パスワードを忘れた? アカウント作成

13287140 story
Chrome

WindowsのSCFファイルをGoogle Chromeでダウンロードさせ、SMB認証情報を取得する攻撃 29

ストーリー by headless
認証 部門より
Windowsのシェルコマンドファイル(.scf、SCFファイル)とGoogle Chromeの組み合わせにより、SMB認証情報を取得する攻撃手法をセキュリティ企業のDefenseCodeが公開している(DefenseCodeの記事Threatpostの記事The Registerの記事Softpediaの記事)。

SCFファイルはWindows 98で導入され、主にクイック起動ツールバーの「デスクトップの表示」で使われていた。SCFファイルの内容はINIファイルと同様のテキストファイルで、セクションごとに値の名前と値のデータの組み合わせが記述されている。ファイルのアイコンは「Shell」セクションの「IconFile」で指定するのだが、アイコンをUNCパスで指定した場合、アイコンの保存されたフォルダーをエクスプローラーで開く際に、指定されたリモートサーバーへSMB認証情報が送られる。そのため、攻撃者が自分の支配下にあるサーバーのIPアドレスを指定すれば、ターゲットのユーザー名とNTLMv2パスワードハッシュを取得することが可能となる。パスワードハッシュはオフラインでクラックするほか、SMBリレー攻撃に使用することも可能だ。

一方、Google Chrome側の問題は、デフォルトでファイルのダウンロード先を確認せずにダウンロードが実行される点だ。そのため、攻撃用に細工したSCFファイルのリンクをChrome上でクリックさせれば、ファイルがユーザーの「ダウンロード」フォルダーに保存される。このフォルダーをユーザーが開いた時点で、攻撃者はSMB認証情報を取得できることになる。Windowsのショートカットファイル(.lnk、LNKファイル)もSCFファイルと同様の動作をするが、ChromeではStuxnetの感染が問題になった際にLNKファイルをサニタイズする仕組みが導入されているとのこと。
13280289 story
インターネット

ChromeやFirefoxをそのままUWP化してもWindowsストアでは公開できない 57

ストーリー by headless
障壁 部門より
Microsoftが先日発表したWindows 10の新エディション「Windows 10 S」では既定のWebブラウザーがMicrosoft Edgeに固定されており、変更できない。MicrosoftはどのようなWebブラウザーでもWindowsストアで公開されていれば実行できると述べているが、Google ChromeやMozilla Firefoxが実行できるようになる可能性は低いようだ(MSPoweruserの記事BetaNewsの記事The Vergeの記事On MSFTの記事)。

Windowsストアポリシーの10.2.1には「Web を閲覧するアプリでは、Windows プラットフォームによって提供される適切な HTML エンジンと JavaScript エンジンを使用する必要があります。」との記載がみられる。つまり、ChromeやFirefoxをUWP化しただけではWindowsストアで公開できないことになる。このような項目はこれまで存在しなかったが、変更履歴によれば、1月17日のドキュメントバージョン7.2で追加されたようだ。

ストアポリシーの変更についてMicrosoftでは、ユーザーの安全を保つためだとし、他のストアで入手したアプリが使いたいユーザーはWindows 10 Proにいつでも変更できると述べているとのことだ。

なお、NetApplicationsの4月分デスクトップブラウザーシェアデータによれば、1位のChromeが59%を占めており、以下IE(18.40%)、Firefox (11.80%)、Edge(5.62%)、Safari(3.44%)の順になっている。StatCounterではChromeが63.45%。以下全バージョン合計でFirefoxが14.5%、IEが9.00%、Safariが5.18%となっており、Edgeのシェアは3.72%にとどまる。
13279512 story
Mozilla

Thunderbirdの将来の家 100

ストーリー by headless
計画 部門より
Mozillaは9日、メールクライアントのThunderbirdについて、Mozilla Foundationがプロジェクトの法的・財政的な本拠地を今後も提供する一方で、Mozilla Corporationのインフラストラクチャーから独立して運営を行う方針を発表した(The Mozilla Thunderbird Blogの記事The Registerの記事Ars Technicaの記事)。

