パスワードを忘れた? アカウント作成
10508 story

Firefox/Thunderbird 1.0.5日本語版は見送り 239

ストーリー by Acanthopanax
待機 部門より

Anonymous Coward曰く、"先日掲載されたFirefox 1.0.5リリースの話題ですが、拡張機能がらみの問題が見つかり、Mozilla Foundationは早速、Firefox及びThunderbirdの1.0.6リリースに向けて動いている模様。早ければ、今週中にもリリース予定とか。今週中にリリース予定であった各言語版も1.0.5はパスし、1.0.6待ちになる模様。
セキュリティアップデート版も大事ですが、現在開発中のFirefox 1.1(Deer Park)の仕上がりも気になるところ。ちなみにDeer Parkは現在Alpha 2がリリースされているところ。この後、Deer Park Betaと1.1 RCが幾つかリリースされた後に正式版の運びとなる。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • そんな危険なリリースの仕方しかできない、
    日本語版の存在意義はなんなんでしょうか?
    Mozilla Japanの方からもっとMozilla Foundationと
    協力して同時リリースとかできないんでしょうか?
    最低でも日本語版等がリリースされるまで、
    穴の情報等はリリースされるべきではないんじゃないでしょうか?
    それが不可能なら日本語版はリリースしない方が
    良いのではないかと思ったりします。
    --
    romfffromのコメント設定
    AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
    • 一般ユーザは、ほとんどブラウザの安全性について気にすることはありません。よって日本語版が無いとなると、Firefoxから一斉に離れてしまうことになるでしょう。現状、Firefoxは実績面で最も安全に使えるブラウザですので、これが無くなるとセキュリティ管理している者としてはつらいです。実際、Firefoxをもっぱら使って、IEやその派生ブラウザを使っていない人のPCからはほとんどスパイウェアの類は見付かりません。逆にいつもウイルスやスパイウェアの被害で緊急サポートしなければならない人の常用ブラウザは大抵IEです。

      潜在的危険性がゼロでなくても、一般ユーザのセキュリティ向上の敷居を下げてくれたところがFirefoxのえらい所です。アップデートの適用も楽ですし。ノービスなユーザにも勧めやすい。
      親コメント
      • by Anonymous Coward on 2005年07月17日 12時05分 (#768359)

        「ページを正常に閲覧するためには、画面上部をクリックして xpi をインストールしてください」 と表示して手順を示しておけば、 ActiveX を良く分からないままインストールするような人は引っかかるような気がする。

        署名入りの ActiveX をできるだけインストールしないようにしても、署名なしの拡張をほとんど躊躇せずにインストールするのは私だけではないよね? [sakura.ne.jp]


        # Spybot や Ad-Aware とかって Mozilla や Firefox に対応してないような気がするけど、検出してくれるかな?

        親コメント
      • by Anonymous Coward on 2005年07月17日 10時33分 (#768330)

        実際、Firefoxをもっぱら使って、IEやその派生ブラウザを使っていない人のPCからはほとんどスパイウェアの類は見付かりません。逆にいつもウイルスやスパイウェアの被害で緊急サポートしなければならない人の常用ブラウザは大抵IEです。

        仕事でコンピュータの管理をやっているのであれば中身を見せるのは無理だとは思いますが、この辺りの統計情報の公開ソースって有りますか?
        Firefoxを入れている時点で既にセキュリティに対する意識を持っていると言う点も見逃すべきではないと思います。セキュリティを意識せずにFirefoxを使っていても安全かどうか、が問題なのでは。
        親コメント
        • >仕事でコンピュータの管理をやっているのであれば中身を見せるのは無理だとは思いますが、この辺りの統計情報の公開ソースって有りますか?

          ありません。自分のところでの実績です。かなり歴然としています。
          おそらく、Web上のメジャーなニュースサイトでは、MSに気を遣ってこのあたりの実態をはっきり表現していないのかもしれません。

          >Firefoxを入れている時点で既にセキュリティに対する意識を持っていると言う点も見逃すべきではないと思います。セキュリティを意識せずにFirefoxを使っていても安全かどうか、が問題なのでは。

          インストールを勧めています。というか、内部の一部のシステムでは、FireFoxの使用を強制しています。よってほぼ強制インストールです。

          結局、IEに比べマイナーだからスパイウェアなどから相手にされていないというのも大きいと思います。

          余談ですが、最近は、メールクライアントのhtmlメール絡みの脆弱性が穴ではないかと思います。Beckyとか使っているひとはアップデートやってなかったりしますし。
          親コメント
      • by Anonymous Coward on 2005年07月17日 11時01分 (#768337)
        > Firefoxをもっぱら使って、IEやその派生ブラウザを使っていない人のPCからはほとんどスパイウェアの類は見付かりません。

