パスワードを忘れた? アカウント作成

ログインするとコメント表示数や表示方法をカスタマイズできるのを知っていますか?

13411180 story
Firefox

Firefox 56ではWebページのスクリーンショット撮影機能が利用可能に 57

ストーリー by headless
撮影 部門より
Firefox 56ではWebページのスクリーンショット撮影機能が全ユーザーで有効になるそうだ(Neowinの記事[1][2])。

スクリーンショット撮影機能はFirefoxで表示中のWebページ専用で、エレメント単位で選択するか、任意の範囲を選択して撮影する。スクリーンショットはローカルにダウンロードするほか、Firefox Screenshotsサイトにアップロードすることも可能だ。Firefox Screenshotsサイトにアップロードした画像は14日間で削除されるが、期限を待たずに削除することもできる。なお、画像は一般公開状態になり、URLを知っている人は誰でも閲覧できるようになるので注意が必要だ。

Firefox 55にはスクリーンショット撮影機能のベータ版が搭載されており、MozillaではFirefox 56のリリース前に最大50%のユーザーで順次有効にしていく計画だという。Firefox 55ですぐに試してみたい場合は、about:configで「extensions.screenshots.system-disabled」をfalseにすれば「Firefox Screenshots」ボタンがツールバーに追加される。このボタンをクリックすると選択モードになるので、ページをドラッグまたはエレメントをクリックして範囲選択する。ページ全体を選択することも可能だ。あとは「ダウンロード」ボタンをクリックするとローカルに保存、「保存」ボタンをクリックするとFirefox Screenshotsサイトにアップロードできる。
13404658 story
マイクロソフト

AppleとGoogleが修正し、Microsoftが修正しなかった脆弱性とは 47

ストーリー by headless
仕様 部門より
Microsoftはセキュリティ脆弱性として報告されたバグをセキュリティ脆弱性ではないなどの理由で修正しないこともあるが、AppleやGoogleが3月に修正したのに対し、Microsoftだけが修正しなかったという脆弱性をCiscoのTalosグループが公表した(Talosのブログ記事TALOS-2017-0306The Registerの記事)。

脆弱性はApple SafariやGoogle Chrome、Microsoft Edgeでコンテンツセキュリティポリシー(CSP)のバイパスが可能になるというもの。攻撃の流れとしてはContent-Security-Policy HTTPヘッダーで「'unsafe-inline'」を有効にし、「window.open()」で空のドキュメント(about:blank)を開く。新しいドキュメントは元のドキュメントと同一生成元だが、CSPが無効化されるため、「document.write」関数でコードを書き込めば同一生成元ポリシーを無視して他のWebサイトからデータを読み取ることができる。

Talosでは脆弱性を発見後、2016年11月29日にMicrosoftに通知したが、Microsoftは今年3月に仕様であり、脆弱性ではないと回答。Talosは再考を促したものの、修正の予定はないとの回答を受けて9月6日に脆弱性を公表した。一方、AppleはiOS 10.3およびSafari 10.1で修正済み(CVE-2017-2419)、GoogleもChrome 57.0.2987.98で修正済み(CVE-2017-5033)だ。'unsafe-inline'によるインラインスクリプトの有効化が問題とする見方もあるが、どのような場合でもクロスサイトアクセスはブロックすべきであるとTalosは主張する。なお、Mozilla Firefoxでは新しいドキュメントが元のドキュメントからCSPを継承するため、同様の問題は発生しなかったとのことだ。
13403809 story
Firefox

11年前にLinux版のFirefox 2で報告されたバグ、Firefox 57で修正へ 35

ストーリー by headless
修正 部門より
11年前にLinux版のFirefox 2で報告された奇妙なバグがFirefox 57で修正されるそうだ(Bug 366945Phoronixの記事)。

このバグはWebページ内の何もない場所をマウスの中ボタンでクリックすると、クリップボードの内容をURLとして開いてしまうというもの。11年前の報告者は、リンクの中ボタンクリックが少し外れると「404 not found」が表示されることになると述べていた。また、Konquerorではクリップボードの内容が有効なURLであるかどうかがチェックされるのに対し、Firefoxではチェックが行われない点も報告者は指摘している。

