パスワードを忘れた? アカウント作成

アカウントを作成して、スラドのモデレーションと日記の輪に参加しよう。

13791913 story
Firefox

Firefox 64リリース、シマンテックの証明書が無効に 24

ストーリー by hylom
ついに 部門より
あるAnonymous Coward曰く、

12月11日、Firefox 64がリリースされ、以前から予告されていた通りシマンテックの証明書がついに無効になった(リリースノート)。

シマンテックが適切な確認を行わずに大量のSSL/TLS証明書を発行していたという問題に対処するもの(過去記事)。すでにGoogle Chromeではバージョン70からシマンテックが発行したSSL証明書の失効対応が開始されている。

13790835 story
Firefox

Mozilla、EdgeがChromiumベースになることに対しGoogleの独占を危惧 69

ストーリー by hylom
多様性の欠落は死につながる 部門より

MicrosoftがEdgeブラウザをChromiumベースにすることを発表したが、これに対しFirefoxの開発を行なっているMozillaが公式ブログで「Goodbye、EdgeHTML」と題した記事を公開、Webブラウザの「Chromium独占」に対する危惧を示している(Qiitaに投稿された有志による訳)。

記事ではMicrosoftの決定について、「ビジネスの観点」では十分理解できるものだとしつつ、社会的な面では「基礎的なオンラインインフラストラクチャ」のコントロールをGoogleという1社に握られることは恐ろしいことだとしている。

また、Chromeと競合するFirefoxを開発するというMozillaの活動についてはビジネスのためではなく、「競争と選択」によってインターネットやオンラインの健全性を実現するためだと主張。そして、Chromiumのような単一の製品が大きなシェアを握ってしまった場合、2000年代前半の開発者がブラウザ互換性を考慮せず、特定のブラウザ以外では正しく動作しないサイトやサービスがリリースされるという問題が再び生み出されてしまう可能性があるとしている。

13785605 story
Google

SeaMonkeyでGoogle検索にアクセスするとFirefoxでアクセスした場合とは異なるCSSが送信される 31

ストーリー by hylom
さすがにSeaMonkeyはしょうがないとはいえ 部門より

Webブラウザとメールクライアント、ニュースリーダーなどを統合したアプリケーション「SeaMonkey」でGoogle検索にアクセスすると画面の表示レイアウトが崩れるという話がmozillaZineフォーラムで報告されている

Google検索ではSeaMonkeyでアクセスした場合とFirefoxでアクセスした場合とで異なるCSSを返しており、これが原因でレイアウトの崩れが発生しているようだ。

フォーラムでは有志が検証を行った結果も投稿されているが、User-Agentヘッダーの内容によってCSSの内容が変化するという。SeaMonkeyのユーザーエージェントは「Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 SeaMonkey/2.49.4」となっておりFirefox 52と互換性があることが示されているのだが、Google検索では文字内でバージョン番号を示す末尾の数字だけでユーザーエージェントを判断しているのがこの問題の原因のようだ。

13772489 story
Firefox

Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 4

ストーリー by hylom
漏れてる通知 部門より
headless曰く、

Mozillaは14日、9月にサービスを開始した「Firefox Monitor」のデスクトップ版Firefox限定機能として、最近情報漏洩が判明したWebサイトへのアクセス時に通知する機能の追加を発表した(The Mozilla Blog)。

Firefox MonitorはHave I Been Pwned?のデータを使用して既知の個人情報流出の影響を通知するサービスだ。2017年の計画発表時には今回の通知機能がメインの機能だったが、9月のサービス開始時にはFirefoxに限定せず任意のブラウザーで利用可能なアカウント情報流出スキャンサービスおよび、電子メールによる登録型の通知サービスのみが提供されていた。

通知は12か月以内に情報漏洩が報告されたサイトへアクセスした際に一度だけ表示される。通知からFirefox Monitorサイトにアクセスすることや、通知を今後一切表示しないように設定することも可能だ。この機能は今後数週間かけてFirefoxユーザーに順次提供開始するとのこと。なお、Firefox Monitorサイトで日本語を含む26言語のサポートを追加したことも同時に発表されている。