Mozillaは2015年、Firefoxの開発に注力するため、Thunderbirdを切り離す方針を発表。プロジェクトの受け入れ先を探していた。受け入れ先の有力候補としてはSoftware Freedom Conservancy(SFC)とThe Document Foundation(TDF)が挙げられており、Thunderbirdを独立したプロジェクトとしてMozilla Foundationがホストする案も出された。

Thunderbird Councilではこれらの選択肢を検討してきたが、Mozilla以外の組織に移動すると技術的な問題の解決や強力なチームの構築の障害になるとの結論に達したとのこと。また、ThunderbirdはMozillaと近い関係にあり続けたいと考えており、MozillaもFirefoxに注力する一方でThunderbirdの成功を望んでいることもあるようだ。

ThunderbirdプロジェクトがMozilla Corporationからの独立を迅速に進められない場合、Mozilla Foundationの援助が打ち切られる可能性もある。ただし、当面の問題が解決したことで、プロジェクトでは技術的な問題に注力できるとのこと。中期的にThunderbirdはGeckoベースアプリケーションであり続けるが、長期的にはWebテクノロジーベースのコードに移行することを計画している。今後もパフォーマンスが高いオープンソースのセキュアな電子メールクライアントを維持していくため、高度に熟練したボランティア開発者を探しているとのことだ。
13271854 story
Mozilla

Mozilla、Symantecが発行した証明書の信頼性回復に関する議論に参戦 86

ストーリー by headless
参戦 部門より
Symantecおよびパートナー企業が発行したSSL/TLS証明書の信頼性回復に関する議論にMozillaも参加するようだ。MozillaのGervase Markham氏がSymantecに対する提案の素案を公表し、Googleグループで検討が進められている(素案Googleグループ投稿The Registerの記事)。

Symantecが運営する認証局の過去2~3年にわたる問題はMozillaでも認識しており、調査を進めていたという。問題は2015年に発生したテスト証明書数千件の誤発行をはじめ、パートナー企業での問題を把握せずに放置していた点などが挙げられており、SymantecがCA/Browser ForumのBaseline Requrementなど業界の指針やベストプラクティスに従わず、顧客の利便性を優先してきたなどと批判している。

Markham氏はSymantecの提案による監査強化などの対策について、適切に実施されるかどうか保証がなく、信頼性の回復につなげるのは難しいと述べるなど、提案の実効性について疑問を呈する。その一方で、Googleによる2番目の提案、Symantecが公開鍵基盤(PKI)を刷新して証明書の発行を適切に管理できるようにすることを支持している。

SymantecがPKI刷新を受け入れない場合、PKIヒエラルキーをすべて含み、傘下のCAを含め発行可能な証明書の種類などを記入した組織図の提供を求めている。一方、EV証明書のEVステータス無効化は不要であるとし、証明書の有効期限はGoogleが提案する最長9か月に対し、最長13か月にすると述べている。
13253804 story
Firefox

Firefox 53リリース、Auroraチャンネルは更新を停止 43

ストーリー by headless
更新 部門より
Mozillaは18日、Firefox 53をリリースした(リリースノート)。

新機能としてはCompact Dark/Lightの2つのコンパクトテーマが追加されており、Windowsではブラウザーエンジンのコア部分をメインプロセスから分離してGPU上で実行する「Quantum Compositor」が導入されている。また、64ビット版のWindowsでStubインストーラーを使用すると、インストール時に32ビット版/64ビット版を選択可能となる。

本バージョンではWindows XP/Vistaや32ビット版のMac OS Xがサポートされなくなった。これらのOSのユーザーはFirefox ESR 52を使用すればセキュリティ関連の更新を受け取ることができる。Linux版でも古いプロセッサーのサポートが終了している。Windows Vista環境で試してみたところ、Firefox 53のダウンロードリンクはFirefox ESR 52にリダイレクトされた。別の環境でダウンロードしたFirefox 53のインストールファイルを実行するとWindows 7以降が必要だと表示され、インストールはブロックされた。

また、Auroraチャンネルは更新を停止しており、今後数か月のうちにAuroraビルドはリリースサイクルから除去される。今後はNightly-Beta-Releaseとなってリリースサイクルが速くなるほか、Developer EditionはBetaビルドがベースとなり、安定性が高まるとのこと。

