パスワードを忘れた? アカウント作成

13794273 story
Firefox

科学技術振興機構の電子ジャーナルプラットフォーム「J-STAGE」では未だにFirefoxが非推奨 54

ストーリー by headless
確認 部門より
hylom 曰く、

科学技術振興機構 (JST) による電子ジャーナルプラットフォーム「J-STAGE」の公式Twitterアカウントが12日、セキュリティ強化のためFirefoxや古いバージョンのブラウザで利用できなくなる可能性があると告知した。実際にFirefoxでは一時サイトが利用できない状況になっていたようだ(noteへの投稿)。

具体的な理由については明らかにされていないが、J-STAGEでは12日にTLS 1.2への切り替えとTLS 1.0/1.1の無効化を実施している。そのため、使用する暗号スイートを適切に設定していなかったことが原因ではないかとみられている。その後問題は修正され、現在のところFirefoxでも閲覧可能となっている。

ちなみに、J-STAGEの「動作確認済ブラウザ」ページでは、Windows 7のInternet Explorer 11とChrome 45.0、Mac OS XのSafari 10と、かなり古いバージョンのWebブラウザが「推奨」とされており、Firefoxについては非推奨のようだ。

13792931 story
テクノロジー

普及が進むパスワードなし生体認証規格「FIDO」 18

ストーリー by hylom
知らなかった 部門より
あるAnonymous Coward曰く、

寡聞にして知らなかったが、パスワードなしで利用できる生体認証の標準規格「FIDO(Fast IDentity Online、ファイド)」というものがあるらしい。物理的なログインキーや生体認証などを使った認証のための標準規格で、現在さまざまな企業がアライアンスに参加しているという(Engadget Japanese)。

すでにNTTドコモやソフトバンク、Yahoo! JAPANがAndroid版のChromeブラウザでFIDOを使った生体認証によるログインがサポートされているほか、KDDIやLINEも今後サポートを行うという。

Google ChromeやFirefoxもFIDOをサポートしているほか、EdgeやOperaも対応を進めている一方でAppleはFIDOアライアンスに参加していないため動向が不明だが、Safariでサポートが実験的に行われているようだ。

13791913 story
Firefox

Firefox 64リリース、シマンテックの証明書が無効に 38

ストーリー by hylom
ついに 部門より
あるAnonymous Coward曰く、

12月11日、Firefox 64がリリースされ、以前から予告されていた通りシマンテックの証明書がついに無効になった(リリースノート)。

シマンテックが適切な確認を行わずに大量のSSL/TLS証明書を発行していたという問題に対処するもの(過去記事)。すでにGoogle Chromeではバージョン70からシマンテックが発行したSSL証明書の失効対応が開始されている。

13790835 story
Firefox

Mozilla、EdgeがChromiumベースになることに対しGoogleの独占を危惧 70

ストーリー by hylom
多様性の欠落は死につながる 部門より

MicrosoftがEdgeブラウザをChromiumベースにすることを発表したが、これに対しFirefoxの開発を行なっているMozillaが公式ブログで「Goodbye、EdgeHTML」と題した記事を公開、Webブラウザの「Chromium独占」に対する危惧を示している(Qiitaに投稿された有志による訳)。

記事ではMicrosoftの決定について、「ビジネスの観点」では十分理解できるものだとしつつ、社会的な面では「基礎的なオンラインインフラストラクチャ」のコントロールをGoogleという1社に握られることは恐ろしいことだとしている。

また、Chromeと競合するFirefoxを開発するというMozillaの活動についてはビジネスのためではなく、「競争と選択」によってインターネットやオンラインの健全性を実現するためだと主張。そして、Chromiumのような単一の製品が大きなシェアを握ってしまった場合、2000年代前半の開発者がブラウザ互換性を考慮せず、特定のブラウザ以外では正しく動作しないサイトやサービスがリリースされるという問題が再び生み出されてしまう可能性があるとしている。

