パスワードを忘れた? アカウント作成

ログインするとコメント表示数や表示方法をカスタマイズできるのを知っていますか?

13171107 story
暗号

SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」 45

ストーリー by headless
粉砕 部門より
オランダ・CWI AmsterdamとGoogleの研究チームは23日、SHA-1ハッシュ値の衝突を現実的な時間で生成する攻撃手法「Shattered (SHAtterd)」を発表した(CWIのニュース記事Google Security Blogの記事Phoronixの記事Ars Technicaの記事論文: PDF)。

Shattered攻撃は多数の暗号解析技術を組み合わせたもので、同じSHA-1ハッシュ値を持ち、内容の異なる2つのPDFファイルの生成などが可能だ。高速といっても263回の試行が必要となり、攻撃の第1フェーズは6,500 CPUで1年間、第2フェーズは110 GPUで1年間を要する。それでもブルートフォース攻撃と比較すると10万倍以上高速だという。shatterd.ioではPoCとして、同じSHA-1ハッシュ値で内容の異なる2つのPDFファイル (PDF 1/PDF 2)を公開している。また、Shattered攻撃で使われているPDFかどうかを確認するテスター機能もWebページ上で提供される。研究チームではShattered攻撃がきっかけとなってSHA-1の危険性に対する認知度を高め、より安全なSHA-256などへの移行が進むことを期待しているとのこと。

SHA-1の危険性は何年も前から指摘されており、現在も文書の署名やHTTPS証明書、バージョン管理システムなど幅広く使われている。ただし、SHA-1のHTTPS証明書に関しては、CA/Browser Forumが2016年1月1日以降発行を禁じている。Googleでは2014年リリースのChrom 39からSHA-1証明書の廃止を進め、今年1月リリースのChrome 56でSHA-1のサポートを終了した。Firefox 51も昨年11月のリリース以降、SHA-1証明書を無効化するユーザーを徐々に増やしていたが、24日で移行を終了したそうだ。Firefox 52ではデフォルトで無効化される。一方、MicrosoftはInternet Explorer 11/Microsoft EdgeでSHA-1証明書を使用するWebサイトをブロックする計画だったが、2017年半ばまで延期する方針を22日に発表している。

なお、ShatterdのソースコードはGoogleの脆弱性公表ポリシーに従って90日後にリリースされるが、既に影響が出ているようだ。WebKitのリポジトリはPoCのPDFファイル2本がアップロードされたことで障害が発生したという。Apache SVNは重複ファイルの検出にSHA-1を使うため、正常に動作しなくなったようだ。
13146393 story
Firefox

Mozilla、Firefox OS関連部署をついに解散 59

ストーリー by hylom
1年の猶予という感じだったのだろうか 部門より

昨年MozillaがFirefox OSの開発を終了し、またFirefox OS採用商用デバイス関連の開発からも撤退することが明かされていたが、このたびMozillaはFirefox OS開発部署を解散させたとのこと(CNET JapanGIGAZINE)。

Firefox OSに携わっていた従業員は一部は別の部門に異動となり、一部は解雇となるようだ。

13140073 story
Mozilla

Firefox / Thunderbird 52.0ベータ版が公開 18

ストーリー by hylom
次のESR 部門より
あるAnonymous Coward曰く、

3月7日(米国時間)のFirefox / Thunderbird 52.0のリリースを前に、それぞれのベータ版が公開されました。52.xは延長サポート版(ESR)でもあるため、ぜひテストへ参加してバグ報告をお願いします(Firefox 52.0ベータ版のリリースノートThunderbird 52.0ベータ版のリリースノート)。

動作環境は、Thunderbird 52.xもFirefoxと同じくWindows Vista / XPで動作する最後のバージョンになりそうです。Thunderbird 53でも、意図的に動作しないよう変更されています(Mozillaの公式ブログ)。

また、影響はほとんどないと思いますが、ThunderbirdにはFirefoxと同じようにプラグインなどの変更が行われています。そのほかThunderbird 52.0では、他言語版に合わせて日本語版も送信メール本文の既定のテキストエンコーディングがUTF-8に変更されました。Thunderbird 45.xまでの既定値はISO-2022-JPでしたが、ヘッダーはUTF-8固定されていたので、UTF-8に対応できていない環境はThunderbirdから送られてきたメールの件名などが文字化けし、すでに問題を把握していると思います(Mozilla JapanによるIssues:Thunderbird/SeaMonkey の既定のテキストエンコーディングを UTF-8 に変更する)。

