パスワードを忘れた? アカウント作成

スラドのRSSを取り込んでみよう。

13411180 story
Firefox

Firefox 56ではWebページのスクリーンショット撮影機能が利用可能に 57

ストーリー by headless
撮影 部門より
Firefox 56ではWebページのスクリーンショット撮影機能が全ユーザーで有効になるそうだ(Neowinの記事[1][2])。

スクリーンショット撮影機能はFirefoxで表示中のWebページ専用で、エレメント単位で選択するか、任意の範囲を選択して撮影する。スクリーンショットはローカルにダウンロードするほか、Firefox Screenshotsサイトにアップロードすることも可能だ。Firefox Screenshotsサイトにアップロードした画像は14日間で削除されるが、期限を待たずに削除することもできる。なお、画像は一般公開状態になり、URLを知っている人は誰でも閲覧できるようになるので注意が必要だ。

Firefox 55にはスクリーンショット撮影機能のベータ版が搭載されており、MozillaではFirefox 56のリリース前に最大50%のユーザーで順次有効にしていく計画だという。Firefox 55ですぐに試してみたい場合は、about:configで「extensions.screenshots.system-disabled」をfalseにすれば「Firefox Screenshots」ボタンがツールバーに追加される。このボタンをクリックすると選択モードになるので、ページをドラッグまたはエレメントをクリックして範囲選択する。ページ全体を選択することも可能だ。あとは「ダウンロード」ボタンをクリックするとローカルに保存、「保存」ボタンをクリックするとFirefox Screenshotsサイトにアップロードできる。
13404658 story
マイクロソフト

AppleとGoogleが修正し、Microsoftが修正しなかった脆弱性とは 47

ストーリー by headless
仕様 部門より
Microsoftはセキュリティ脆弱性として報告されたバグをセキュリティ脆弱性ではないなどの理由で修正しないこともあるが、AppleやGoogleが3月に修正したのに対し、Microsoftだけが修正しなかったという脆弱性をCiscoのTalosグループが公表した(Talosのブログ記事TALOS-2017-0306The Registerの記事)。

脆弱性はApple SafariやGoogle Chrome、Microsoft Edgeでコンテンツセキュリティポリシー(CSP)のバイパスが可能になるというもの。攻撃の流れとしてはContent-Security-Policy HTTPヘッダーで「'unsafe-inline'」を有効にし、「window.open()」で空のドキュメント(about:blank)を開く。新しいドキュメントは元のドキュメントと同一生成元だが、CSPが無効化されるため、「document.write」関数でコードを書き込めば同一生成元ポリシーを無視して他のWebサイトからデータを読み取ることができる。

Talosでは脆弱性を発見後、2016年11月29日にMicrosoftに通知したが、Microsoftは今年3月に仕様であり、脆弱性ではないと回答。Talosは再考を促したものの、修正の予定はないとの回答を受けて9月6日に脆弱性を公表した。一方、AppleはiOS 10.3およびSafari 10.1で修正済み(CVE-2017-2419)、GoogleもChrome 57.0.2987.98で修正済み(CVE-2017-5033)だ。'unsafe-inline'によるインラインスクリプトの有効化が問題とする見方もあるが、どのような場合でもクロスサイトアクセスはブロックすべきであるとTalosは主張する。なお、Mozilla Firefoxでは新しいドキュメントが元のドキュメントからCSPを継承するため、同様の問題は発生しなかったとのことだ。
13403809 story
Firefox

11年前にLinux版のFirefox 2で報告されたバグ、Firefox 57で修正へ 35

ストーリー by headless
修正 部門より
11年前にLinux版のFirefox 2で報告された奇妙なバグがFirefox 57で修正されるそうだ(Bug 366945Phoronixの記事)。

このバグはWebページ内の何もない場所をマウスの中ボタンでクリックすると、クリップボードの内容をURLとして開いてしまうというもの。11年前の報告者は、リンクの中ボタンクリックが少し外れると「404 not found」が表示されることになると述べていた。また、Konquerorではクリップボードの内容が有効なURLであるかどうかがチェックされるのに対し、Firefoxではチェックが行われない点も報告者は指摘している。

このような現象が発生する原因は当初からabout:config の「middlemouse.contentLoadURL」がUNIXライクシステムのデフォルトで「true」になっていることが原因と指摘されており、Firefox 3でデフォルトを「false」にするよう求めるコメントもみられる。その後も同様のバグがたびたび報告され、修正を要望するコメントもたびたび付けられていた。それでも修正は行われずに放置されていたが、9月5日になってUNIXおよびAndroidで「middlemouse.contentLoadURL」のデフォルトを「false」にするパッチがコミットされ、Firefox 57で修正されることとなった。
13390736 story
Firefox