13785605 story
Google

SeaMonkeyでGoogle検索にアクセスするとFirefoxでアクセスした場合とは異なるCSSが送信される 31

ストーリー by hylom
さすがにSeaMonkeyはしょうがないとはいえ 部門より

Webブラウザとメールクライアント、ニュースリーダーなどを統合したアプリケーション「SeaMonkey」でGoogle検索にアクセスすると画面の表示レイアウトが崩れるという話がmozillaZineフォーラムで報告されている

Google検索ではSeaMonkeyでアクセスした場合とFirefoxでアクセスした場合とで異なるCSSを返しており、これが原因でレイアウトの崩れが発生しているようだ。

フォーラムでは有志が検証を行った結果も投稿されているが、User-Agentヘッダーの内容によってCSSの内容が変化するという。SeaMonkeyのユーザーエージェントは「Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 SeaMonkey/2.49.4」となっておりFirefox 52と互換性があることが示されているのだが、Google検索では文字内でバージョン番号を示す末尾の数字だけでユーザーエージェントを判断しているのがこの問題の原因のようだ。

13774317 story
インターネット

Firefox 65ナイトリービルド版がWebP画像形式に対応 44

ストーリー by hylom
ついに 部門より
あるAnonymous Coward曰く、

開発中のFirefox 65のナイトリービルドでWebP形式画像のサポートが追加されました(Firefox サイト互換性情報AAPL Ch.)。

WebPはGoogleが開発したオープンな画像フォーマットで、圧縮率が高くデコードが高速、高機能といった特徴があるとされる。すでにGoogle Chromeが表示をサポートしているほか、EdgeでもWindows 10 October 2018 Updateでサポートされていた。

13772489 story
Firefox

Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 4

ストーリー by hylom
漏れてる通知 部門より
headless曰く、

Mozillaは14日、9月にサービスを開始した「Firefox Monitor」のデスクトップ版Firefox限定機能として、最近情報漏洩が判明したWebサイトへのアクセス時に通知する機能の追加を発表した(The Mozilla Blog)。

Firefox MonitorはHave I Been Pwned?のデータを使用して既知の個人情報流出の影響を通知するサービスだ。2017年の計画発表時には今回の通知機能がメインの機能だったが、9月のサービス開始時にはFirefoxに限定せず任意のブラウザーで利用可能なアカウント情報流出スキャンサービスおよび、電子メールによる登録型の通知サービスのみが提供されていた。

通知は12か月以内に情報漏洩が報告されたサイトへアクセスした際に一度だけ表示される。通知からFirefox Monitorサイトにアクセスすることや、通知を今後一切表示しないように設定することも可能だ。この機能は今後数週間かけてFirefoxユーザーに順次提供開始するとのこと。なお、Firefox Monitorサイトで日本語を含む26言語のサポートを追加したことも同時に発表されている。

13763917 story
Opera

Vivaidiのシェア、IE6に迫る 48

ストーリー by hylom
凄いのか凄くないのか 部門より

Net Applicationsによる2018年9月のデスクトップブラウザ市場シェア調査結果によると、Webブラウザ「Opera」の開発者らが手がけるWebブラウザ「Vivaldi」(過去記事)のシェアがInternet Explorer 6に迫っているという(マイナビニュース)。

Vivaldiのシェアは0.11%で、Internet Explorer 6のシェアは0.13%とどちらも非常に小さいが、Vivaldiは着実に利用者を増やしているようだ。

ちなみに同期間のシェアトップはChromeで66.28%、続いてFirefox(9.62%)、Internet Explorer 11(8.29%)となっている。

13758347 story
Chrome

Bing検索結果にGoogle Chromeの偽広告が出現 19

ストーリー by hylom
バグか仕様か 部門より
headless曰く、

Microsoft Edgeで「download chrome」をBing検索すると、検索結果の先頭に偽のGoogle Chromeの広告が表示されていたそうだ(発見者のツイートOn MSFTHow-To GeekSoftpedia)。

Bingで「download chrome」を検索すると、通常は検索結果の先頭に本物のGoogleが出稿した広告が表示される。しかし、発見者がTwitterに投稿した動画によれば、少なくとも何度か検索を繰り返すと「Get Chrome | Download Chrome Today | google.com」という見出しの広告が表示されたという。