13771596 story
Mozilla

Mozilla Thunderbird、2019年の大きな計画に向けてソフトウェアエンジニア募集 10

ストーリー by hylom
単価が気になる 部門より

オープンソースのメールソフト「Thunderbird」プロジェクトが来年の「大きな計画」のため、ソフトウェアエンジニアを募集している(The Mozilla Thunderbird Blog)。

業務内容はThunderbirdの改善とメンテナンスで、求められるスキルとしてはオープンソース開発に対する知識や大規模ソフトウェアシステム開発に対する知識と経験、JavaScriptおよびHTML、CSS、C++の知識、デバッグ能力などが挙げられている。

報酬に関する条件は書かれていないが、作業時間は週当たり最大40時間、6か月間(延長の可能性アリ)の契約でリモート作業がメインになるようだ。

13768011 story
インターネット

HTTP-over-QUICと呼ばれていたプロトコルの名称がHTTP/3に 19

ストーリー by hylom
まだ素人にはオススメできませんが 部門より

今まで「HTTP-over-QUIC」と呼ばれていたプロトコルが、「HTTP/3」に改称されるようだ。インターネット関連技術の標準化を行なっているInternet Engineering Task Force(IETF)ですでに議論が行われており、正式な承認が出たという(MozillaのエンジニアDaniel Stenberg氏のブログZDNet JapanマイナビニュースPublickey)。

QUICはGoogleが開発しているネットワークプロトコルで、低レイテンシ、ネットワーク帯域の効率的な利用、暗号化サポートなどが特徴とされている(過去記事)。HTTP-over-QUICはQUICプロトコル上でHTTPを使ってWebブラウザとWebサーバー間の通信を行うもの。すでにChromeブラウザにはQUICが実装されており、Googleのサービスなどで使われている。

13753725 story
お金

Mozilla、実験的にVPNサービスの販売を計画 14

ストーリー by hylom
広告っぽく出るのだろうか 部門より
headless曰く、

Mozillaは22日、米国のFirefoxユーザーの一部を対象に、厳選したVPNサービスの販売実験を行う計画を発表した(Future ReleasesAndroid PoliceThe VergeSlashGear)。

目的はFirefoxユーザーからの要望が多い公衆Wi-Fi利用時のプライバシー保護を実現するとともに、オープンなインターネットの将来のためにMozillaの収入源を多様化させることだという。今回の実験はProtonVPNとの提携により行われるもので、米国のユーザーからランダムに選ばれた小規模なグループを対象として、Firefoxの画面にオファーを表示する。販売するのは月単位のサブスクリプションで、料金はMozillaが受け取り、ProtonVPNに分配する形になる。実験は10月24日に開始し、数か月にわたって行う計画とのことだ。

13747205 story
インターネット

主要ブラウザーは2020年にTLS 1.0/1.1を無効化する計画 13

ストーリー by hylom
あと1年ちょっと 部門より
headless曰く、

10月15日、メジャーブラウザーのTLS 1.0/1.1無効化計画が一斉に発表された(Google Security BlogMicrosoft Edge Dev BlogWebKit公式ブログVentureBeat)。

GoogleはChrome 72(2019年1月に安定版リリース見込み)でTLS 1.0/1.1を非推奨とし、これらのバージョンを使用するサイトで警告が表示されるようになる。さらにChrome 81(2020年1月に早期リリース見込み)ではTLS 1.0/1.1が無効化される。

Microsoftは2020年前半にその時点でサポートされているバージョンのMicrosoft EdgeとInternet Explorer 11のデフォルトでTLS 1.0/1.1を無効にする。Appleは2020年3月以降、iOSとmacOSのアップデートでSafariからTLS 1.0/1.1のサポートを完全に削除する計画だという。