        これはむしろ、セキュリティーを意識するからFirefoxを使っている(人が多い?)、からなのではないでしょうか。
        つまり、もともとセキュリティーを気にしているから被害に遭い難い、と。
        親コメント
        • >これはむしろ、セキュリティーを意識するからFirefoxを使っている(人が多い?)、からなのではないでしょうか。
          つまり、もともとセキュリティーを気にしているから被害に遭い難い、と。

          この傾向は確かにあります。ずぼらでジャンキーなことに手を染めるひとは「IE使わないで」の勧告に耳を傾けることは少ないのです。

          でも全体的に、内部にFirefoxが普及し出したのと同時に、snortのやばいアラートが目に見えて減少して、火消しの緊急出動が減りました。

          #ここ数日一時的に出動が増えちゃったな
          親コメント
      • >現状、Firefoxは実績面で最も安全に使えるブラウザですので、
        そうでしょうか?1.0.4以降を見ている限り、FireFoxがIEと比較して明確に安全だとは言えません。
        私は1.0.4はメモリリーク起こして非常に使いづらかったです。

        #メモリリークを起こしたまま、深刻と称される脆弱性を残したまま、一ヶ月以上もほっといたら駄目でしょ。
        親コメント
      • by Anonymous Coward on 2005年07月17日 16時08分 (#768417)
        おそらく一般のユーザーは最新バージョンを追いかけないと思われるので、たかだか1回分のリリースがないくらいで離れることはないのではないでしょうか。 個人的にはFirefox使っている時点で「一般」とは思えないのですが。
        親コメント
    • そんな危険なリリースの仕方しかできない、 日本語版の存在意義はなんなんでしょうか?

      あなたは、ローカライゼーションチームがどういう状況に置かれているか知っても、そういう後ろ向きの批判しかできないのでしょうか? 一応参考までに mozillaZine.org に掲載された記事を訳してあげましょう:

      原文:Mozilla Firefox and Thunderbird 1.0.6 Releases Coming [mozillazine.org] -- Saturday July 16th, 2005

      Mozilla Firefox 1.0.5 および Mozilla Thunderbird 1.0.5 のリリースからわずか数日しか経っていないが、二つのアプリケーションの 1.0.6 バージョンが来週早々にも発表されるようだ。1.0.5 に施した API の変更が、意図せず複数の拡張機能を壊してしまったことが原因だと見られている。

      bug 300028 の comment 45 [mozilla.org] にあるように、Rafael Ebron は昨日、「拡張機能の開発者やディストリビュータから、拡張機能に悪影響 (セキュリティ問題ではない) を与える API への変更を問い合わせる、1.0.5 に関するフィードバックを受け取った。そのため、この問題を修正した 1.0.6 を予定している。」現時点では Thunderbird 用の Enigmail [mozdev.org] PGP 拡張機能が 1.0.5 では動作しないことが明らかになっている。

      今のところ、Firefox および Thunderbird の 1.0.5 リリースはアメリカ英語版 (en-US) のみが利用できるようになっており、ローカライズ版はダウンロード用には準備されておらず、 ローカライゼーションチームは、これ以上 1.0.5 リリースへの作業をしないようにとの要請を受けている [google.com]。これらの 1.0.5 のローカライズ版はすべて飛ばして、1.0.6 のローカライズ版が用意される予定だ。

      こうした状況に対して、多くのローカライゼーション担当者が不満の声を上げている。Mozilla Foundation からの情報が不明瞭だという不満や、ユーザがすでに公開されたセキュリティ欠陥を抱えたままになってしまうとの指摘も出ている。 bug 300028 [mozilla.org] (Firefox 1.0.5 ローカライゼーション作業を追跡するために作成されたバグ)や netscape.public.mozilla.l10n [google.com] ニュースグループには、多数のメッセージが寄せられている。