日本語UIに関しては表記ルールが改訂され、長音付加などが行われました。ユーザーマニュアルなどの作成では、注意が必要です(もじふぉ)。

13136135 story
Windows

Windows 8.1/10ではサードパーティーのアンチウイルス製品を避けるべき? 112

ストーリー by headless
安全 部門より
Mozillaの元開発者 Robert O'Callahan氏が、Microsoft以外のアンチウイルス製品は使用すべきではないと主張している(Eyes Above The Wavesの記事Ars Technicaの記事The Registerの記事Softpediaの記事)。

これはGoogleのJustin Schuh氏が昨年、安全なブラウザーを出荷する最大の障害はアンチウイルスだと指摘した一連のツイートに呼応するものだ。O'Callahan氏はMicrosoft以外のアンチウイルス製品がセキュリティーを改善するとの証拠はほとんどなく、むしろセキュリティーを低下させると主張する。

たとえば、Firefoxに初めてASLRを実装した際、多くのアンチウイルスベンダーがFirefoxのプロセスにASLRを無効化したDLLをインジェクトして台無しにしたという。また、アンチウイルスソフトウェアはFirefoxのアップデートを何度もブロックしており、開発者はアンチウイルスに起因する問題に対処するために多くの時間を無駄にしていると述べている。

GoogleのProject Zeroで指摘されるようなアンチウイルス製品のバグは、開発者が一般的なセキュリティープラクティスを守っていないことを示すものだが、(おそらく最近のGoogleを除く)ソフトウェアベンダーは問題解決にアンチウイルスベンダーの協力が必要なため、声を大にして指摘できないとのことだ。

なお、Windows 7やWindows XPの場合はサードパーティーのアンチウイルス製品を使用することで、少しはましになるかもしれないともO'Callahan氏は述べている。つまり、Windows 8.1/10では標準のセキュリティー対策機能のみを使用すべきということだ。スラドの皆さんはどう思われるだろうか。
13135812 story
暗号

FirefoxとChrome、パスワード入力フィールドを含むHTTP接続のページで警告を表示 23

ストーリー by headless
警告 部門より
今週リリースされたMozilla Firefox 51とGoogle Chrome 56では、パスワード入力フィールドを含むHTTP接続のページを表示すると警告が表示されるようになっている(The Vergeの記事Ars Technicaの記事9to5Googleの記事Softpediaの記事)。

これまでのバージョンではFirefox、Chromeともに、パスワード入力フィールドの有無にかかわらずHTTP接続のページでアドレスバー左端の情報アイコンをクリックすると接続が安全でない旨表示されていた。Firefox 51では、パスワード入力フィールドを含むHTTP接続のページを表示すると、情報アイコンの右側に赤い斜線の入った錠前アイコンが追加される。これらのアイコンをクリックすると、接続が安全でないという情報に加え、「このページのログインフォームは安全ではありません」と表示される。

Chrome 56の場合、パスワード入力フィールドを含むHTTP接続のページでは、情報アイコンの右側に「保護されていません」と表示される。HTTPS接続のページで「保護された通信」と表示されるのと同様だ。情報アイコンをクリックしたときの表示内容はパスワード入力フィールドの有無にかかわらず、従来のバージョンと違いはないようだ。

今週はArs TechnicaThe Next WebがHTTPSをデフォルトにしたことをアナウンスしている。スラドでもいつの間にかHTTPSがデフォルトになっていたようだ。
13131649 story
Firefox

Windows 10におけるWebブラウザベンチマーク結果 38

ストーリー by hylom
Edgeは正直まだ使い物にはならない印象ではある 部門より

ZDNet Japanにて、Windows 10環境でEdge、Internet Explorer 11、Google Chrome 49、Firefox 43、Opera 34という主要Webブラウザのベンチマークテストを行った結果が照会されている。

複数のベンチマークツールでテストが行われており、各ベンチマーク毎の結果も示されている。総合的にはChromeがやはり強かったが、JavaScript系のベンチマークテストではEdgeがChromeを上回る成績を出すケースもあったという。ただ、HTML 5のサポートに関するテストではEdgeは最下位だったとのこと。

これを受けて、記事ではChromeが「Windows 10の最強ブラウザ」としつつ、Edgeについては今後に注目したいという結論になっている。

13129199 story
Mozilla

Mozilla、新ブランドアイデンティティーを発表、新ロゴは「moz://a」に 48

ストーリー by headless
決定 部門より
Mozillaは18日、7か月かけて検討を重ねてきた新ブランドアイデンティティーを発表した。新ロゴは既にMozilla.orgでも使われている(Mozilla Open Designの記事)。

