パスワードを忘れた? アカウント作成

今週も投票をしましたか?

13647687 story
GUI

ダーク系のUIテーマ、使ってる? 71

ストーリー by headless
暗黒 部門より
Firefox NightlyがWindows 10のライト/ダークモード設定を反映するようになった(Firefox NightlyのツイートBug 1368808)。

Windows 10のライト/ダークモード設定は「設定」アプリの「個人用設定→色→既定のアプリモードを選択します」で選択できる白/黒の配色モード設定だ。この設定が反映されるのは一部のUWPアプリのみで、Windows 10 Insider Previewビルドではエクスプローラーにも反映されるようになっているが、Microsoft Edgeですら別途設定する必要がある。Firefox Nightlyの場合、デフォルトのテーマを選択した場合にWindows 10のライト/ダークモード設定が反映されるようになる。

ライトモードの方は標準的な配色なので特に問題ないが、ダークモードでは非対応アプリの画面がまぶしく感じられることもある。Windows 10に限らず、Webブラウザーの場合はダークモードでも表示内容がWebページ次第となるものが多い。AndroidアプリSamsung Internet BrowserのナイトモードはWebページの配色もダーク系に変更されて見やすいが、メニュー表示やタブ切り替え時などに白い部分が多くなってやはりまぶしい。スラドの皆さんはOS/アプリでダーク系のUIテーマを使用しているだろうか。
13639411 story
Chrome

人気のFirefox拡張機能「Stylish」がポリシー違反でブロック、すべての閲覧履歴を収集か 39

ストーリー by hylom
当時の対応も怪しかった 部門より

指定したWebページに対し任意のCSSを適用させる拡張機能「Stylish」がユーザーのWeb閲覧履歴を収集・送信しているとして、Firefoxからブロックされた(窓の杜)。すでにこの拡張はFirefox Add-onsページからは閲覧できないようになっている(Internet Archiveにアーカイブされている該当ページ)。また、Chrome Web Storeで公開されていたChrome版のStylishについても同様にアクセスできなくなっている。

Stylishについては昨年1月にユーザーデータの収集を始めて騒動になっていた。当時の説明では「個人を特定できない形で情報を収集する」「匿名化された情報を第三者に提供する」とされていたが、実際にはすべてのURLが収集されており、認証トークンなどを含んだURLも送信されていたという。

13635907 story
お金

Google、次の10億人に到達するため KaiOSに2,200万ドルを投資 65

ストーリー by headless
到達 部門より
KaiOS Technologiesは6月27日、Googleから2,200万ドルのシリーズA投資を受けたことを発表した(プレスリリースVentureBeatの記事9to5Googleの記事SlashGearの記事)。

同社が開発するKaiOSはフィーチャーフォンタイプの低価格・低スペック端末で4G/LTEやGPS、Wi-Fi、HTMLベースのアプリなどが利用可能な「スマートフィーチャーフォン」を実現するものだという。KaiOSは新Nokia 8110で採用されて注目を集めたが、インドではキャリア第3位のJioがキャリア専用端末「JioPhone」のOSに採用し、モバイルOSシェアではiOS(9.6%)を上回る2位(15%)となっているそうだ。

Googleの投資の目的は「次の10億人」に到達するためだといい、KaiOSのインドでの成功が大きな原動力となったようだ。投資のほかにも両社はGoogleアシスタントやGoogleマップ、YouTube、Google検索といったアプリをKaiOSユーザーに提供するための協力を行っていくとのこと。

なお、同社ブログ記事ではKaiOSとFirefox OSが「はとこ」のような関係だと説明しているが、開発者向けポータルではMozillaがFirefox OSプロジェクト終了後にオープンソース化したB2G(Boot to Gecko)のフォークだという説明になっている。
13634966 story
セキュリティ

AvastやAVGを利用している環境でFirefoxがTLS 1.3を利用できなくなるトラブル 41

ストーリー by hylom
またAvastか 部門より

セキュリティソフトを導入しているとFirefoxからGoogleのサービスへのアクセスができなくなる、といった問題が報告されている(ghacks.net)。

問題となっているのはAvastおよびAVGのセキュリティソフト。これらのセキュリティソフトを導入した環境でFirefoxでTLS 1.3を利用しようとすると問題が発生するようだ(MozillaのBugzillaAvastのフォーラム)。

