パスワードを忘れた? アカウント作成

みんなの日記の更新状況はTwitterの@sradjp_journalsでもチェックできます。

13524893 story
犯罪

Windows版Google Chromeユーザーを主なターゲットにしたテクニカルサポート詐欺の手法 23

ストーリー by headless
詐欺 部門より
Webブラウザーに偽の警告画面を表示して電話をかけさせるタイプのテクニカルサポート詐欺では、ユーザーの操作を困難にするためのさまざまな手法が用いられるが、Windows版のGoogle Chromeユーザーが主なターゲットとみられる新たな手法による攻撃をMalwarebytesが報告している(Malwarebytes Labsの記事Neowinの記事Ars Technicaの記事SlashGearの記事)。

この手法では、ウイルスに感染したのでISPがPCをブロックしたといった内容の警告とMicrosoftの偽の電話番号を表示するとともに、大量のファイルダウンロードを実行してCPU使用率を100%まで上昇させ、ウインドウやタブを閉じることができないようにする。ダウンロードするファイルは実体があるわけではなく、Blobオブジェクトを生成し、window.navigator.msSaveOrOpenBlobメソッドで保存するというものだ。これを繰り返すことで大量のファイルダウンロードが実行されることになる。
13522170 story
セキュリティ

AV-TEST、Spectre/Meltdown脆弱性をターゲットにした139種類のサンプルを発見 5

ストーリー by hylom
現実的な脅威に 部門より
headless曰く、

ドイツの独立系ITセキュリティ機関AV-TESTでは、Spectre/Meltdown脆弱性をターゲットにしたとみられる139種類のユニークサンプルを1月31日までに発見したそうだ(AV-TESTのツイートGoogle+への投稿HackRead)。

ユニークサンプルの検出数は1月8日以降急激に増加して1月23日までに累計120種類を超え、その後は増加が緩やかになっている。サンプルの多くはWindowsやLinux、Mac OS用にコンパイルされたバイナリファイルだが、Spectreをターゲットにした実際に動作するJavaScriptのPoCも発見されているという。ただし、このPoCは最近リリースされたバージョンのGoogle ChromeやMozilla Firefoxでは動作しないようになっているとのこと。

なお、多くのマルウェア対策プログラムがこれらのサンプルをマルウェアとして検出対象に追加したとみられ、「139種のマルウェアを発見」と報じているメディアも多いが、サンプルの大半はPoCのようだ。そのため、この件についてAV-TESTでは「マルウェア」という用語の使用を避けているとのことだ。

13511975 story
テクノロジー

ロイヤリティフリーで高性能というコーデック「AV1」とその静止画版、不急なるか 42

ストーリー by hylom
ソフトウェア側の対応次第か 部門より
maia曰く、

2015年に発足した「Alliance for Open Media」(AOMediaまたはAOM)のプロジェクト、オープンかつロイヤリティフリーな動画コーデック「AV1」が2017年末から2018年1月にかけてフィックスされたようである。AOMの幹事会社は、Amazon、Apple、ARM、Cisco、Facebook、Google、IBM、Intel、Microsoft、Mozilla、Netflix、およびNVIDIAである(About)。

AV1はVP9の後継をベースに(VP10はキャンセルされた)、Daala(Xiph/Mozilla)とThor(Cisco)の技術も加えて開発された。カラースペースはITU-R BT.2020、色深度は10ないし12ビットで、ロッシー圧縮が基本だが、ロスレス圧縮にも対応する。性能としては、HEVC/H.265より25%良いようだ。エンコードは非常に重たいが、2020年にはチップ化される予定で、ブラウザの対応は2018年~2019年に普及すると思われる。

そこで問題となるのがAV1を応用した静止画版のコーデック(CNET)。まだ開発中だが、HEVCの静止画版より15%改善されるという。という事は、JPEGの後継はAV1の静止画版となるのか?(Slashdot

13509465 story
Firefox

今後のFirefoxの新機能は原則としてHTTPSでのみで利用可能に 35

ストーリー by hylom
脱平文 部門より

Firefoxの一部の機能は「Secure contexts」と呼ばれるHTTPS/TLSで保護された環境でのみ利用できるようになっているが、今後実装される新機能は原則としてSecure contextsでのみ利用でき、非HTTPS/TLS環境では利用できないようにする方針をMozillaが明らかにした(Publickey)。