Mozilla、Firefoxの使用状況データを匿名化してオプトアウト方式で収集する実験を計画 58

ストーリー by headless
計画 部門より
Firefoxの使用状況データを匿名化し、オプトアウト形式で収集する実験の計画をMozillaのガバナンスグループが発表し、意見を求めている(GoogleグループのトピックNeowinの記事Softpediaの記事The Registerの記事)。

製品の改善のため、ユーザーがよくアクセスするWebサイトや、特定のWebサイトでFirefoxの機能がどのように動作するかといった情報を収集したいという要望は、Firefoxプロダクトチームから繰り返し出ているそうだ。現在はオプトイン方式でこういった情報を収集しているが、偏りのないデータを得るにはユーザーの明確な同意なしに行うオプトアウト方式にする必要があるとのこと。

ユーザーを特定できない形で情報を収集するため、MozillaではGoogle Open Sourceプロジェクトによる差分プライバシーの実装「RAPPOR」の使用を検討しており、ランダムに選択したユーザーに新機能を試してもらうShieldでMozillaのRAPPOR実装のテストを行う計画だという。テストで収集するのはユーザーのホームページ(eTLD+1)で、9月半ばに開始したいとしている。

Googleグループではオプトアウト方式に反発するコメントなど、反対意見も数多くみられる。スラドの皆さんのご意見はいかがだろうか。
13390218 story
Firefox

Windows版Firefox 57、日本語のデフォルトフォントが変更に 67

ストーリー by hylom
MS-Pゴシックも悪くないのだが 部門より

Mozillaの開発者向けフォーラムによると、Windows版Firefoxの日本語デフォルトフォントが現在の「MS Pゴシック」や「MS P明朝」から「メイリオ」やWindows 8.1以降で導入された「游ゴシック」「游明朝」に変更されるという。これは現在ナイトリービルドやFirefox 55のearly Beta版で導入されているとのこと。また、等幅フォントについてはMSゴシックが引き続き使われるようだ。

この変更はWindows版にのみ影響し、他のプラットフォームには影響はないという。

13382234 story
Firefox

Firefox、64ビットWindows環境では64ビット版のインストールがデフォルトに 22

ストーリー by hylom
ついに 部門より
headless曰く、

Mozillaは14日、64ビットWindows環境にFirefoxをインストールする際、デフォルトで64ビット版のFirefoxがインストールされるようになったと発表した(The Firefox FrontierNeowinBetaNews)。

64ビット版のFirefoxを使用することで、32ビット版よりもセキュリティが向上し、クラッシュ発生率は低下する。Firefox 53以降では64ビットWindows環境でStubインストーラーを実行すると32ビット版/64ビット版を選択可能となっていたが、デフォルトでは32ビット版が選択されていた。

現在64ビットWindows環境で32ビット版のFirefoxを使用しているユーザーは、Firefoxを再インストールすることで64ビット版のFirefoxへ移行できる。また、Mozillaは今後のリリースで64ビット版WindowsユーザーのFirefoxをすべて64ビット版に移行する計画だという。そのため、待っていればいずれ64ビット版に自動で移行されることになる。その後も32ビット版を使い続けたいユーザーは、32ビット版のインストーラーを実行すればよいとのことだ。

13373161 story
Mozilla

Mozilla、ファイルアップローダ「Send」をテスト公開 41

ストーリー by hylom
便利そうだが帯域的な心配が 部門より

Mozillaが暗号化機能付きファイル共有サービスサービス「Send」をテスト公開した(Engadget Japanese)。

Sendは最大1GBまでのファイルをWebブラウザ経由でアップロードしてオンラインで共有できる、いわゆるアップローダーサービス。大容量のファイルを特定の人に送信するためのツールで、アップロードしたファイルはファイルがダウンロードされるか24時間経過後に無効になり、ファイルも自動的に削除される。特に登録等は不要で利用が可能だ。

特にアドオンなどは不要で、昨今のWebブラウザすべてで利用できるとのこと。プライバシーに配慮しており、ファイルは暗号化されてアップロードされ、Mozillaもその内容にはアクセスできないという。

13350624 story
Firefox

Firefox 55/56では極端に多くのタブを開いた状態でも高速な起動が可能に 58

ストーリー by hylom
そういう使い方の人もいるだろうなぁ 部門より
headless曰く、

Firefox 55と56では極端に多くのタブを開いた状態での起動時間が大幅に短縮されるそうだ。1,691個のタブを開いているというMozillaの開発者、Dietrich Ayala氏がテスト結果を公開している(The New Firefox and Ridiculous Numbers of TabsOn MSFT)。

ここまで多くのタブを開いている理由は説明が難しいようだが、最近ではFirefoxを起動するのに数分を要していたという。テストではFirefox 20、30、40、50~56を使い、Wi-FiをオフにしたMacBookでページ読み込みエラーが表示されるまでの時間を測定している。Firefox 10も試してみたが、永遠に起動しなかったのでやめたそうだ。