なお、Firefox 54はAuroraからBetaに移行しているが、Firefox 55はNightlyにとどまり、6月に直接Betaに移行する。デスクトップ版のFirefox Aurora 54には重要なセキュリティ関係のアップデートが6月まで引き続き提供され、AuroraとDeveloper EditionのユーザーはBetaチャンネルに移行することになる。Android版のAuroraユーザーはNightlyに移行するとのことだ。
13250865 story
インターネット

ChromeとFirefoxのホモグラフ攻撃対策を迂回する方法 28

ストーリー by hylom
よく思いつくなあ 部門より
headless 曰く、

形の似た文字をドメイン名に使い、フィッシングサイトなどを正規サイトに偽装する「IDNホモグラフ攻撃」は以前から知られており、Webブラウザー側での対策も行われているが、Google ChromeとMozilla Firefoxの対策を迂回する方法が発見されたそうだ(Xudong Zheng氏のブログWordfenceのブログRegisterNeowin)。

ASCII外の文字を含む国際化ドメイン名はPunycodeという方式でASCIIに変換して表現される。このようなドメイン名はPunycodeに変換されたことを示すため「xn--」が先頭に付加されるが、ChromeやFirefoxのアドレスバーやリンクのツールチップでは元の文字に逆変換して表示される。

ChromeFirefoxではホモグラフ攻撃対策の一環として、ドメイン名にラテン文字やキリル文字、ギリシャ文字が混在している場合にPunycodeのまま表示する。しかし、文字種を混在させなければ逆変換表示になることを利用し、キリル文字だけで偽ドメイン名を作れば対策の迂回が可能だ。

キリル文字にはラテン文字と似た字形の文字が多く、フォントによっては全く同じ字形で表示されることもある。PoCとして、Xudong Zheng氏は「https://apple.com/」に見えるドメイン https://www.xn--80ak6aa92e.com/ (https://аррӏе.com/)、Wordfenceは「https://epic.com/」に見えるドメイン https://www.xn--e1awd7f.com/ (https://www.еріс.com/)を公開している。

なお、Internet ExplorerやMicrosoft EdgeではPunycode表記のまま表示される。Safariも同様のようだ。また、Firefoxでは「about:config」で「network.IDN_show_punycode」の値をtrueに変更すれば逆変換を無効にしてPunycode表示に固定することも可能だ。Chromeにはオプションが存在しないが、Chrome 58で対策が行われているとのことだ。

13247729 story
インターネット

Microsoft Edgeを全画面表示に切り替える方法が発見される 40

ストーリー by hylom
画面の小さい環境ではそこそこ便利 部門より
headless 曰く、

Microsoft Edgeを全画面表示に切り替える方法がRedditユーザーにより発見された(RedditのスレッドOn MSFTBetaNewsSoftpedia)。

多くのWebブラウザでは「F11」キーが全画面表示の切り替えに割り当てられているが、Microsoft Edgeの場合は「Shift+Windows+Enter」キーが使われている。このキーを再び押すことで、通常表示に切り替わる。

Internet ExplorerやMozilla Firefoxの全画面表示ではマウスカーソルを画面上端に移動するとタブやアドレスバーなどが表示されるが、Microsoft Edgeの場合は右上に「閉じる」「元のサイズに戻す」「最小化」ボタンが表示されるのみとなっている。

Microsoft Edgeの全画面表示は最も要望の多い機能の一つとなっているにもかかわらず、Microsoftでは存在を明らかにしてこなかった。たとえば、フィードバックHubの英語版では全画面表示を要望するフィードバックが1万件近い賛成票を集めているが、Microsoftの回答は開発を検討しているといった内容になっている。

スラドの皆さんはWebブラウザの全画面表示を利用しているだろうか。

13236399 story
Firefox

Firefoxに「パフォーマンス」関連設定が実装される予定 17

ストーリー by hylom
軽量化となるか 部門より
taraiok曰く、

MozillaはFirefoxのUIの改良を進めており、今後新たにブラウザのパフォーマンスを制御するための設定項目が追加されるという(Bleeping ComputerSlashdot)。

現時点で分かっているのは下記の設定。

  • 使用するプロセス数の変更
  • UIのアニメーション
  • ページプリフェッチ関連
  • すべての拡張機能を無効化して再起動する「Optimize Firefox」ボタン