これには開発関連機能も含まれているという。ただし、ほかのブラウザがすでに非セキュアな環境でも提供している機能や、Secure contextsを必須にすると実装が過度に複雑になるような機能については例外となるという。また、現在非セキュアな環境で提供されている機能についても、今後Secure contextsでのみ有効になるよう変更される可能性もあるという。

13508978 story
Firefox

Firefoxは利用者のハードウェア統計情報を収集・公開している 37

ストーリー by hylom
意外にFlashプラグインのインストール率が低かった 部門より

Firefoxにはオプション設定として「Firefoxが技術的な対話データをMozilla へ送信することを許可する」という項目が用意されており、Mozillaはこれを有効にしているユーザーから収集したFirefox実行マシンのハードウェア情報をFirefox Hardware Reportページで定期的に公開している(窓の杜)。

このデータによると、Firefoxを利用しているPCの88%がIntelのCPUを採用し、またGPUについては66%がIntel製だそうだ。OSはWindows 7が45%で、36%がWindows 10、8%がWindows 8.1、4%がmacOSとなっている。

Hardware ReportページではそのほかGPUのモデルやディスプレイ解像度、CPUのコア数、速度、メモリ容量、アーキテクチャ(64ビット/32ビット)、Flashプラグインのインストール率といった情報についても掲載されている。

13496835 story
インターネット

Windows 10でChromeをBing検索するとEdgeの広告が大きく表示される 74

ストーリー by headless
広告 部門より
Windows 10でGoogle ChromeをBing検索(Bingの国/地域設定が米国に変更されるので注意)すると、米国などではMicrosoft Edgeの広告が大きく表示されるようになっている(Softpediaの記事)。

広告が表示されるのはBingの設定でオーストラリア、カナダ(英語)、インド、インドネシア、マレーシア、南アフリカ、英国、米国(英語)のようにデフォルトの表示言語が英語になる国を選択、または未選択の状態(インターナショナル)にし、「Google Chrome」または「Chrome」を検索した場合のみ。これらの国を選択した状態では表示言語を日本語など他の言語に切り替えても広告が表示されるが、広告の内容は英語版のみのようだ。なお、「Firefox」や「Opera」を検索しても広告は表示されない。

広告の内容はMicrosoft Edgeの低消費電力高速性安全性Cortanaが利用可能といったGoogle Chromeに対する優位性を主張するもので、それぞれ詳細ページへのリンクが用意されている。Microsoftは12月31日にFall Creators Update上でMicrosoft EdgeとGoogle Chrome、Mozilla Firefoxのバッテリー持続時間を比較する動画とGoogle Chromeに対する高速性安全性を主張する動画を公開しているが、リンク先で動画が掲載されているのはバッテリー持続時間のページのみで、動画はCreators Updateバージョンのものだ。

Microsoftさまざま努力にもかかわらずMicrosoft Edgeのシェアは低く、12月時点でNet ApplicationsStatCounterともに4%台だ。一方、Google Chromeはいずれも60%を超えている。MicrosoftはiOS版/Android版のMicrosoft Edgeを公開しており、Android版は100万ダウンロードを超える人気アプリになっているが、まだまだ大きなシェアを獲得するには至っていない
13483792 story
Firefox

Mozilla、Firefoxにプロモーション的コンテンツのための拡張を勝手にインストールさせてトラブルに 35

ストーリー by hylom
これはダメだろ 部門より

Mozillaが米国で放送されているドラマシリーズ「Mr. Robot」のプロモーションのために、プラグイン(拡張)をこっそりとFirefoxにインストールさせたとして批判されている(GIZMODOSlashdotマイナビニュース)。

問題の拡張は「Looking Glass」というもので、この拡張がインストールされ有効になった状態でMr. Robotの特設ページを訪れると、番組と連動したコンテンツが楽しめるというもの。Mozillaはまず英語圏のFirefoxユーザーに向けてこの拡張が自動的にインストールされるように設定していたようだ。また、ユーザーが明示的にこの機能を有効にしない限りこの拡張は何もせず、有効にしても特にデータの収集や共有などは行わないとMozillaは説明している

また、Mozilla側はこのプロモーションにあたり金銭は受け取っていないとし、Firefox利用者に新たな形で拡張現実ゲーム(ARG)を楽しんでもらうためと意図を説明している。しかし、この拡張にはそういった旨の説明はなく、マルウェアと間違われてもおかしくない状況だったようだ。こういったトラブルを受けて、Mozillaは勝手にインストールされたこの拡張をブラウザから消去し、アドオンサイトで公開するよう変更している。