また、ChromeでもAvastを利用している環境でTLS 1.3接続関連のトラブルが発生することがあるようだ(The Chromium Projectsでの報告)。

13619967 story
Mozilla

Firefoxのシェア、10%を切る 93

ストーリー by hylom
2番目のブラウザとしては良いのだが 部門より
あるAnonymous Coward曰く、

Netmarketshare社の調査によると、Firefoxのシェアが10%を切り9.92%になったとのこと。2017年6月の段階では12.53%のシェアがあったことから、1年で2割のシェアを失ったことになる(INTERNET Watch)。

この急激な減少は古いのアドオンのサポートを切ったことが影響しているという説がある。実際、同時期にFirefoxとほぼ同じシェアであったIEは11.82%と10%以上のシェアを保っており、今後のFirefoxのシェアの減少は緩やかになるかもしれない。

個人的にはFirefoxは使い勝手が一番マシだから使っており、Rustの採用を進めていることも評価しているのだが、あまりにシェアが減ると存続が危ぶまれることになるかもしれないので、シェアの減少に歯止めがかかってほしいものである。

13619361 story
Mozilla

Mozillaのベテラン開発者、10年前にはFirefoxは負けると考えていた 55

ストーリー by hylom
良いセカンドチョイスではある 部門より

MozillaでFirefoxなどに使われているHTMLレンダリングエンジン「Gecko」の開発に関わっていたRobert O'Callahan氏は、10年前にはGeckoはWebKitの後塵を拝しており、将来性は危ういと考えていたそうだ。氏は当時そのことをブログに記したものの、Mozillaに関わっているためにそれを公開せず、そのMD5ハッシュのみを公開していたという。しかし、そこから時間が経ち、現在でもFirefoxがまだ活発に開発されていることから、このたびそれらの記事を公開することにしたそうだ(Piro氏による翻訳記事)。

氏は2007年当時、大きなシェアを持つオープンソースのブラウザが存在する必要性があると考えていたものの、GeckoよりもWebKitのほうがその役割を果たすのではないかと考えていたという。当時のGeckoは機能面と性能面、そしてコードの簡潔さや品質においてWebKitに負けており、いつかGeckoの開発から手を引いてAppleやGoogleでWebKitの開発に携わる事になるのではないか、と記している。

とはいえ、現実的にはWebKitから派生したChromeが大きなシェアを持つようになっているわけで、この予想が大きく外れたわけではないというのが現状ではある。

13617252 story
Firefox

Mozilla、Firefoxで2つのWebページを並べて表示する機能を実験中 27

ストーリー by hylom
PCでも狭い横幅が流行ったりするのだろうか 部門より
headless曰く、

MozillaがFirefoxの実験的機能をテストするFirefox Test Pilotに5日、2つのWebページを並べて表示できる「Side View」が追加された(MediumThe Verge)。

Side ViewはFirefoxのサイドバーにWebページを表示するというもの。この機能を試すにはFirefox Test PilotサイトをFirefoxで開き、Test Pilot拡張機能とSide View拡張機能をインストールすればいい。ツールバーに追加される「Open Side View」ボタンをクリックすると、現在開いているすべてのタブが「Current Tabs」としてメニュー表示されるので、ここから選択すればSide ViewにWebページを表示できる。

タブで表示されているWebページのコンテキストメニューから現在のページやリンク先のページをSide Viewで表示することも可能だ。最近Side Viewで表示したWebページは5つまでメニューの「Recent」に表示される。Side View内でリンクをクリックするとリンク先ページに移動するが、前のページに戻る操作は用意されていないようだ。

このほか、クリックするだけでFirefoxのテーマを簡単に編集できる「Color」も同日追加されている。

なお、PC版のスラドは右側のスラドボックス部分が固定幅のため、横幅の狭い画面では本文の横幅が非常に狭くなってしまう。モバイルページテスト版サイトであれば、(サイズ調整が必要になることもあるが)Side Viewでも問題なく表示できる。