Bleeping Computerにあるサンプル画面を見ると現在、Firefoxはコア用とコンテンツ用に二つのプロセスを使用しているが、これを任意に変更することができるようだ。また、タブやUIアニメーションの動作も調整できるようになるという。ページプリフェッチは回線が遅いときなどにページプリフェッチを抑制してパフォーマンスを向上させる機能。

記事ではブラウザのメモリ使用量を制御することで、PCのクラッシュやフリーズトラブルを防ぐことができるとしている。

13221436 story
Firefox

Mozilla、Firefox 57への搭載を目標に新デザインのユーザーインターフェイスを開発中 105

ストーリー by headless
新型 部門より
MozillaがFirefox 57への搭載を目標に、新しいユーザーインターフェイスの開発を進めているそうだ(gHacks Tech Newsの記事[1][2]Neowinの記事Bug 1352075)。

この新デザインは「Photon」というコードネームで呼ばれている。公開されているモックアップでは検索ボックスがなく、アドレス/検索バー(Awesome bar)が中央寄りに移動している。ただし、検索ボックスが完全に廃止されるのかどうかは不明だ。現行の安定版でAwesome barに一体化している「戻る」「進む」「再読み込み」ボタンは独立したボタンとなり、ホームボタンと合わせてツールバー左端にまとめられている。

一方、ブックマークボタンはAwesome bar内に移動しており、現在表示中のページに対して実行可能な操作をまとめた「…」メニューも追加されている。このメニューにはURLのコピーやページの共有、スクリーンショット作成のほか、Mozillaが2月に買収したRead It Laterの「Pocket」に保存する項目もみられる。

また、現行版ではアクティブなタブが丸みを帯びたデザインだが、モックアップではIEやEdgeのような四角いデザインとなっている。gHacksの記事には子供向けのようなチュートリアル画面も掲載されている。

Firefox 57は11月の安定版リリースが予定されている。このバージョンでは従来の拡張機能APIが廃止され、WebExtensionsのみのサポートとなる。また、次世代Webエンジン Project Quantumの一部を搭載した初の安定版にする計画も進められているとのこと。
13219283 story
インターネット

米IT企業や教育機関が共同で偽ニュース対策のための新プロジェクトを発足させる 47

ストーリー by hylom
いっぽう日本は 部門より
あるAnonymous Coward曰く、

偽ニュースの拡散への対処やジャーナリズムへの理解を目指して、世界のIT企業や教育機関が連携するプロジェクトがスタートしたそうだ(AFP日経ITpro)。

新たにスタートしたプロジェクト「News Integrity Initiative」には、FacebookやMozilla、米ナイト財団、フォード財団などが合計1400万ドル(約15億6000万円)を出資。米ニューヨーク市立大学のジャーナリズム大学院を拠点とし、独立したプロジェクトとして活動する。

このプロジェクトでは偽ニュース関連問題に対する調査や研究を行うほか、ジャーナリストや一般ユーザーに向けてトレーニングやツールを提供したり、各種イベントを開催したりするという。

13215295 story
Firefox

Firefox、Developer Editionを廃止へ 11

ストーリー by hylom
そういえばそんなものが 部門より
あるAnonymous Coward 曰く、

MozillaがFirefoxのDeveloper Edition(Aurora)を廃止することを明らかにした(Mozilla Flux)。

NightlyとBetaとに挟まれたAuroraの意味があんまりなかった、ってのはあるかな。わざわざ「Developer Edition」と名前変更までしたのにねぇ。

# 最近はBetaまでになかった変更が突如Releaseに現れたりもしてて、Betaの意味も危ういですが :-P

Firefox Developer Editionは2014年に登場したFirefoxの開発者向けバージョン(CodeZine)。最新の機能が投入される「Nightly」ビルドと、その中から安定したと判断されたものだけが組み込まれた「Beta』ビルドの中間の役割をするビルドとして提供されていたが、ユーザーが増えなかったことから廃止に向かうようだ。

13206385 story
Chrome

Google Chromeで複数のタブをまとめて閉じる機能、使ってる? 81

ストーリー by headless
複数のタブが選択できるのは知らなかった 部門より
Google Chromeのタブを右クリックすると表示されるコンテキストメニューから「他のタブをすべて閉じる」「右側のタブを閉じる」の削除が検討されているそうだ(Issue 515930Softpediaの記事Ghacksの記事Redditの記事)。