このような現象が発生する原因は当初からabout:config の「middlemouse.contentLoadURL」がUNIXライクシステムのデフォルトで「true」になっていることが原因と指摘されており、Firefox 3でデフォルトを「false」にするよう求めるコメントもみられる。その後も同様のバグがたびたび報告され、修正を要望するコメントもたびたび付けられていた。それでも修正は行われずに放置されていたが、9月5日になってUNIXおよびAndroidで「middlemouse.contentLoadURL」のデフォルトを「false」にするパッチがコミットされ、Firefox 57で修正されることとなった。
13390736 story
Firefox

Mozilla、Firefoxの使用状況データを匿名化してオプトアウト方式で収集する実験を計画 58

ストーリー by headless
計画 部門より
Firefoxの使用状況データを匿名化し、オプトアウト形式で収集する実験の計画をMozillaのガバナンスグループが発表し、意見を求めている(GoogleグループのトピックNeowinの記事Softpediaの記事The Registerの記事)。

製品の改善のため、ユーザーがよくアクセスするWebサイトや、特定のWebサイトでFirefoxの機能がどのように動作するかといった情報を収集したいという要望は、Firefoxプロダクトチームから繰り返し出ているそうだ。現在はオプトイン方式でこういった情報を収集しているが、偏りのないデータを得るにはユーザーの明確な同意なしに行うオプトアウト方式にする必要があるとのこと。

ユーザーを特定できない形で情報を収集するため、MozillaではGoogle Open Sourceプロジェクトによる差分プライバシーの実装「RAPPOR」の使用を検討しており、ランダムに選択したユーザーに新機能を試してもらうShieldでMozillaのRAPPOR実装のテストを行う計画だという。テストで収集するのはユーザーのホームページ(eTLD+1)で、9月半ばに開始したいとしている。

Googleグループではオプトアウト方式に反発するコメントなど、反対意見も数多くみられる。スラドの皆さんのご意見はいかがだろうか。
13390218 story
Firefox

Windows版Firefox 57、日本語のデフォルトフォントが変更に 67

ストーリー by hylom
MS-Pゴシックも悪くないのだが 部門より

Mozillaの開発者向けフォーラムによると、Windows版Firefoxの日本語デフォルトフォントが現在の「MS Pゴシック」や「MS P明朝」から「メイリオ」やWindows 8.1以降で導入された「游ゴシック」「游明朝」に変更されるという。これは現在ナイトリービルドやFirefox 55のearly Beta版で導入されているとのこと。また、等幅フォントについてはMSゴシックが引き続き使われるようだ。

この変更はWindows版にのみ影響し、他のプラットフォームには影響はないという。

13382234 story
Firefox

Firefox、64ビットWindows環境では64ビット版のインストールがデフォルトに 22

ストーリー by hylom
ついに 部門より
headless曰く、

Mozillaは14日、64ビットWindows環境にFirefoxをインストールする際、デフォルトで64ビット版のFirefoxがインストールされるようになったと発表した(The Firefox FrontierNeowinBetaNews)。

64ビット版のFirefoxを使用することで、32ビット版よりもセキュリティが向上し、クラッシュ発生率は低下する。Firefox 53以降では64ビットWindows環境でStubインストーラーを実行すると32ビット版/64ビット版を選択可能となっていたが、デフォルトでは32ビット版が選択されていた。

現在64ビットWindows環境で32ビット版のFirefoxを使用しているユーザーは、Firefoxを再インストールすることで64ビット版のFirefoxへ移行できる。また、Mozillaは今後のリリースで64ビット版WindowsユーザーのFirefoxをすべて64ビット版に移行する計画だという。そのため、待っていればいずれ64ビット版に自動で移行されることになる。その後も32ビット版を使い続けたいユーザーは、32ビット版のインストーラーを実行すればよいとのことだ。