13612740 story
インターネット

CSSの機能を使用してクロスオリジンのiframeから表示内容を読み取るサイドチャネル攻撃 11

ストーリー by headless
攻撃 部門より
CSSの「mix-blend-mode」プロパティを使い、クロスオリジンのiframeに表示されている内容を読み取ることが可能なサイドチャネル攻撃について、発見者の一人が解説している(Evonideの記事Ars Technicaの記事SlashGearの記事)。

Webページがクロスオリジンのiframe内のDOM要素にアクセスすることはデフォルトで禁じられているが、iframeに別の要素をオーバーレイし、mix-blend-modeプロパティを使用すると色のブレンドが可能となる。「multiply」のように単純なブレンドモードでは処理時間に違いはみられないが、カラーチャネルを分離せずに処理する「saturation」のようなブレンドモードでは下のレイヤーの色によって処理時間が変動するのだという。

これを利用してピクセル単位でレンダリングを実行させ、処理時間を測定すれば、iframe上のターゲットピクセルの色を識別できる。PoCではFacebookのソーシャルプラグインを埋め込んだ攻撃用ページから、Facebookユーザーの名前やプロフィール写真を読み取っている。ただし、1回のレンダリングでは処理時間の違いを測定できないため、多数のsaturationレイヤーを重ねている。また、別のブレンドモードを指定したレイヤーをiframeとsaturationレイヤーの間に入れることで、特定のカラーチャネルを抽出するなどの処理を事前に行っている。

この脆弱性はGoogle ChromeとMozilla Firefoxで確認され、昨年12月リリースのChrome 63と今年5月リリースのFirefox 60でぞれぞれ修正されている。脆弱性は昨年3月に別の発見者がChromiumメーリングリストで報告していたが、Mozillaには手違いで11月まで報告されていなかったため、修正が遅れたとのこと。なお、Safariは発見時点で既に対策済みだったようで、Microsoft Edge/Internet Explorerではmix-blend-mode自体が実装されていない。
13605440 story
ソフトウェア

旧Eudoraのソースコードがオープンソースライセンスで公開される 79

ストーリー by hylom
まさかのオープンソース化 部門より
あるAnonymous Coward 曰く、

1990年代から2000年前半にかけて特にMacユーザーに人気だったメールクライアント「Eudora」のソースコードがComputer History Museumで公開された(GIGAZINE)。

「Eudora」を発音できたらオッサンの証明完了したとも思える懐かしい響き。発音できるオッサン達はこぞって Eudora への愛と情熱を語ろう(笑

EudoraはQualcommが権利を所有していたが、2006年に開発が停止されていた。Computer History MusiumがQualcommからEudoraの商標やソースコードなどの譲渡を受けての公開となり、ソースコードは修正や再配布が自由なライセンス(3条項BSDライセンスに相当)での公開となっている。

Qualcommは2006年にThunderbirdベースのEudoraをMozillaと協力して開発すると発表していたが 、2013年にはこのプロジェクトは終了していることが明らかにされていた。今回公開されたソースコードはEudoraがThunderbirdベースになる直前のもので、バージョンはWindows版が「Eudora 7.1」、Mac版が「Eudora 6.2.4」とのこと。

13599070 story
セキュリティ

OpenPGPとS/MIMEに脆弱性、適切な実装をしていないクライアントが原因 21

ストーリー by hylom
クライアント側で対応できそうだ 部門より
headless曰く、

OpenPGPとS/MIMEで、復号したテキストを攻撃者が取得可能な脆弱性が発見されたとして、使用を一時中止するよう呼びかけられている。脆弱性は「EFAIL」と名付けられ、特設サイトで情報が公開された(EFFの記事[1][2]Ars Technica論文PDF)。

EFAILでは、攻撃者が中間者攻撃などにより取得した暗号化電子メールを用い、この暗号文を含むHTMLメールを元の送信者または受信者に送り付ける。このHTMLメールは暗号文がimgタグのsrcの一部(http://攻撃者のサーバー/暗号文)となるように細工されており、メッセージを読むと復号されたテキストが攻撃者のサーバーに送られるという仕組みだ。