新しいロゴは、「mozilla」をインターネットプロトコル風にアレンジした「moz://a」で、黒い長方形の地にハイライトカラーで抜いたもの。ロゴの書体はスラブセリフ系のフォント「Zilla」を使用する。ZillaはTypothequeがMozillaのために作成したもので、誰でも無償で使用できる。

「moz://a」のアイディアは「Protocol」として、8月に公開されたデザインコンセプト7点にも含まれていた。もともとのスタイリングは「Moz://a」のように先頭が大文字になっており、デザインコンセプトが4点に絞り込まれた9月の時点でも同様だったが、最終的には小文字に変更されたようだ。

ロゴは単体で使用するだけでなく、キャッチコピーやアイコン、イラスト、写真などと組みわ合わせて使用することも想定しているようだ。「moz://a」の文字色はFirefoxなどのWebブラウザーがハイライトカラーとして使用する色をベースにしたとのことで、9色が例示されている。今後スタイルガイドが策定され、色の組み合わせ方法などが決められるようだ。
13127588 story
プライバシ

Webブラウザアドオン「Styish」、ユーザーデータの収集を始めて騒動に 17

ストーリー by hylom
マネタイズ 部門より
あるAnonymous Coward曰く、

FirefoxやChromeなどで利用できる、指定したサイト毎に異なるユーザースタイルシートを適用できる拡張(アドオン)の「Stylish」がユーザーデータの収集を開始したとしてレビューに批判が集まる状況になっている(Chrome版StylishのレビューページFirefox版Stylishのアドオンページ)。

プライバシーポリシー(2017/01/01改定)では「個人を特定できない形で情報を収集する」となっているほか、基本的には第三者には提供しないが匿名化された情報に付いてはパートナーに提供する、という話が書かれている。

Chromeの場合、ユーザーへの通知なしに自動的に拡張がサイレントアップデートされることがあるので利用者は要確認。

Tech News Directoryによると、2016年10月にStylishはJustin Hindmanなる人物にその所有権が移っているとのことで、また1月12日には公式フォーラムでSimilarWebという調査会社に対し収集したデータを提供することを表明している。

13121088 story
プライバシ

Webブラウザの自動入力機能を悪用して意図しない個人情報を送信させるデモ 16

ストーリー by hylom
シンプルな手口 部門より

Webブラウザの自動入力機能を悪用して個人情報を盗む手法が公表された。実証コードも公開されているBleeping ComputerGIGAZINESlashdot)。

Webブラウザの自動入力機能は、住所やクレジットカード情報などをあらかじめWebブラウザに登録しておくことで、Webページ上のフォームに自動的にそれらを入力するというもの。今回公表された実証コードでは、画面上に見えないようにフォームを配置し、さらにJavaScriptを使ってフォームに値が入力されたらそれらを自動的に処理するようなコードを組み合わせるというもの。

公開されているデモでは「Name」および「Email」入力フォームのみが表示されており、送信されるのは名前およびメールアドレスだけのように見えるが、電話番号や住所などを入力するフォームも見えないように配置されており、Webブラウザにこれらの情報が登録されており、さらに自動入力機能を利用した場合はこれらの情報も自動的に入力されて送信されてしまう。

ただし、Safariでは自動入力の際に入力するデータをユーザーに確認する仕組みになっており、また、Firefoxではユーザーが自動入力するフォームを指定する必要がある。そのため、これらブラウザでは悪用は難しいようだ。

13104969 story
Firefox

Mozilla、FirefoxのWindows XP/Vistaサポートに関する今後の予定を発表 26

ストーリー by headless
計画 部門より
Mozillaは23日、FirefoxのWindows XP/Vistaサポートに関する今後の予定を発表した(Mozillaブログ — Future Releasesの記事Firefoxヘルプの記事VentureBeatの記事)。

9月にFirefoxのWindows XPサポート縮小・廃止計画が話題となったが、Firefox 52がWindows XP/Vistaをサポートする最後のメジャーバージョンになるようだ。2017年3月頃にWindows XP/VistaのFirefoxユーザーは自動的に延長サポート版(ESR)へ移行し、セキュリティアップデートは2017年9月まで提供される予定だという。なお、Firefox 52のリリース予定は2017年3月7日となっている。

