アカウント名:
パスワード:
自己責任でどうぞ臨時の回避策about:config"xpinstall.signatures.required"True を Falseに変更。Firefox 再起動Android8.0 Firefox 66はこれで復旧しました。
しかし、セキュリティ対策の施策に障害があった場合に、それを無効にすることで対処するというのは、セキュリティ的にどうなのだろうか。
# 使いたいソフトが、セキュリティソフトから嫌疑をかけられているとして、# セキュリティソフトを停止させて使うものだろうか?
個別に除外する方策が提供されてなければ、仕方なくやるかもしれないね。
インストール済みも含めてアドオンが全て無効になる、という挙動は困りましたせめてインストール済みは警告表示のまま使い続けられるようにしてほしい
これ、Windowsのデバイスドライバのデジタル署名とかはどうなんだろう中間証明書の有効期限切れで、ある日突然ドライバが削除されるとか起きたら悲惨
一応、テストモード [microsoft.com]が存在しますが、テストモードと表示される上にセキュアブートを無効化しないといけない等めんどうです。
しかし、アドオン無しだと、アクセスしたサイトのジャバスクが自分のパソコンで勝手に実行されるんだよ?それどころか、広告ブロッカーも当然無効なので、スラドにアクセスしただけでも数十ものドメインからiframeやジャバスクがロードされてそれが実行されてしまう万が一にもゼロデイ攻撃でサンドボックスが突破されたら権限昇格で任意のコードが実行されてしまうこんな恐ろしい事はない
スラドを開いたとき、Firefoxの障害でアドオンが無効になっていたため、訳の分からない広告が山ほど表示され、ネットワークモニターに追いきれない
JavaScriptや画像表示の無効化ぐらいは最低限のセキュリティ機能なのだから、IEやGoogle Crhomeのようにデフォルトでできるようにしていただきたいものです。アドオンが無いとJavaScriptすら無効化できない今のFirefoxは絶対におかしいです。
両方ともFirefox単体でできますよ。JavaScript無効化はjavascript.enabledをfalseに、画像読み込み無効化はpermissions.default.imageを2に [mozillazine.org]するだけです。
もっと簡単に設定できるようにしろという主張なら分からないでもないですが、殆どのユーザーは必要としない設定ですし、現状でも妥当だと思います。
いやスクリプトの有効無効切り替えはabout:configで可能だから。アドオンはjavascript.enabledを切り替えてるだけ。
> アドオンはjavascript.enabledを切り替えてるだけ。それはないでしょ。それだとドメイン毎にON/OFFできないから使い物にならないはず。
この検証機能は、一度インストールしたユーザーが継続して認証し続けるか?というものだけではなく、新規にインストールする際に最低限のチェックを通過したか?を確認するものでは(もし、そうでないならハッシュだけを掲載すれば良いだけだし)?
公式が言った訳では無いですが、事象としては何処かの国のオレオレ証明書の対処と近いものがありますし [takagi-hiromitsu.jp]、公式すらそのように対処しなくてはいけない状況に陥らせるなら、そのせきゅりてぃに意味はあったの?とは思います。
セキュリティは至上命題ではないよ。むしろ、いかにユーザに意識させないで向上させるかが頭の使いどころ。機能に障害を起こすようなら、やり方がまずいんだ。
まず証明書の管理がされていないところ、そして証明書期限が過ぎていたときにいきなり無効にするところ、まずかったと思うね。でたらめな証明書だったのならともかく、過去には正しい証明書だったのなら、期限が切れていると警告を出す程度で十分だった。
そして証明書じゃ拡張機能を開発している人間に悪意があったとか、乗っ取られていたとかは検出できないのだから、それほど重要視するものでもない。いくつかある判断材料の一つで十分で、そういう材料がある程度そろったならそのとき無効にすればいい話。スパム判定だって一つの要素だけですぐアウトにはしないもの。
これでまたChromeの覇権に拍車がかかることになりそうだけど、しょうがないよね。自分で自分の首を絞めているのだから。
元々Firefoxにはブラウザ戦争の大勢に影響を与えるほどのユーザーは残っておらんのだ。
そもそもセキュリティ対策として機能してたの?証明書の期限が切れるまで気付かないのって、誰も検証のプロセスを気にしてなかったからでしょう。
それは、証明書の期限切れでセキュリティに関連するアドオンまで無効化したFirefoxの中の人に言ってあげてください
書き忘れました。Add-Onは再インストールが必要かも
Android 7.0 / Firefox 66 ですが、アドオンの再インストールも、Firefoxの再起動も不要でしたアドオンを削除しなかったからかな?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
Firefox Add-on が37564であせった (スコア:3, 興味深い)
自己責任でどうぞ
臨時の回避策
about:config
"xpinstall.signatures.required"
True を
False
に変更。
Firefox 再起動
Android8.0 Firefox 66
は
これで復旧しました。
Re:Firefox Add-on が37564であせった (スコア:4, すばらしい洞察)