13373161 story
Mozilla

Mozilla、ファイルアップローダ「Send」をテスト公開 41

ストーリー by hylom
便利そうだが帯域的な心配が 部門より

Mozillaが暗号化機能付きファイル共有サービスサービス「Send」をテスト公開した(Engadget Japanese)。

Sendは最大1GBまでのファイルをWebブラウザ経由でアップロードしてオンラインで共有できる、いわゆるアップローダーサービス。大容量のファイルを特定の人に送信するためのツールで、アップロードしたファイルはファイルがダウンロードされるか24時間経過後に無効になり、ファイルも自動的に削除される。特に登録等は不要で利用が可能だ。

特にアドオンなどは不要で、昨今のWebブラウザすべてで利用できるとのこと。プライバシーに配慮しており、ファイルは暗号化されてアップロードされ、Mozillaもその内容にはアクセスできないという。

13351769 story
Mozilla

Mozilla、音声認識アプリケーションのために「声」の寄付を募集中 12

ストーリー by hylom
日本語にも対応するのかな 部門より
あるAnonymous Coward 曰く、

Mozillaが現在、声の寄付を募集している。将来的に音声認識アプリケーションを構築する最初の一歩だという(MashableZDNetSlashdot)。

スタートしたプロジェクトの名前は「Common Voice」といい、一般からオーディオサンプルを約10万時間集めてオープンに利用可能にできるようにするのが目標。音声認識アプリケーションの実現には十分な大きさのデータベースが必要で、それには大量の音声ファルが必要であるということらしい。Mozillaでは、音声をテキストに変換してプログラミングを行えるようなものを作りたいと考えているようだ。

13350624 story
Firefox

Firefox 55/56では極端に多くのタブを開いた状態でも高速な起動が可能に 58

ストーリー by hylom
そういう使い方の人もいるだろうなぁ 部門より
headless曰く、

Firefox 55と56では極端に多くのタブを開いた状態での起動時間が大幅に短縮されるそうだ。1,691個のタブを開いているというMozillaの開発者、Dietrich Ayala氏がテスト結果を公開している(The New Firefox and Ridiculous Numbers of TabsOn MSFT)。

ここまで多くのタブを開いている理由は説明が難しいようだが、最近ではFirefoxを起動するのに数分を要していたという。テストではFirefox 20、30、40、50~56を使い、Wi-FiをオフにしたMacBookでページ読み込みエラーが表示されるまでの時間を測定している。Firefox 10も試してみたが、永遠に起動しなかったのでやめたそうだ。

起動時間はFirefox 20で1分半ほどだったのが、以降のバージョンでは分単位で長くなっていき、Firefox 51では8分近くかかっていたようだ。Firefox 52~54では改善されているが、それでも4~5分を要している。これに対し、Firefox 55では15秒で起動したとのこと。結果は棒グラフのみで具体的な数字は記載されていないが、Firefox 56の起動時間も同程度となっている。

また、起動から1分後のメモリー使用量はFirefox 20で1GB強だが、Firefox 30~54では2GB前後まで増加している。しかし、Firefox 55/56では500MB以下まで減少したそうだ。この時点で実際のWebページは読み込まれていないが、1.5GBの差は大きい。

この改善は数多くのタブを開いている場合の起動時間とメモリー使用量を減少させるため、4年前から検討されていたBug 906076の成果だという。Project Quantumのサブプロジェクト、Quantum Flowでも重要な成果として取り上げられている。

なお、2012年にWin64 Firefoxのナイトリービルド停止が決定した際、強い反対にあって継続することになったが、このときに数千のタブを開くためにWin64ナイトリービルドを利用するユーザーの存在が重要な理由として挙げられていた。

13328639 story
Mozilla

Mozilla Japan、「WebDINO Japan」に社名変更 40

ストーリー by hylom
謎の組織感 部門より

一般社団法人Mozilla Japanが、7月より「WebDINO Japan」に社名を変更した(CNET Japan)。

Mozilla Japanは当初はMozilla Foundationの公式支部として発足したもの。今回の社名変更は、米Mozilla Corporationによる「同組織がMozillaの公式支部という立場からは離れて活動すべき」という方針によるものだそうで、今後はMozilla関連プロダクトに限らず各種コンサルティングや調査、オープンソースコミュニティ支援、人材育成などを手がけていくという。