起動時間はFirefox 20で1分半ほどだったのが、以降のバージョンでは分単位で長くなっていき、Firefox 51では8分近くかかっていたようだ。Firefox 52~54では改善されているが、それでも4~5分を要している。これに対し、Firefox 55では15秒で起動したとのこと。結果は棒グラフのみで具体的な数字は記載されていないが、Firefox 56の起動時間も同程度となっている。

また、起動から1分後のメモリー使用量はFirefox 20で1GB強だが、Firefox 30~54では2GB前後まで増加している。しかし、Firefox 55/56では500MB以下まで減少したそうだ。この時点で実際のWebページは読み込まれていないが、1.5GBの差は大きい。

この改善は数多くのタブを開いている場合の起動時間とメモリー使用量を減少させるため、4年前から検討されていたBug 906076の成果だという。Project Quantumのサブプロジェクト、Quantum Flowでも重要な成果として取り上げられている。

なお、2012年にWin64 Firefoxのナイトリービルド停止が決定した際、強い反対にあって継続することになったが、このときに数千のタブを開くためにWin64ナイトリービルドを利用するユーザーの存在が重要な理由として挙げられていた。

13349743 story
ソフトウェア

ヤフー、「Yahoo!ツールバー」の終了を発表 22

ストーリー by hylom
スマホアプリを執拗に勧めるのも止めて欲しい 部門より

Yahoo! JAPANがWebブラウザ用ツールバー「Yahoo!ツールバー」のサービス終了を発表したASCII.jp)。

Yahoo!ツールバーのFirefox版については2015年12月に提供が終了していたが、Internet Explorer版については提供が継続されており、セキュリティソフトにマルウェアと誤判定されるケースもあった。

今回のサービスの終了は近年のインターネット利用環境の変化や、利用状況を踏まえたものとされている。また、現在Yahoo!ツールバーをインストールしている利用者に対してはアンインストールが推奨されている。

13343266 story
DRM

W3C、著作権管理技術EMEの標準化を決定。フリーソフトウェア財団などは反発 45

ストーリー by hylom
W3C外で勝手にやられるよりはマシという判断か 部門より
あるAnonymous Coward曰く、

W3Cは、WWWの生みの親であるティム・バーナーズ=リーの承認を得て、デジタル著作権管理付きコンテンツを再生するためのW3Cの標準仕様「Encrypted Media Extensions」(EME)の導入を決定した。今回の導入が決定したことにより、ユーザーはプラグインなしにコピープロテクションの掛かったコンテンツを閲覧できるようになる(techdirt記事1techdirt記事2FSFの発表1FSFの発表2Slashdot)。

EMEの導入に関してはフリーソフトウェア財団(FSF)や人権団体などが反対を続けてきた。理由としてはHTMLに直接DRMを導入することは、真にオープンなインターネットのあり方に反するものだといったもの。今回の決定に対して控訴手続きも行うという。W3Cの決定に控訴するための仕組みは用意されていたものの、使われてるのは今回が初めてである模様。

なお、EMEはすでにGoogle ChromeやInternet Explorer Safari、Firefox、Edgeなどでサポートされており、これを利用してDRM付きコンテンツをWebブラウザ上での再生できるようにしている動画配信サービスも登場している(The Netflix Tech Blog)。

13338078 story
インターネット

Google、Chrome 61以降でWoSignの証明書をブロックへ 10

ストーリー by hylom
結局ブロックへ 部門より

昨年、中国の認証局「WoSign」で不正なSSL証明書が発行されていたことが明らかになった。これを受けてFirefoxが同社の証明書をブロックする方針を示していたが、GoogleもChrome 61以降で同社およびその子会社のStartComによって発行された証明書をすべてブロックする方針を示している(threatpostCNET Japan)。

この問題が話題になった昨年9月には、すでにChromeではこの仕様変更を導入できる状況ではあったが、大きな変更ということでしばらく様子を見ていたようだ。まずは開発者向け版で導入され、今月末にはベータ版にこの変更が反映されるとのこと。

ChromeはすでにWoSignおよびStartComへの信頼を段階的に取り消しつつあり、現在は2016年10月21日以前に発行された証明書のみ信頼しているという。

13311827 story
Firefox

マルチプロセスを有効化したFirefox 54.0リリース 33

ストーリー by hylom
巻き返せるか 部門より
KAMUI 曰く、

アメリカ時間の6月13日、Mozilla Firefoxの最新安定版であるFirefox 54.0がリリースされた(Mozilla.orgによるリリースノートOSDN Magazine)。