MozillaはFirefoxでのTLS 1.0/1.1サポートを2020年3月に無効化する計画だ(Mozilla Security Blogの記事)。プリリリース版のFirefoxで無効化されるのは2020年3月よりも前になる。具体的な日程については後日発表するとのことだ。

13746247 story
Firefox

Firefox 64ではRSS/Atomフィードのサポートが廃止に 44

ストーリー by hylom
かといって頼れる代替サービスはなかなか見つからず 部門より
headless曰く、

12月にリリースされるFirefox 64ではRSS/Atomフィードのサポートとライブブックマーク機能が削除されるそうだ(Use Tables!FirefoxヘルプRegister)。

MozillaのGijs Kruitbosch氏によると、ライブブックマークは非常に古く非常に遅い方法でブックマークデータベースにアクセスしているため、Quantumのパフォーマンス標準に合わせるには非常な時間と労力が必要になるという。また、専用のXMLパーサーを使用するフィードビューアーは過去7年間大きな更新が行われておらず、ポッドキャストのサポートといったユーザーの求める機能が不足しているそうだ。一方、これらの機能の利用率はセッションの0.01%程度だといい、維持やセキュリティのコストに見合わないとして廃止が決まったとのこと。

Firefox 64以降では、拡張機能のフィードリーダーを利用するか、外部のアプリケーションを利用することになる。既存のライブブックマーク項目については他のフィードリーダーにインポート可能なOPMLファイルとしてデスクトップ上に保存され、通常のブックマークに変換される。なお、Firefox 60 ESRのフィードサポート/ライブブックマーク機能に変更はなく、次のESRブランチ(現在の予定ではFirefox 68 ESR)で変更されるとのことだ。

Google Readerの終了が話題になってから既に5年以上が経過したが、スラドの皆さんは現在もフィードを利用しているだろうか。

13730081 story
Firefox

Mozilla、既知の個人情報流出の影響を通知するサービス「Firefox Monitor」を開始 28

ストーリー by hylom
アドレス自体は送信せずに使えるのね 部門より
headless曰く、

Mozillaは25日、既知の個人情報流出にユーザーの電子メールアドレスが含まれている場合に通知するサービス「Firefox Monitor」を開始した(The Firefox FrontierMediumVentureBeatThe Verge)。

このサービスはHave I Been Pwned?のデータを使用するもので、Firefox MonitorのWebサイトで電子メールアドレスを入力してアカウント情報流出を一度だけスキャンするほか、サインアップすれば詳細リポートや新規情報流出時に通知を受け取ることなどが可能になる。2017年に計画が発表された際はFirefoxの機能として開発されていたが、Firefox Monitorは任意のWebブラウザから利用できる。

2017年時点ではユーザーの電子メールアドレスがHave I Been Pwned?に送信されることに対する懸念も出ていた。そのため、Firefox Monitorでは電子メールアドレスから生成したハッシュの先頭6文字(プリフィックス)のみをAPIへ送信し、残りの文字(サフィックス)を照合に使う仕組みになっている。Have I Been Pwned?のAPIからはプリフィックスに一致するサフィックスを含むデータが返されるので、Firefox Monitor側でプリフィックス+サフィックスがハッシュに一致するデータのみユーザーへ通知するとのことだ(Mozilla Security Blog)。

13729148 story
Firefox

非常に長い名前のBlobでFirefoxをクラッシュさせる攻撃 29

ストーリー by hylom
新バグ 部門より
headless曰く、

CSSを使用してSafariをDoS攻撃する実証コードが先日話題になったが、作者のSabri Haddouche氏(pwnsdx)が今度はJavaScriptを使用してFirefoxをDoS攻撃する実証コードを公開している(Bleeping ComputerBetaNewsNeowin)。