広告には通常の検索結果と同様にURL(の一部)として「www.google.com」と表示されるが、実際のリンク先は「www.googleonline2018.com」というドメインで、Chromeの偽ダウンロードページが表示される。このページからダウンロードしたChromeSetup.exeはGoogleが署名したものではない。現在、偽サイトはダウンしているようだが、ChromeやFirefoxではこのドメインを詐欺サイトとしてブロックするのに対し、Microsoft EdgeやInternet Explorerではブロックの対象になっていないようだ。

報告を受けたBingは、この広告を削除し、出稿したアカウントをブロックしたと発見者に返信している。ただし、表示と異なるURLへのリンクが認められた理由などについては説明がない。

なお、Bingでは4月にも同様の広告が表示され、削除していたそうだ。この時にダウンロードしたファイルをBleeping Computerが調べたところ、アドウェアを多数バンドルしたインストーラーで、最終的にはポルトガル語版のChromeがインストールされたとのことだ。

13755840 story
インターネット

政府統計オンライン調査、各ブラウザのNPAPIサポート廃止によりIE11以外での回答提出はサポート対象外に 78

ストーリー by hylom
2018年のニュースとは思えない 部門より

政府の統計調査にインターネットを使ってオンラインで回答するための受付窓口となっている「政府統計オンライン調査総合窓口」におけるPDF調査票回答の推奨環境が2018年10月10日よりInternet Explorer 11(IE11)のみに変更された(同サイトの告知ページ)。利用者側でIE11環境を用意できない場合は紙の調査票での提出に切り替えるよう指示されている。

FirefoxやSafariのNPAPIサポートが終了し、ブラウザ上でのAdobe Readerプラグインが利用できなくなったことが理由だという。

13755072 story
Windows

Windowsのゼロデイ脆弱性が再びTwitterで公表される 28

ストーリー by headless
削除 部門より
Windowsの新たなゼロデイ脆弱性が再びTwitterで公表された。Twitterでは8月にタスクスケジューラーのゼロデイ脆弱性が公表されているが、今回も同じTwitterユーザー(@SandboxEscaper)によるものだ(Bleeping Computerの記事Ars Technicaの記事On MSFTの記事PoC)。

今回の脆弱性はWindows 10(およびServer 2016以降)のData Sharing Serviceに存在し、関数「RpcDSSMoveFromSharedFile」を呼び出すことで権限のないユーザーが任意のファイルを削除できるというものだ。GitHubで公開されているPoCではpci.dllの削除が指定されており、実行するとWindowsが起動できなくなる。手元の環境では、24日にリリースされたばかりのWindows 10 Insider Preview ビルド18267(19H1)でも削除されることが確認できた。

ただし、削除のタイミングが難しいとのことで、PoCでは処理をループさせているが、状況によっては削除できないこともあるようだ。悪用の方法としてはDLLなどを削除してパスの通った別の場所に格納した同名ファイルを読み込ませるDLLハイジャックが提示されているものの、こちらも現実的に実行するのは難しそうだ。そのため、タスクスケジューラーのゼロデイ脆弱性の時とは異なり、PoCのソースコードが攻撃に転用される可能性は低いとみられている。

なお、既にMicrosoft EdgeやInternet ExplorerではPoCのアーカイブのダウンロードをブロックするようになっており、ChromeやFirefoxも警告を表示する。また、PoCの実行ファイルはWindows Defenderウイルス対策などのセキュリティソフトウェアの最新定義ファイルでマルウェアとして検出される。
13754846 story
Chrome

Google Chromeデスクトップ版、プログラム終了のショートカットキーが廃止に 55

ストーリー by headless
廃止 部門より
Chrome 70ではプログラム終了のショートカットキー「Ctrl+Shift+Q」が廃止になっている(Softpediaの記事gHacksの記事)。

Chrome 69ではこのショートカットキーが使用できていたが、Chrome 70では「終了するには[Alt]+[F]+[x]キーを押してください」とToastが表示されるようになった。提示されるキーの組み合わせはChromeのメインメニューを開いて「終了(X)」を選択するのと同じ動作で、以前のバージョンから使用できていた。ただし、3つのキーを同時に押してもChromeは終了せず、「Alt+F」を押してキーを離してから「x」キーを押す必要がある。また、キオスクモードなどメインメニューの表示されない画面モードでは使用できない。