今回の最大の注目点は長らく開発が進められ、Firefox 48から一部のユーザーに対してのみ有効にされてきたe10s(マルチプロセス化)が全ユーザーに対して有効になったこと。これによってウェブサイトを閲覧した際に複数サイトでの処理が影響しあってブラウザ本体を不安定にする問題が改善されたという。これに伴ってパフォーマンスも改善し、速度も向上したとのこと。なお、マルチプロセス化で先行するGoogle Chromeではやたらとメモリを喰う問題があるが、Firefoxではコンテンツプロセスの数を4つに制限することでメモリ使用量との折り合いを付けている。

また、同時に重要度「最高」を含む32件の脆弱性への対処が行なわれている。

13287140 story
Chrome

WindowsのSCFファイルをGoogle Chromeでダウンロードさせ、SMB認証情報を取得する攻撃 29

ストーリー by headless
認証 部門より
Windowsのシェルコマンドファイル(.scf、SCFファイル)とGoogle Chromeの組み合わせにより、SMB認証情報を取得する攻撃手法をセキュリティ企業のDefenseCodeが公開している(DefenseCodeの記事Threatpostの記事The Registerの記事Softpediaの記事)。

SCFファイルはWindows 98で導入され、主にクイック起動ツールバーの「デスクトップの表示」で使われていた。SCFファイルの内容はINIファイルと同様のテキストファイルで、セクションごとに値の名前と値のデータの組み合わせが記述されている。ファイルのアイコンは「Shell」セクションの「IconFile」で指定するのだが、アイコンをUNCパスで指定した場合、アイコンの保存されたフォルダーをエクスプローラーで開く際に、指定されたリモートサーバーへSMB認証情報が送られる。そのため、攻撃者が自分の支配下にあるサーバーのIPアドレスを指定すれば、ターゲットのユーザー名とNTLMv2パスワードハッシュを取得することが可能となる。パスワードハッシュはオフラインでクラックするほか、SMBリレー攻撃に使用することも可能だ。

一方、Google Chrome側の問題は、デフォルトでファイルのダウンロード先を確認せずにダウンロードが実行される点だ。そのため、攻撃用に細工したSCFファイルのリンクをChrome上でクリックさせれば、ファイルがユーザーの「ダウンロード」フォルダーに保存される。このフォルダーをユーザーが開いた時点で、攻撃者はSMB認証情報を取得できることになる。Windowsのショートカットファイル(.lnk、LNKファイル)もSCFファイルと同様の動作をするが、ChromeではStuxnetの感染が問題になった際にLNKファイルをサニタイズする仕組みが導入されているとのこと。
13281809 story
インターネットエクスプローラ

IE11とEdgeでもついにSHA-1証明書使用サイトをブロックへ 5

ストーリー by hylom
EOL 部門より

5月9日にリリースされたInternet Explorer 11およびEdge向けアップデートでは、SHA-1ベースの証明書を使用しているWebサイトをブロックする措置が導入された(ITmedia)。

このような証明書は「無効な証明書」として扱われ、使用しているサイトを閲覧しようとした場合警告が表示されてページがロードされなくなるという。

暗号化などに使われるハッシュ関数「SHA-1」は、現在では十分な安全性を有していないとして電子証明書などでの利用が推奨されない状況となっている。そのため、FirefoxやChromeなどではすでにサポートが廃止されている。

13280289 story
インターネット

ChromeやFirefoxをそのままUWP化してもWindowsストアでは公開できない 57

ストーリー by headless
障壁 部門より
Microsoftが先日発表したWindows 10の新エディション「Windows 10 S」では既定のWebブラウザーがMicrosoft Edgeに固定されており、変更できない。MicrosoftはどのようなWebブラウザーでもWindowsストアで公開されていれば実行できると述べているが、Google ChromeやMozilla Firefoxが実行できるようになる可能性は低いようだ(MSPoweruserの記事BetaNewsの記事The Vergeの記事On MSFTの記事)。

Windowsストアポリシーの10.2.1には「Web を閲覧するアプリでは、Windows プラットフォームによって提供される適切な HTML エンジンと JavaScript エンジンを使用する必要があります。」との記載がみられる。つまり、ChromeやFirefoxをUWP化しただけではWindowsストアで公開できないことになる。このような項目はこれまで存在しなかったが、変更履歴によれば、1月17日のドキュメントバージョン7.2で追加されたようだ。

ストアポリシーの変更についてMicrosoftでは、ユーザーの安全を保つためだとし、他のストアで入手したアプリが使いたいユーザーはWindows 10 Proにいつでも変更できると述べているとのことだ。

なお、NetApplicationsの4月分デスクトップブラウザーシェアデータによれば、1位のChromeが59%を占めており、以下IE(18.40%)、Firefox (11.80%)、Edge(5.62%)、Safari(3.44%)の順になっている。StatCounterではChromeが63.45%。以下全バージョン合計でFirefoxが14.5%、IEが9.00%、Safariが5.18%となっており、Edgeのシェアは3.72%にとどまる。
typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...