この攻撃は非常に長い名前のBlobを生成して繰り返しダウンロードさせることでFirefoxがクラッシュするというもの。条件によってはOSがクラッシュすることもあるという。実証コードはGitHubで公開されているほか、Webサイト「Browser Reaper」で実際に動作を試すことも可能だ。Windows 10上のFirefox 62で試してみたところ、メモリ使用率が大きく増加していき、Windows自体の操作も困難になった。長い時間はかかったものの何とかPCをスリープさせることができ、復帰後にFirefoxのみクラッシュしたが、放置すればWindowsごとクラッシュするかもしれない。なお、Bleeping Computerの記事ではモバイル版のFirefoxには影響しないとしているが、Android版Firefoxで実行して放置するとアプリがクラッシュした。

この攻撃は以前話題になったGoogle Chromeに対する攻撃と似ている。ChromeのデフォルトではWebサイトによる複数ファイルの連続ダウンロードにユーザーの許可が必要になるため、許可を求めるダイアログで「ブロック」をクリックすれば攻撃を回避できる。ただし、Chrome 69ではダイアログが出たまま放置するとフリーズした。Windowsの応答も遅くなったが、タスクマネージャーでChromeを終了させることは可能だった。Microsoft Edgeの場合はダウンロード確認の通知が表示され、一時的にメモリ使用率が増加するものの、しばらくするとページがリロードされて元の状態に戻った。

MozillaのBugzillaでは複数ファイルの自動連続ダウンロードに対する保護の必要性が2年前から議論されている。ただし、今回の実証コードに対するバグリポート(報告者はおそらくHaddouche氏)は複数ファイルのダウンロードではなく、Blob URLの扱いに関するバグ1438214に統合された。バグ1438214は2月から議論されているが、こちらも現在のところ有効な解決策は出ていないようだ。

Browser ReaperではSafariに対するDoS攻撃の実証コード(Reap Safari)と今回の実証コード(Reap Firefox)に加え、Chromeに対するDoS攻撃の実証コード(Reap Chrome)を試すこともできる。こちらは履歴のナビゲーションをループさせる攻撃だ。Chromeでは実行後しばらくするとタブがクラッシュし、Edgeではページがリロードされた。一方、Firefox上ではReap Firefoxの実行時と同様の状態になってしまった。

13720294 story
Safari

WebページをSafariに読み込ませるだけでiOSデバイスが再起動するCSSベースの攻撃 11

ストーリー by hylom
2010年代のブラクラはOSもクラッシュさせる 部門より
headless曰く、

SafariにWebページを読み込ませるだけでiOSデバイスが再起動するという、CSSを使用したDoS攻撃の実証コード(クリック注意)が公開された。ソースコードもGitHubで公開されている(発見者のツイートNeowin9to5MacZDNet)。

攻撃はネストした多数のdivエレメント(PoCでは3,486個)に対し、処理に3Dアクセラレーションを用いるCSSのbackdrop-filterプロパティを適用するというもので、急速にグラフィックリソースをすべて消費してカーネルパニックを引き起こすというもの。macOS上のSafariでは一時応答しなくなるものの、しばらく待てばタブを閉じることが可能だという。

基本的に影響を受けるのはWebKitベースのアプリのみのようだが、Microsoft Edge/Inernet Explorerではページの読み込みに失敗する。IEの場合は大量にネストされたdivエレメントの処理の方で問題が発生しているようだ。Windows 7上のIEがクラッシュしたという報告もみられるが、手元のWindows 10環境ではIE自体がクラッシュすることはなかった。このほか、Windows 10上のGoogle Chrome/Mozilla Firefox/Opera/Vivaldi/Brave/UC Browserで試してみたが、特に問題が発生することはなくページが表示された。

なお、Chromeは「chrome://flags/#enable-experimental-web-platform-features」をEnabledにしなければbackdrop-filterプロパティが有効にならない。有効にしてPoCを読み込ませると画面が真っ黒になってしまったが、divエレメントの数を1~2個に減らせばフィルターが適用された状態での表示を確認できた。このほかのブラウザーはbackdrop-filterプロパティをサポートしないため、フィルターは適用されない。Android版のChromeでは「enable-experimental-web-platform-features」をEnableにしてPoCを読み込ませると端末ごとフリーズした。ただし、そのまま放置しておくと数分後にはChromeのタブがクラッシュし、操作可能な状態に戻った。