13311827 story
Firefox

マルチプロセスを有効化したFirefox 54.0リリース 33

ストーリー by hylom
巻き返せるか 部門より
KAMUI 曰く、

アメリカ時間の6月13日、Mozilla Firefoxの最新安定版であるFirefox 54.0がリリースされた(Mozilla.orgによるリリースノートOSDN Magazine)。

今回の最大の注目点は長らく開発が進められ、Firefox 48から一部のユーザーに対してのみ有効にされてきたe10s(マルチプロセス化)が全ユーザーに対して有効になったこと。これによってウェブサイトを閲覧した際に複数サイトでの処理が影響しあってブラウザ本体を不安定にする問題が改善されたという。これに伴ってパフォーマンスも改善し、速度も向上したとのこと。なお、マルチプロセス化で先行するGoogle Chromeではやたらとメモリを喰う問題があるが、Firefoxではコンテンツプロセスの数を4つに制限することでメモリ使用量との折り合いを付けている。

また、同時に重要度「最高」を含む32件の脆弱性への対処が行なわれている。

13287140 story
Chrome

WindowsのSCFファイルをGoogle Chromeでダウンロードさせ、SMB認証情報を取得する攻撃 29

ストーリー by headless
認証 部門より
Windowsのシェルコマンドファイル(.scf、SCFファイル)とGoogle Chromeの組み合わせにより、SMB認証情報を取得する攻撃手法をセキュリティ企業のDefenseCodeが公開している(DefenseCodeの記事Threatpostの記事The Registerの記事Softpediaの記事)。

SCFファイルはWindows 98で導入され、主にクイック起動ツールバーの「デスクトップの表示」で使われていた。SCFファイルの内容はINIファイルと同様のテキストファイルで、セクションごとに値の名前と値のデータの組み合わせが記述されている。ファイルのアイコンは「Shell」セクションの「IconFile」で指定するのだが、アイコンをUNCパスで指定した場合、アイコンの保存されたフォルダーをエクスプローラーで開く際に、指定されたリモートサーバーへSMB認証情報が送られる。そのため、攻撃者が自分の支配下にあるサーバーのIPアドレスを指定すれば、ターゲットのユーザー名とNTLMv2パスワードハッシュを取得することが可能となる。パスワードハッシュはオフラインでクラックするほか、SMBリレー攻撃に使用することも可能だ。

一方、Google Chrome側の問題は、デフォルトでファイルのダウンロード先を確認せずにダウンロードが実行される点だ。そのため、攻撃用に細工したSCFファイルのリンクをChrome上でクリックさせれば、ファイルがユーザーの「ダウンロード」フォルダーに保存される。このフォルダーをユーザーが開いた時点で、攻撃者はSMB認証情報を取得できることになる。Windowsのショートカットファイル(.lnk、LNKファイル)もSCFファイルと同様の動作をするが、ChromeではStuxnetの感染が問題になった際にLNKファイルをサニタイズする仕組みが導入されているとのこと。
13280289 story
インターネット

ChromeやFirefoxをそのままUWP化してもWindowsストアでは公開できない 57

ストーリー by headless
障壁 部門より
Microsoftが先日発表したWindows 10の新エディション「Windows 10 S」では既定のWebブラウザーがMicrosoft Edgeに固定されており、変更できない。MicrosoftはどのようなWebブラウザーでもWindowsストアで公開されていれば実行できると述べているが、Google ChromeやMozilla Firefoxが実行できるようになる可能性は低いようだ(MSPoweruserの記事BetaNewsの記事The Vergeの記事On MSFTの記事)。

Windowsストアポリシーの10.2.1には「Web を閲覧するアプリでは、Windows プラットフォームによって提供される適切な HTML エンジンと JavaScript エンジンを使用する必要があります。」との記載がみられる。つまり、ChromeやFirefoxをUWP化しただけではWindowsストアで公開できないことになる。このような項目はこれまで存在しなかったが、変更履歴によれば、1月17日のドキュメントバージョン7.2で追加されたようだ。