      「頼むから、そんなに曖昧な態度はやめてくれ! 何が問題なのかきちんと説明をしてくれ!」とポーランド語のローカライゼーションを担当する Marek Stepien は Firefox 1.0.5 ローカライゼーションの状況に関する netscape.public.mozilla.l10n ニュースグループへのメッセージ [google.com] の中で悲痛の声を上げている。「ポーランドの Firefox ユーザから Firefox 1.0.5 がなぜポーランド語で利用できないのかを尋ねる電子メールを山のように受け取っているんだ (で、僕らローカライゼーション担当チームは、この遅れの責めを受けている)ジャーナリストも同じ質問をしてくる・・・ もう数日遅れたら、合衆国外での Firefox の悲惨な状況を知らしめる大々的な宣伝になってしまう。」

      Zbigniew Braniecki も bug 3000028 の comment 38 [mozilla.org] で同様の見解を表明している:「我々は非常に悪い評価を受けている。ユーザから批判を受けても、我々は説明することもできない。この問題について尋ねてくるジャーナリストにも、我々はこの問題をどう説明して良いのか分からない。1.0.5 の英語版がリリースされたために、すでにセキュリティバグが公開されてしまったため、バグ抱える 1.0.4 をいまだに使っているユーザが何千人もいるんだ。Mozilla Foundation はこの点をまったく無視しており、このような遅れで、各地の市場で Firefox の現地語ブランドを推し進めているローカライゼーションチームが費やした多大な時間を無駄にしたのだ。」

      ブログ上で 1.0.5 ローカライゼーション問題に関する投稿 [kingsonline.net] を書き、現在の状況

      --
      はてな支店 [hatena.ne.jp]
      親コメント
      • 1.0.4のバグを直したら、拡張性に関する新しいバグができちゃいました。
        この新しいバグを抱えた1.0.5を入れると、今まで使えていた拡張性にトラブルが起きるかもしれません。それはまずいので、とりあえず1.0.5は広めるのをやめます。
        すぐにそれを修正した1.0.6を出しますので、それまで待ってください。英語版は1.0.5を出してしまっているので引っ込めませんが、まだ出ていない多言語については、ちょっと待ってくださいね。

        ということを、はっきりとどこかで言ってくれるとよかったのではないかと思います。
        素人でもわかる程度にわかりやすく、自称中級者でも見るようなメディアで。
        親コメント
      • 物ではなく、組織そのものに脆弱性を抱えているように見えますが。
        物がどんなに素晴らしい物であっても、こんな状況ではお先真っ暗な気がしますね。
        親コメント
    • by Anonymous Coward on 2005年07月17日 8時33分 (#768302)
      > 穴が開いたままに
      しないために、素直に英語版を入れました。
      日本語版が有る方が嬉しいですが、
      本質的に、「日本語版でなければ使えない」ものでは無いですので。

      日本語版の存在意義はなんなんでしょうね?
      親コメント
      • by Anonymous Coward on 2005年07月17日 8時39分 (#768303)
        日本語版が存在しないということは、「日本の一般ユーザは使うんじゃねぇ」という意思表示をしたのと同じ事になります。

        若い世代であっても英語版に拒否反応を示す人は少なくないですし、その傾向は世代を上がるほど顕著になります。
        我々のようなアレゲな人間以外への普及を図るためには必要なものです。
        親コメント
        • by Anonymous Coward on 2005年07月17日 15時46分 (#768411)
          なんで英語版が最初にリリースされるのかを考えたら
          悲しくて日本人をやめたくなると思いますが。。。

          小生は「日本の一般ユーザは使うんじゃねぇ」と読まずに
          「やっぱり日本って主流じゃないんだ」と実感しますが。。

          悲しまずになでしこ [nadesi.com]しよ。
          親コメント
      • んんん?

        1.0.5の英語版にて、拡張APIがらみで(セキュリティ関係ではない)
        バグが見つかったから、各国語版のリリースは見合わせて
        次の1.0.6を早急にリリースしますよってことなのに、
        そのバグありの英語版を入れて

        >> 穴が開いたままに
        >しないために、素直に英語版を入れました。

        というのはどういうことでしょう?
        親コメント
      • ちょっとくらい放置しても大したことのない穴なんじゃないですか。
        Fedora Coreのアップデートにもまだ上がってきてませんし。

        # それとも、FCユーザは見捨てられてるのか……
        # どうせ人柱だから穴だらけでもいいや、とか
        --
        1を聞いて0を知れ!
        親コメント
    • by Anonymous Coward on 2005年07月17日 9時12分 (#768309)
      応急処置として「前のバージョンの」JLPを当ててはどうだろうか。
      実際、Linux版のFirefoxでは本体だけ入れ替えても古いJLPが残っていて勝手に日本語化された。
      Windows版のSuiteではJLP当てなおしが必要になるようだが概ね適用できる。
      一部UIに英語の部分が残る場合もあるかもしれないがさほど問題ではないのでは。
      ただし作業は自己責任で、というところか。
      親コメント
    • #別のとこに同様のレスつけちゃったけど

      >そんな危険なリリースの仕方しかできない、
      >日本語版の存在意義はなんなんでしょうか?