13703063 story
Mozilla

Mozilla、Firefoxの利用者統計データ最新版を公表 50

ストーリー by hylom
色々と面白い 部門より

8月28日、Mozillaがデスクトップ版Firefoxがどのように使われているのかをまとめる報告書「Firefox Public Data Report」を発表している(TechCrunchOSDN Magazine)。

MozillaがFirefoxユーザーの同意を得て収集した利用状況をまとめたもの。公開されている情報はアクティブユーザー数や仕様頻度、使われているFirefoxのバージョン、使われている言語、OS、Firefoxの設定、使用しているハードウェアなど。

これらの情報から、アクティブユーザーについては減少傾向にあること、Tracking Protection機能の利用者は増えているもののまだ利用者は1%ほどということ、アドオンをインストールしているユーザーは3割ほどということ、1割前後のユーザーがAdblock Plusを利用していることなどが分かる。

なお、ハードウェアに関するレポートは5月27日の情報が最新となっているが、これにによると次のようになっている。

  • Intel CPUを使っているユーザーが88.771%
  • コア数は67.243%が2コア、27.827%が4コア
  • メモリは32.588%が4GB、23.908%が8GB
  • GPUはIntelが66.124%、AMDが14.6002%、NVIDIAが14.165%
  • 画面解像度は32.519%が1366×7868、24.872%が1920×1080
13700786 story
Firefox

Mozilla、ページ読込みを遅くするトラッカーなどをFirefoxのデフォルトでブロックする計画 30

ストーリー by headless
阻止 部門より
Mozillaは8月30日、Firefoxの今後のバージョンでページ読込み速度を低下させるトラッキングコンテンツ(トラッカー)などをデフォルトでブロックする計画を明らかにした(Future Releasesの記事The Vergeの記事VentureBeatの記事Android Policeの記事)。

GhosteryがAlexaトップ500サイトを対象に実施した調査によると、少なくとも1つのトラッカーを含むページが90%近くを占め、50以上のトラッカーを含むページは20%以上。平均では読込み時間の半分以上がトラッカーによるものだったという。Firefox Nightlyには読込みに5秒以上かかるトラッカーをブロックする機能が搭載されており、9月にはランダムに選択したユーザーに新機能を試してもらうShield 調査によるテストを計画している。テストがうまくいけば、10月リリース予定のFirefox 63で読込みの遅いトラッカーをデフォルトでブロックするとのこと。
13693069 story
Firefox

Mozilla、addons.mozilla.orgでのレガシーアドオン提供終了計画を発表 17

ストーリー by headless
終息 部門より
Mozillaは21日、Firefox ESR 52のサポートを9月5日をもって終了することを発表するとともに、レガシーアドオンの終息計画を発表した(Mozilla Add-ons Blogの記事Computerworldの記事)。

Firefox ESR 52はレガシーアドオンと互換性のある最後のバージョンだ。Mozillaでは当初、Firefox ESR 52のセキュリティアップデート提供を2017年9月に終了する計画だったが、その後2018年6月に延長し、さらに2018年8月28日まで延長していた。

サポートされるバージョンのFirefoxでレガシーアドオンと互換性のあるものがなくなることにともない、addons.mozilla.org(AMO)ではレガシーアドオンの無効化を開始する。9月6日にはレガシーアドオンの新バージョン受付が無効化され、10月初めにはすべてのレガシーアドオンが無効化される。以降、ユーザーは使用しているレガシーアドオンをAMOで見つけることができなくなる。

なお、レガシーアドオン無効化後も開発者がアドオンをWebExtensions APIに移行してAMOに送信すれば、レガシーバージョンをインストールしていたユーザーは新しいバージョンのアップデートを自動で受け取ることができるとのことだ。
typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...