Ctrl+Shift+Qの動作は2013年にバグとして報告されていたものだ。長押しでChromeを終了させるという方法も提案されていたが、「Ctrl+Shift+Tab(タブの逆順切り替え)と押し間違えて入力中のデータを失い涙を流す」派の意見に押し切られ、このショートカットキーは廃止されてしまう。しかし、上述のように完全な置き換えにはならないこともあり、今度は「押し間違えることなどありえないし不便になった」派が反発。少なくとも「chrome:flags」で選択できるようにすべきだなどという意見が出ている。なお、Ctrl+Shift+W(すべてのタブを閉じる)は引き続き利用可能だ。

個人的には今回動作を確認するまでこのショートカットキーの存在を知らなかったが、タブを切り替えようとしてブラウザーが終了してしまったことはない。Firefoxでは最新版のFirefox 63でも利用可能だが、スラドの皆さんは利用しているだろうか。
13753769 story
インターネット

2018年中にサードパーティCookieが無効でもWebサービスが正常に動作するか確認を 41

ストーリー by hylom
スラドは一応対応しているはず 部門より
あるAnonymous Coward曰く、

10月23日にリリースされたFirefox 63ではユーザーの追跡などに使われるサードパーティCookieをブロックする設定が追加された(マイナビニュース)。現時点ではサーバー側にトラッカーをブロックする意思を伝える「Do Not Track」信号を送るだけだが、2019年初めにはサードパーティCookieのブロックをデフォルトで有効にする方針だという。

この設定で毎日のブラウジングを(トラッキングなどの不動作を気にせず、サービス利用者としてみて)正常に行うために、3つサービスで計9つのドメインを例外サイトとして許可している。(もう1つ正常に動作しないサービスがあるのだが、どのドメインを許可すれば正常に動作するのかわからない)。

13753725 story
お金

Mozilla、実験的にVPNサービスの販売を計画 14

ストーリー by hylom
広告っぽく出るのだろうか 部門より
headless曰く、

Mozillaは22日、米国のFirefoxユーザーの一部を対象に、厳選したVPNサービスの販売実験を行う計画を発表した(Future ReleasesAndroid PoliceThe VergeSlashGear)。

目的はFirefoxユーザーからの要望が多い公衆Wi-Fi利用時のプライバシー保護を実現するとともに、オープンなインターネットの将来のためにMozillaの収入源を多様化させることだという。今回の実験はProtonVPNとの提携により行われるもので、米国のユーザーからランダムに選ばれた小規模なグループを対象として、Firefoxの画面にオファーを表示する。販売するのは月単位のサブスクリプションで、料金はMozillaが受け取り、ProtonVPNに分配する形になる。実験は10月24日に開始し、数か月にわたって行う計画とのことだ。

13747205 story
インターネット

主要ブラウザーは2020年にTLS 1.0/1.1を無効化する計画 13

ストーリー by hylom
あと1年ちょっと 部門より
headless曰く、

10月15日、メジャーブラウザーのTLS 1.0/1.1無効化計画が一斉に発表された(Google Security BlogMicrosoft Edge Dev BlogWebKit公式ブログVentureBeat)。

GoogleはChrome 72(2019年1月に安定版リリース見込み)でTLS 1.0/1.1を非推奨とし、これらのバージョンを使用するサイトで警告が表示されるようになる。さらにChrome 81(2020年1月に早期リリース見込み)ではTLS 1.0/1.1が無効化される。

Microsoftは2020年前半にその時点でサポートされているバージョンのMicrosoft EdgeとInternet Explorer 11のデフォルトでTLS 1.0/1.1を無効にする。Appleは2020年3月以降、iOSとmacOSのアップデートでSafariからTLS 1.0/1.1のサポートを完全に削除する計画だという。

MozillaはFirefoxでのTLS 1.0/1.1サポートを2020年3月に無効化する計画だ(Mozilla Security Blogの記事)。プリリリース版のFirefoxで無効化されるのは2020年3月よりも前になる。具体的な日程については後日発表するとのことだ。

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...