13482835 story
プログラミング

5文字の記号だけで任意のJavaScriptコードを実装する手法、実現の可能性 40

ストーリー by hylom
4文字なら2ビットに収まるのに 部門より

ECMAScript(JavaScript)の新規格として提案されているものの1つに「Pipeline operator」がある。これは「|>」という演算子を利用して()を使わずに関数に引数を与える仕組みなのだが、これを利用することで「[」「]」「+」「|」「>」の5文字だけで任意のJavaScriptコードを記述できるという(5文字で書くJavaScript/ Shibuya.XSS techtalk #10)。

今までも「[」「]」「(」「)」「!」「+」の6文字で任意のJavaScriptコードを記述するという手法「JSFuck」があった。今回紹介されている手法はこれの応用で、|>演算子を利用することで使用する文字を5文字にまで減らしたというもの。手法としてはECMAScriptの組み込み型や組み込み関数などから「[」「]」「+」「>」の4文字を使って文字を取り出し、それを結合することで任意の文字列を作り、|>演算子でそれを呼び出す、という流れになっている。

13481501 story
インターネット

EV証明書を使用して既知の企業になりすませる可能性が指摘される 61

ストーリー by headless
大穴 部門より
EV証明書を使用して既知の企業になりすませる可能性をセキュリティリサーチャーのIan Carroll氏が指摘している(実証ページ兼解説記事Ars Technicaの記事)。

EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。Safariの場合、EV証明書を使用したWebページではアドレスバーにURLが表示されず、発行先の会社名のみが表示されるため、本物のWebサイトに似たフィッシング用のドメインを取得しなくてもユーザーがだまされる可能性もある。9月にセキュリティ専門家のJames Burton氏は「Identity Verified」という会社を設立して取得したEV証明書を使用し、Safariで安全なWebサイトがGoogleやPayPalのログイン情報を要求しているかのように見える例を示して詐欺の可能性を警告している。

Carroll氏の場合は「Stripe, Inc」という会社を米ケンタッキー州リッチモンドで設立して実証サイト「stripe.ian.sh」のEV証明書を取得。オンライン決済サービスを提供するStripe(stripe.com)と同名だが、こちらは本社がカリフォルニア州サンフランシスコにある。しかし、Safariのアドレスバーではstripe.ian.sh、stripe.comともに「Stripe, Inc」と表示されるのみで見分けがつかない。
13464469 story
プライバシ

Mozilla、個人情報が流出したWebサイトの通知機能をFirefoxに追加する計画 17

ストーリー by headless
通知 部門より
Mozillaでは、個人情報流出の発生したWebサイトにFirefoxでアクセスした際、その旨をユーザーに通知する機能の開発を進めているそうだ(Firefox Nightly Newsの記事The Registerの記事BleepingComputerの記事GitHub - BreachAlerts)。

この機能はアカウント情報流出を確認できるWebサイト「Have I been pwned?」のAPIを利用したものだ。現在、Firefox 58/59に拡張機能として追加可能なプロトタイプがGitHubで公開されている。目標としては個人情報流出の被害が最近発生したWebサイトを訪問するユーザーに情報提供し、ユーザーが希望すれば電子メールでの通知サービスも利用可能にすることとなっている。

ただし、プロトタイプではadobe.comlinkedin.comのように、個人情報流出の発生から時間が経ったWebサイトでも通知が表示されるという。また、電子メールでの通知サービスを利用する場合、電子メールアドレスがHave I been pwned?に送られることになるため、プライバシーの問題が懸念される。このプロジェクトはまだ初期の段階だが、ユーザーのプライバシーに影響を与えずに有益な機能を提供する方法の模索が行われているようだ。
13456849 story
Mozilla

Firefox Quantum(バージョン57)公開 167

ストーリー by hylom
UIが変わりすぎて違和感が 部門より
あるAnonymous Coward 曰く、

Mozillaから11月14日、Firefoxのバージョン57となるFirefox 57(Quantum)が公開されました(MozillaOSDN Magazine)。