しかし、セキュリティ対策の施策に障害があった場合に、
それを無効にすることで対処するというのは、
セキュリティ的にどうなのだろうか。
# 使いたいソフトが、セキュリティソフトから嫌疑をかけられているとして、
# セキュリティソフトを停止させて使うものだろうか?
Re: (スコア:0)
個別に除外する方策が提供されてなければ、仕方なくやるかもしれないね。
Re: (スコア:0)
インストール済みも含めてアドオンが全て無効になる、という挙動は困りました
せめてインストール済みは警告表示のまま使い続けられるようにしてほしい
これ、Windowsのデバイスドライバのデジタル署名とかはどうなんだろう
中間証明書の有効期限切れで、ある日突然ドライバが削除されるとか起きたら悲惨
Re: (スコア:0)
一応、テストモード [microsoft.com]が存在しますが、テストモードと表示される上にセキュアブートを無効化しないといけない等めんどうです。
アドオン無しの方が恐ろしい (スコア:0)
しかし、アドオン無しだと、アクセスしたサイトのジャバスクが自分のパソコンで勝手に実行されるんだよ?
それどころか、広告ブロッカーも当然無効なので、スラドにアクセスしただけでも数十ものドメインからiframeやジャバスクがロードされてそれが実行されてしまう
万が一にもゼロデイ攻撃でサンドボックスが突破されたら権限昇格で任意のコードが実行されてしまう
こんな恐ろしい事はない
スラドを開いたとき、Firefoxの障害でアドオンが無効になっていたため、訳の分からない広告が山ほど表示され、ネットワークモニターに追いきれない
IEやGoogle Chromeを見倣ってほしい (スコア:0)
JavaScriptや画像表示の無効化ぐらいは最低限のセキュリティ機能なのだから、IEやGoogle Crhomeのようにデフォルトでできるようにしていただきたいものです。
アドオンが無いとJavaScriptすら無効化できない今のFirefoxは絶対におかしいです。
Re:IEやGoogle Chromeを見倣ってほしい (スコア:1, 参考になる)
両方ともFirefox単体でできますよ。
JavaScript無効化はjavascript.enabledをfalseに、
画像読み込み無効化はpermissions.default.imageを2に [mozillazine.org]
するだけです。
もっと簡単に設定できるようにしろという主張なら分からないでもないですが、殆どのユーザーは必要としない設定ですし、
現状でも妥当だと思います。
Re: (スコア:0)
いやスクリプトの有効無効切り替えはabout:configで可能だから。
アドオンはjavascript.enabledを切り替えてるだけ。
Re: (スコア:0)
> アドオンはjavascript.enabledを切り替えてるだけ。
それはないでしょ。
それだとドメイン毎にON/OFFできないから使い物にならないはず。
Re: (スコア:0)
この検証機能は、一度インストールしたユーザーが継続して認証し続けるか?
というものだけではなく、新規にインストールする際に最低限のチェックを通過したか?を確認するものでは
(もし、そうでないならハッシュだけを掲載すれば良いだけだし)?
公式が言った訳では無いですが、事象としては何処かの国のオレオレ証明書の対処と近いものがありますし [takagi-hiromitsu.jp]、
公式すらそのように対処しなくてはいけない状況に陥らせるなら、
そのせきゅりてぃに意味はあったの?とは思います。
Re: (スコア:0)
セキュリティは至上命題ではないよ。むしろ、いかにユーザに意識させないで向上させるかが頭の使いどころ。機能に障害を起こすようなら、やり方がまずいんだ。
まず証明書の管理がされていないところ、そして証明書期限が過ぎていたときにいきなり無効にするところ、まずかったと思うね。でたらめな証明書だったのならともかく、過去には正しい証明書だったのなら、期限が切れていると警告を出す程度で十分だった。
そして証明書じゃ拡張機能を開発している人間に悪意があったとか、乗っ取られていたとかは検出できないのだから、それほど重要視するものでもない。いくつかある判断材料の一つで十分で、そういう材料がある程度そろったならそのとき無効にすればいい話。スパム判定だって一つの要素だけですぐアウトにはしないもの。
これでまたChromeの覇権に拍車がかかることになりそうだけど、しょうがないよね。自分で自分の首を絞めているのだから。
Re: (スコア:0)
元々Firefoxにはブラウザ戦争の大勢に影響を与えるほどのユーザーは残っておらんのだ。
Re: (スコア:0)
そもそもセキュリティ対策として機能してたの?
証明書の期限が切れるまで気付かないのって、誰も検証のプロセスを気にしてなかったからでしょう。
Re: (スコア:0)
それは、証明書の期限切れでセキュリティに関連するアドオンまで無効化したFirefoxの中の人に言ってあげてください
Re: (スコア:0)
自己責任でどうぞ
臨時の回避策
about:config
"xpinstall.signatures.required"
True を
False
に変更。
Firefox 再起動
Android8.0 Firefox 66
は
これで復旧しました。
書き忘れました。
Add-Onは再インストールが必要かも
Re: (スコア:0)
Android 7.0 / Firefox 66 ですが、アドオンの再インストールも、Firefoxの再起動も不要でした
アドオンを削除しなかったからかな?