ストアポリシーの変更についてMicrosoftでは、ユーザーの安全を保つためだとし、他のストアで入手したアプリが使いたいユーザーはWindows 10 Proにいつでも変更できると述べているとのことだ。

なお、NetApplicationsの4月分デスクトップブラウザーシェアデータによれば、1位のChromeが59%を占めており、以下IE(18.40%)、Firefox (11.80%)、Edge(5.62%)、Safari(3.44%)の順になっている。StatCounterではChromeが63.45%。以下全バージョン合計でFirefoxが14.5%、IEが9.00%、Safariが5.18%となっており、Edgeのシェアは3.72%にとどまる。
13279512 story
Mozilla

Thunderbirdの将来の家 100

ストーリー by headless
計画 部門より
Mozillaは9日、メールクライアントのThunderbirdについて、Mozilla Foundationがプロジェクトの法的・財政的な本拠地を今後も提供する一方で、Mozilla Corporationのインフラストラクチャーから独立して運営を行う方針を発表した(The Mozilla Thunderbird Blogの記事The Registerの記事Ars Technicaの記事)。

Mozillaは2015年、Firefoxの開発に注力するため、Thunderbirdを切り離す方針を発表。プロジェクトの受け入れ先を探していた。受け入れ先の有力候補としてはSoftware Freedom Conservancy(SFC)とThe Document Foundation(TDF)が挙げられており、Thunderbirdを独立したプロジェクトとしてMozilla Foundationがホストする案も出された。

Thunderbird Councilではこれらの選択肢を検討してきたが、Mozilla以外の組織に移動すると技術的な問題の解決や強力なチームの構築の障害になるとの結論に達したとのこと。また、ThunderbirdはMozillaと近い関係にあり続けたいと考えており、MozillaもFirefoxに注力する一方でThunderbirdの成功を望んでいることもあるようだ。

ThunderbirdプロジェクトがMozilla Corporationからの独立を迅速に進められない場合、Mozilla Foundationの援助が打ち切られる可能性もある。ただし、当面の問題が解決したことで、プロジェクトでは技術的な問題に注力できるとのこと。中期的にThunderbirdはGeckoベースアプリケーションであり続けるが、長期的にはWebテクノロジーベースのコードに移行することを計画している。今後もパフォーマンスが高いオープンソースのセキュアな電子メールクライアントを維持していくため、高度に熟練したボランティア開発者を探しているとのことだ。
13271854 story
Mozilla

Mozilla、Symantecが発行した証明書の信頼性回復に関する議論に参戦 86

ストーリー by headless
参戦 部門より
Symantecおよびパートナー企業が発行したSSL/TLS証明書の信頼性回復に関する議論にMozillaも参加するようだ。MozillaのGervase Markham氏がSymantecに対する提案の素案を公表し、Googleグループで検討が進められている(素案Googleグループ投稿The Registerの記事)。

Symantecが運営する認証局の過去2~3年にわたる問題はMozillaでも認識しており、調査を進めていたという。問題は2015年に発生したテスト証明書数千件の誤発行をはじめ、パートナー企業での問題を把握せずに放置していた点などが挙げられており、SymantecがCA/Browser ForumのBaseline Requrementなど業界の指針やベストプラクティスに従わず、顧客の利便性を優先してきたなどと批判している。

Markham氏はSymantecの提案による監査強化などの対策について、適切に実施されるかどうか保証がなく、信頼性の回復につなげるのは難しいと述べるなど、提案の実効性について疑問を呈する。その一方で、Googleによる2番目の提案、Symantecが公開鍵基盤(PKI)を刷新して証明書の発行を適切に管理できるようにすることを支持している。

SymantecがPKI刷新を受け入れない場合、PKIヒエラルキーをすべて含み、傘下のCAを含め発行可能な証明書の種類などを記入した組織図の提供を求めている。一方、EV証明書のEVステータス無効化は不要であるとし、証明書の有効期限はGoogleが提案する最長9か月に対し、最長13か月にすると述べている。
typodupeerror

人生unstable -- あるハッカー

読み込み中...