S/MIMEが暗号化に使用するCBCモードとOpenPGPが暗号化に使用するCFBモードでは暗号鍵を知らなくても暗号ブロックの順番入れ替えや削除、挿入が可能であり、これによりメッセージを細工する。Mozilla ThunderbirdとApple Mail、iOS Mailではこういった細工は不要で、3パートの電子メールメッセージで2番目のパートに暗号文を配置し、最初と最後のパートに分割して配置したimgタグで挟むだけで平文が取得できたそうだ。

CBC/CFBモードで改変が可能になるのはS/MIMEとOpenPGPの仕様上の問題であり、正しく実装しているクライアントはすべて脆弱性があると特設サイトでは説明している。これに対しGnuPGのFAQページを管理するRobert J. Hansen氏は、暗号文を改変可能な問題の対策として、GnuPGでは18年近く前から改変が検出された場合やMDC(改変検出コード)がない場合に警告を出していると述べ、警告を無視するクライアントの問題だと反論。脆弱性なしとされたProtonMailもこれに同調している。なお、テストされたOpenPGPをサポートするクライアント28本のうち、攻撃が成功したのは10本にとどまる。

なお、この脆弱性は公表予定とされた日の前日に各所からリークが発生し、その結果予定日よりも早く公表されることになっていたという。

13589459 story
Firefox

Mozilla、Firefoxの新規タブへの広告表示に再挑戦 29

ストーリー by headless
挑戦 部門より
Mozillaは5月7日にリリース予定のFirefox 60で、米国のユーザーを対象に「新しいタブ」画面への広告(スポンサー付きコンテンツ)表示を開始するそうだ (Future Releasesの記事VentureBeatの記事Ars Technicaの記事Neowinの記事)。

スポンサー付きコンテンツはリーディングリストサービス「Pocket」のお勧めセクションに表示されるものだ。Mozillaは昨年Pocketの開発元Read It Laterを買収し、Firefoxから直接利用できるようにしている。昨年11月リリースのFirefox Quantumでは米国・カナダ・ドイツのユーザーを対象にお勧めコンテンツの表示を開始しており、今年初めから米国のユーザーの一部でスポンサー付きコンテンツの表示テストを行ってきた。

このスポンサー付きコンテンツについてMozillaでは、単なるクリック稼ぎではなく、ユーザーが時間を無駄にしない価値あるコンテンツを提供すると説明している。また、パーソナライズはローカルで行われるため、個人情報を収集したり他社と共有したりする必要がなく、Pocketのお勧めコンテンツやスポンサー付きコンテンツはいつでも自由に無効化できるとのことだ。

Mozillaでは2014年に新規タブへの広告表示計画を発表したものの、コミュニティーの反発や懸念を受けて計画を中止。その後ナイトリービルドに一時搭載され、2015年には「Suggested Tiles」として再度テストされていたが、同年12月にユーザーのコアエクスペリエンスに注力すべきだとして取りやめている
13580415 story
マイクロソフト

Microsoft、Google Chromeユーザーを悪意あるWebサイトから守る拡張機能を公開 31

ストーリー by headless
本物 部門より
MicrosoftがGoogle Chrome用拡張機能「Windows Defender Browser Protection」をChromeウェブストアで公開した(公式サイトThe Vergeの記事BetaNewsの記事)。

Windows Defender Browser ProtectionはユーザーがアクセスしようとするWebサイトをフィッシングサイトやマルウェアホスティングサイトなど有害なサイトのリストと照合し、一致する場合はブロックするというもの。つまり、SmartScreenをGoogle Chromeで使用できるようにするということのようだ。同様の機能はGoogle Chromeにも備わっているが、Microsoft Edge 99%、Google Chrome 87%というフィッシング攻撃からの保護率(NSS Labs調べ)を提示し、Windows Defender Browser Protection拡張機能をインストールすることでMicrosoft Edge並みの安全性が保たれると説明している。

公式サイトの動画ではWindows 10 PCでMicrosoft Edgeを使用すれば常に最も安全だと説明しているが、3月のデスクトップブラウザーシェアでMicrosoft Edgeは4%台(StatCounterNet Applications)。一方Google Chromeは60%を超える圧倒的なシェアを獲得しており、このままではWindows 10ユーザーの保護が不十分だと考えたのかもしれない。

