何時までもサポート対象にして欲しいと要望するより、
> Opera9になってから失われたOpera8の長所を新バージョンに復活させて欲しいと、
> 強く要望した方が建設的だと思います。
全くその通りですね。
また、Opera Softwareに要望を出す以外にも、ユーザコミュニティができる事も色々とあると思いますので、その辺を今後やっていけたらいいなと考えています。