9月以降の予定については、2017年中ばにWindows XP/VistaのFirefoxユーザー数を再評価し、最終のサポート終了日を発表するとのこと。ただし、MicrosoftによるWindows XPのサポートは既に終了しており、Windows Vistaのサポートも2017年4月11日に終了する。サポートの終了したOSを使い続けることは危険であり、MozillaではMicrosoftがサポートするバージョンのWindowsに移行することを強く推奨している。Firefoxを使用している企業に対しては、2017年9月をFirefoxによるWindows XP/Vistaのサポート終了日と考えるべきだとも述べている。
13097423 story
インターネット

Adobe、Windows/Mac/Linux向けに「Flash Player 24」を発表、NPAPIもサポート 37

ストーリー by hylom
新版 部門より

Appleが12月13日、「Flash Player 24」および「AIR 24」をリリースした(リリースノートgihyo.jp)。バグ修正やセキュリティアップデート、新機能を含むリリースで、WindowsおよびMac OS X、Linux版が公開されている。

OperaやChromium向けのPPAPI版とSafariやFirefox向けのNPAPI版、そしてWindows 7以前向けのInternet Explorer向けとなるActive X版、Windows 8以降のInternet ExplorerおよびEdge向け版、ChromeOS版が用意され、各プラットフォーム/ブラウザをほぼカバーするリリースとなっている。

WebブラウザのプラグインAPIの1つであり、FirefoxなどがサポートするNPAPIについてはサポート廃止が予定されているが(過去記事)、AdobeはLinux環境におけるNPAPI向けFlash Playerの開発を再開する方針を示していた

13000959 story
Facebook

Facebookが嘘ニュース検出機能をテスト中というニュースも嘘 34

ストーリー by headless
検出 部門より
Facebookが嘘ニュース検出機能をテストしているとTechCrunchが報じたのだが、これも嘘ニュースだったようだ(TechCrunchの記事The Guardianの記事The Vergeの記事)。

元の記事では情報提供者から取得したというスクリーンショットを添え、テストは一部のユーザー限定で1週間ほど前から行われていると説明している。スクリーンショットはFacebookのニュースフィードに掲載されたニュース記事に対し、「信頼できるWebサイトではない」といった警告が表示されるというものだ。さらに、警告が表示されたニュースはNew York TimesやReutersなど、事実関係をチェックする信頼可能なメディアも報じており、誤検出であると指摘。個別の記事ではなくWebサイト単位で判定しているのではないかとも述べている。

しかし、この警告を表示しているのは、Google ChromeとMozilla Firefox用の拡張機能「BS Detector」だと作者自身の指摘により判明する。BS DetectorはFacebookに投稿されたリンクをチェックし、信頼できないWebサイトを検出して警告を表示するというもので、TampermonkeyとスクリプトをインストールすればSafariおよびMicrosoft Edgeでも利用できる。TechCrunchの指摘通りドメイン単位で検出を行うため、信頼できるWebサイトで公開されているTechCrunchの記事は嘘ニュースだと判定できなかったとのこと。

The Guardianの記事では、拡張機能をインストールしたのを忘れた人がFacebookによるテストと勘違いしたとしているが、事実関係は不明だ。TechCrunchの記事ではBS Detectorの警告をFacebookのA/Bテストと勘違いしたらしいHacker Newsユーザーの投稿も紹介している。ちなみに、FacebookではBS DetectorのWebサイトへのリンク投稿が一時ブロックされたが、その後再び投稿可能になったという。これについてFacebookは誤ってブロックしたと説明しているとのことだ。
12986519 story
Mozilla

Mozilla、プライバシーを重視したiOS向けブラウザー「Firefox Focus」をリリース 15

ストーリー by headless
追跡 部門より
Mozillaは17日、プライバシーを重視したiOS向けのWebブラウザー「Firefox Focus」をリリースした(The Mozilla Blogの記事The Guardianの記事BetaNewsの記事The Registerの記事)。

Firefox FocusはWebサイトや広告ネットワークによるユーザー追跡のブロックに重点を置いており、タブやメニューもないシンプルなWebブラウザーだ。履歴やCookieなどをまとめて消去する専用のボタンも用意されている。デフォルトでは広告やアクセス解析、ソーシャルネットワークによる追跡がブロックされるが、その他の追跡やWebフォントのブロックもオプションで設定可能だ。