タブのコンテキストメニューからあまり使われていないメニュー項目を削除することは数年前から議論されており、昨年9月には「他のタブをすべて閉じる」「右側のタブを閉じる」に加え、「すべてのタブをブックマークに追加」を削除する方向でまとまりかけていた。しかし、最近になってGhacksやRedditで取り上げられたことから、再び議論が活発化したようだ。

使用率でみると「すべてのタブをブックマークに追加」が0.64%と圧倒的に少ない。次に少ないのは「タブのミュートを解除」(1.41%)だが、これは「タブをミュート」(5.38%)とセットなので除外されている。「他のタブをすべて閉じる」(2.20%)は3番目に少ないが、「右側のタブを閉じる」(6.06%)は「タブをミュート」よりも多い。

ただし、「右側のタブを閉じる」は右から左に書くRTL言語モードでは「左側のタブを閉じる」にしなければ混乱を招くという問題(Issue 558207)があり、修正に手間をかけるよりも削除すべきだという話になっている。また、複数のタブをCTRL+クリックやSHIFT+クリックで選択してからCTRL+Wで閉じればいいので、コンテキストメニューに残す必要はないとの意見も出ている。

同様のコンテキストメニュー項目はMozilla FirefoxやMicrosoft Edgeにも用意されているが、スラドの皆さんは使用しているだろうか。
13198038 story
Mozilla

モノポリー、次期アップデートに同梱される8種のコマが決定 44

ストーリー by headless
決定 部門より
ハズブロは17日、モノポリーのアップデートに向けて1月に行われたコマの人気投票の結果を発表した(プレスリリースMonopoly公式アカウントのFacebook投稿発表動画)。

得票1位~8位は以下の通り。これらのコマがモノポリーの次回アップデート(8月予定)で同梱されるコマとなる。
  1. スコティッシュテリア
  2. ティラノサウルス
  3. シルクハット
  4. レーシングカー
  5. ラバーダック
  6. ペンギン
  7. 軍艦

新たに追加されるコマは「ティラノサウルス」「ラバーダック」「ペンギン」の3種。候補にはハッシュタグや絵文字、携帯電話(ただし、Motorola DynaTACタイプ)、パソコンといった現代的なアイテムも挙げられていたが、いずれも幅広い支持を集めるには至らなかったようだ。

現在のセットに含まれるコマでは、「指ぬき」の落選が2月に発表されていたが、「ブーツ」「1輪の手押し車」も落選している。430万票以上が投じられた今回の人気投票で、これら3つのコマはそれぞれ10万票に届かなかったそうだ。

13197999 story
Firefox

Mozilla Firefox、moz:プロトコルをサポート 22

ストーリー by headless
新型 部門より
あるAnonymous Coward 曰く、

Firefox 52.0より moz:プロトコルがサポートされた(Bugzilla@Mozilla)。

ロケーションバーに「moz://a」と入力すると、Mozilla Open DesignのWebページへリダイレクトされる。

今回の変更はMozillaの新ロゴが「moz://a」となったことを受け、多くの人がロケーションバーに入力することを想定したもののようだ。Firefox 51までは「moz://a」のWeb検索結果が表示されていた。「moz://a」に限らず、「moz://srad.jp」などと入力した場合も一律にMozilla Open Designのページが表示される。なお、URIスキーム「moz」はIANAに登録済みだ。

13186927 story
Firefox

Firefox 53.0beta、Linux版はPentium 4/Opteron以降のみサポート 45

ストーリー by headless
終了 部門より
Mozillaは7日、Firefox 53.0betaをBetaチャンネルで提供開始した(リリースノートPhoronixの記事Softpediaの記事)。

同日リリースされたFirefox 52Windows XP/Vistaをサポートする最後のメジャーバージョンになる。Firefox 53.0betaではWindows XP/Vistaがサポート対象外になったほか、Mac OS X版は64ビット版のみが提供され、32ビット版のMac OS Xでは使用できなくなっている。また、Linux版ではIntel Pentium 4/AMD Opteronよりも古いCPUのサポートを終了したとのことだ。
typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...