なお、Microsoft EdgeとInternet Explorerで公式サイトにアクセスした場合、Microsoft Edgeの導入ページにリダイレクトされてしまう。そのため、公式サイトの内容を見るにはGoogle ChromeやMozilla Firefoxなど別のWebブラウザーでアクセスする必要がある。
13576107 story
Firefox

Firefox、HTTP/HTTPSページでのFTPサブリソース読み込みをブロックする計画 21

ストーリー by headless
阻止 部門より
MozillaがFirefox 61を目標に、HTTP/HTTPSページでFTPからのサブリソース読み込みをブロックする計画を進めているそうだ(mozilla.dev.platformのGoogleグループ投稿The Registerの記事Bleeping Computerの記事)。

Google Chromeでは既にFTPサブリソース読み込みをブロックしている。Firefoxでは攻撃者がFTPを使用することでクロスサイト認証(XSA)攻撃(※)の警告表示をバイパスできる問題(バグ1361848)があり、この解決方法としてChromium.orgの議論などから発想を得てBugzillaで提案されたらしい。このバグ以外にも、サブリソースをブロックすることでFTP関連のセキュリティ問題は多くが解決できると考えられるとのこと。

FTPサブリソースのブロッキングはFirefox Nightlyでは既に実装されているようで、サンドボックス化されたiframeを含め、HTTP/HTTPSページのFTPサブリソース読み込みはデフォルトですべてブロックされるという。Chromium.orgの議論ではブロッキングによる問題が発生したという報告が出ていることもあり、ブロッキングの有効/無効を切り替えるプリファレンスも追加されるようだ。

※ クロスサイト認証攻撃はCSRF攻撃の一種。攻撃者はコントロール下のホストにHTTP認証を設定して画像を保存し、Web掲示板などに投稿する。投稿にユーザーがアクセスすると攻撃者のホストのログインフォームが表示され、Web掲示板のものと誤解したユーザーが入力するログイン情報を取得できる。Firefoxではこのようなログインフォームに対し他のサイトからのものだという警告を表示するが、バグ1361848は攻撃にFTPを使用することで警告表示をバイパスできるというものだ。
13567929 story
Firefox

Mozilla、20周年。FOXKEH DANCEも復刻 4

ストーリー by hylom
気が付けばFirefoxも1.0リリースから14年近くが経過 部門より

Mozilla(旧Netscape)のコードがオープンソースとなって公開された1998年3月31日から、20年が経過した(Mozilla Blog)。

元々は商用ソフトウェアとして販売されていたWebブラウザ「Netscape Navigator」のソースコードが無償で公開されたことは当時話題となり、その後のオープンソース運動に大きな影響を与えた。

また、これを記念して4月1日には「The Foxkeh Dance 2.0」が公開された(Dolske's blog)。これは2008年にMozillaの10周年を記念して公開された「The Foxkeh Dance」を復刻させたものとなっている。なお、このコンテンツを提供している「foxkehdance.com」は関係の無い第三者によって取得されていたようだが、取り返しての新コンテンツ公開になったようだ。

13564519 story
Firefox

Mozilla、他サイトでFacebookに追跡されにくくするFirefox用拡張機能を公開 16

ストーリー by headless
公開 部門より
Facebookによる他サイトでのユーザー追跡を困難にするというFirefox用拡張機能「Facebook Container」をMozillaが公開している(The Vergeの記事VentureBeatの記事BetaNewsの記事)。

Facebook ContainerはFacebookのログイン情報などを独立した「コンテナ」に格納することで、ログインユーザーによる他サイトへのアクセスをFacebookがサードパーティcookieを使用して追跡することを困難にするというものだ。この拡張機能をインストールするとFacebookのcookieが削除され、いったんログアウト状態になる。以降、Facebookは青い線の入った「コンテナ」タブで開かれるようになり、通常通りログインして利用できる。

ただし、他のWebサイトへのナビゲーションが発生するとコンテナ外に移動し、他サイトでFacebookのシェアボタンをクリックするとコンテナ内に移動することになる。そのため、戻るボタンで前のページに戻ることはできなくなる。他のサイトではFacebookにログインしていない状態になることから、他サイトに埋め込まれたコメントプラグインや「いいね」ボタンは機能しない。また、Facebookアカウントを使用したサードパーティサービスへのログインも正常に動作しなくなる可能性が高いとのことだ。
typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...