速度2倍、メモリー30%削減、新しいインターフェイスデザインなどが採用されています。

なお、Firefox 57ではWebExtension APIを使った拡張のみがサポートされる。拡張に関する機能変更については2015年より話が出ていたが、多くの拡張が動作しなくなることが話題となっている(INTERNET Watch)。

13443255 story
Mozilla

東大電子情報工学科の実験課題としてFirefoxへのコミットが行われる 39

ストーリー by hylom
よい授業である 部門より

東京大学工学部電子情報工学科の実験の授業では、オープンソースソフトウェアのソースコードを分析したりコードへの変更を行う「大規模ソフトウェアを手探る」というテーマがあるそうだ。この授業でFirefoxのJavaScriptエンジンであるSpiderMonkeyをテーマに選び、実際にパッチを作成してプロジェクトに送りソースツリーに取り込んでもらう、という流れを行った学生がその詳細をブログで実験レポート代わりに公開している(siquare weblog)。

詳しくはこのブログを見て欲しいが、実験の内容はECMAScriptで提案されている「Pipeline Operator」をSpiderMonkeyに実装する、というもの。授業のTAにSpiderMonkeyのコミッターがいたことや、提案されているものにすでに仕様が付いていたことからこのテーマを選んだとのこと。また、作成したパッチは無事SpiderMonkeyのソースコードにマージされている。

13439349 story
Mozilla

MozillaとMicrosoft、Googleなど、Webブラウザ関連のドキュメントをMDNに集約へ 33

ストーリー by hylom
さらに便利に 部門より

MozillaおよびMicrosoft、Googleなどが、共同でWebブラウザに関するドキュメントをMDN web docsに集約することを発表した(Publickey)。

FirefoxおよびInternet Explorer/Edge、Google Chromeの情報は各社が独自にWebサイトで提供しているが、これらブラウザ毎の情報を1か所にまとめることでWeb開発者の利便性を高めるという動き。これに合わせてドキュメント整備を進めるために各社・各組織の代表者から構成される「Product Advisory Board for MDN」も結成されたとのこと。

13428940 story
Firefox

Mozilla、ドイツのユーザー向けに無許可でアクティビティ記録ツール入りのFirefoxを配布 53

ストーリー by hylom
なぜ告知しない 部門より

Web閲覧データを収集し、それに基づいたリコメンドを表示する「Cliqz」プラグインをFirefoxに同梱することをMozillaが検討しているという。Mozillaはまず実験として、ドイツでFirefoxにCliqzプラグインを同梱することが行われたようだ(Mozillaによる告知Register)。この実験はドイツのユーザーを対象に行われ、FirefoxのダウンロードページからFirefoxをダウンロードしてインストールした場合、その「1%以下」のユーザーに自動的にCliqzがインストールされるという。

あるAnonymous Coward 曰く、

表示したURLとその滞在時間、マウスの動き、入力した文字列、IPアドレスなどが自動でCliqzのサーバーに送信され、このことを利用者は一切知らない(Reddit)。

最近の会議の結果、Cliqzを標準でFirefoxに搭載すること、そしてそれは標準で有効化されそのことを利用者に告知しないということが決定した。Mozillaの従業員、およびCliqzの支援者は「信頼しろ」とのことだが、オプトインを採用せず、そういったマルウェアをブラウザに組み込む人をどう信頼しろというのだろう。

プライバシー重要視のFirefoxフォーク「Tor Browser」を使ってるので無関係ではあるが、ここ数年プライバシーが軽視されがちになってきてるのはなぜなのか?

13426739 story
Firefox

FirefoxのWindows XP/Vistaサポートは2018年6月で終了 50

ストーリー by headless
延命 部門より
Mozillaは4日、FirefoxでのWindows XP/Vistaのサポートを2018年6月に終了すると発表した(Future Releasesの記事VentureBeatの記事The Registerの記事)。

Mozillaは昨年12月にFirefoxのWindows XP/Vistaサポート終了計画を発表していた。Windows XP/Vistaでは今年3月にリリースされたFirefox 52が延長サポート版(ESR)となり、サポートが提供される最後のメジャーバージョンとなっている。セキュリティアップデートについては少なくとも今年9月までは提供されることになっていたが、来年6月まで延長されることになる。ただし、MozillaではWindows XP/Vistaユーザーに対し、MicrosoftがサポートするバージョンのWindowsにアップグレードすることを強く推奨している。
typodupeerror

人生unstable -- あるハッカー

読み込み中...