追跡のブロックによって一部のWebページは正常に表示されなくなる可能性もあるが、この場合は簡単にFirefoxやSafariで現在のページを開くことが可能だという。また、Safariのコンテンツブロッカーとしても利用できる。なお、Firefox FocusにはMozillaに利用状況データを匿名で送信する機能が搭載されており、デフォルトで有効になっている点には注意が必要だ。

Firefox FocusはApp Storeで入手できる。バージョンは2.0となっているが、これが最初の公開バージョンだ。App Storeでは日本語が入力できないとのコメントもみられ、サーチエンジンは米Yahoo!固定のようなので、単体では使いにくいかもしれない。
12983246 story
セキュリティ

IE11とFirefoxのAdobe PDFで意図しない情報漏洩の可能性 28

ストーリー by hylom
スクリプトの闇 部門より

AdobeによるInternet Explorer 11およびFirefox向けのPDFプラグインに、意図しない情報漏洩に繋がる可能性があることが指摘されている(JVNTA#94087669)。Adobe側はこの挙動について仕様としており、現時点で派修正される見込みは低いようだ。

問題の脆弱性は、PDFにプログラムを埋め込める「FormCalc」という機能に関連するもの。FormCalcにはネットワーク経由でコンテンツの取得や送信を行える「Get」や「Post」、「Put」といった命令が用意されている。これを利用してPDFが配信されているドメインと同じドメイン上のデータを取得し、それを外部サーバーに送信するという処理をPDFを閲覧するマシン上で自動実行させることができるという。

一般的なWebブラウザでは、スクリプトによるHTTPリクエストについて、リクエスト先をそのスクリプトを配信するドメインに限定する、「同一オリジンポリシー(same-origin policy)」が適用されている(Mozillaによるドキュメント)。しかし、FormCalcではこの制限が緩く、取得した情報を別のサイトに送信できてしまうという。

JVNでは対策方法として、ユーザーによるPDFのアップロードを許可する場合、アップロードされたPDFは別のドメインに格納することを挙げている。また、ユーザー側ではIE11やFirefoxのAdobe PDFプラグインを無効にするという対策も記載されている。

なお「Hack Patch!」ブログによると、FormCalcのセキュリティ問題については以前よりさまざまな指摘があり、これを悪用した様々な実証コードが公開されている模様。

12972677 story
インターネット

Microsoft Edge、ソーシャルエンジニアリング型マルウェアの99%をブロックしたとのテスト結果 25

ストーリー by headless
阻止 部門より
ソーシャルエンジニアリング型マルウェア(SEM)やフィッシングサイトのブロック率で、Microsoft EdgeがGoogle ChromeおよびMozilla Firefoxを大きく上回るというテスト結果をITセキュリティ企業NSS Labsが発表している(プレスリリースSoftpediaの記事WinBetaの記事BetaNewsの記事)。

テストはSEMを対象にしたものが9月26日から10月9日、フィッシングサイトを対象にしたものが10月1日から12日まで実施され、Windows 10 Engerprise バージョン1607上でGoogle Chrome 53.0.2785とMicrosoft Edge 38.14393.0.0、Mozilla Firefox 48.0.2を使用している。

Microsoft EdgeはSEMを平均99%ブロックしており、Google Chromeの85.8%、Mozilla Firefoxの78.3%を大きく上回る。フィッシングサイトの平均ブロック率でもMicrosoft Edgeの91%に対し、Google Chromeは82.4%、Mozilla Firefoxは81.4%となっている。

また、新たに出現したSEMに対しても、Microsoft Edgeは98.7%をブロックしたのに対し、Google Chromeは92.8%、Firefoxは78.3%。7日経過後のブロック率はMicrosoft Edgeが99.3%、Chromeが95.7%、Firefoxが81.9%となっており、Microsoft Edgeは平均で10分以内に新しいSEMをブロックしたとのこと。一方、Chromeは約2時間40分、Firefoxは約3時間46分を要している。

新たに出現したフィッシングサイトに対しては、Microsoft Edgeが92.1%をブロックしており、Firefoxが84%、Chromeが82.7%。1日経過後にはMicrosoft Edgeが92.9%、Chromeが85.6%、Firefoxが84.9%となり、Chromeのブロック率がFirefoxを上回っている。以降、7日後までブロック率の変動はみられない。新しいフィッシングサイトをブロックするまでの平均所要時間はMicrosoft Edgeが24分、Chromeが約1時間、Firefoxが約2時間25分となっている。
typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...