      ストーリーのリンク先のとこを読むと、

      >We received feedback on 1.0.5 from distributors and extension
      >developers on API changes that affected them (not a security issue),
      > so we're looking at a 1.0.6 to fix it.

      とあるので、1.0.5で変更があった部分でバグが見つかったから
      (日本語版を含む)各国語版のリリースはとりやめて、修正を入れた
      安全な1.0.6をすぐにリリースしますという話だと思うのですが
      この話のどこが「日本語版は危険なリリースをしている」ということに
      なるのでしょうか?
      1.0.5までの全ての(あるいは一部の)バージョンで欠陥が見つかった
      ということなら、バグ情報をリリースしていると思うのですが、
      今回はそういうバグではないですよね?

      また、同時リリースができないのは安全性とはまた別の問題というか、
      同時リリースをするなら、逆に今回のようなケースでは日本語版も
      バグをかかえることになります。
      親コメント
    • by Anonymous Coward on 2005年07月17日 23時34分 (#768567)
      これが素晴しい洞察になってるあたりかなりイタタな感じですがあえてコメント。

      firefox本体と個々のローカライズ版(実際は言語パックのみ)の開発は別のストリームになってて、firefox本体の開発者から1.0.5のローカライズ版(言語パック)は出すなと御触れが出てるわけです。

      つまり、否が応にも言語パックのメンテナ達は作業が出来んわけです。

      んで、最も大事なのが開発そのものが別の流れをくんでいる(とは言え元のfirefoxありきなのは変りませんが)という事で、言語パックのメンテナが必死にがんばって本体のリリースのペースに合わせる事は可能でもfirefox本体の開発者は"たかが"言語パックのリリースを待つためだけにリリースを延ばしたりしません。言語パックは後で追加される付加要素であり本体ではなく、いわば拡張機能のような立場としてしか見られてません。個々のエクステの追従を待って新バージョンのリリースをしないのと同様言語パックも待ってはもらえませんし、オープンソースである都合上正式リリースと開発者のみへの配布もできません。本家で公開されFTPサーバーにあがってしまった以上公然のものですのでわけられません。

      言語パックのメンテナが正式リリースの時期を事前に見越してcvsからリリース直前のものを拾って作業したとしてもリリース当日には間にあいません。つまり完全に同じタイミングでのリリースは不可能です。またリリースの時間や日付のタイミングの統制を取るメリットというのが開発者達にはほとんどない(デメリットの方が多い)ので、あえて調整もしません。本家開発者がリリースすれば、しゃかりきになって各言語のメンテナがそれを追い掛ける という形になります。またPCを所有できる層で英語がほとんど理解できない人種なんてのは日本人くらいのもんですから、どうしても最新版をリアルタイムで使いたい人のほとんどは「とりあえず英語版でもいい」という人が圧倒的に多いですし、実際それでこまりません。無論母国語で表示される事にこしたことはないですが、日本人程過敏かつ過剰にローカライズに関して神経質な人はそう多くはありません。
      親コメント
      • by Anonymous Coward on 2005年07月18日 0時52分 (#768600)
        >言語パックは後で追加される付加要素であり本体ではなく、いわば拡張機能のような立場としてしか見られてません。

        そもそもローカライズを軽視しているこの姿勢自体が問題。

        それに、mozilla.orgにいけば、トップページで
        Firefox 1.0.4 for Windows, Japanese (4.7MB)
        のダウンロードの案内が出てくるわけだが、
        これで「ローカライズは付加要素」「本体ではない」といっても内輪の論理でしかない。

        「開発者の内部事情を理解して使え」なんていわれても、そんなの知ったことじゃない。

        >またPCを所有できる層で英語がほとんど理解できない人種なんてのは日本人くらいのもんですから、

        日本人が特に英語が理解できないわけではなく、PCが広く普及すれば英語を理解しない人の割合が増えるのは当然。
        韓国などもそうなりつつある。

        >日本人程過敏かつ過剰にローカライズに関して神経質な人はそう多くはありません。

        じゃあ各国ローカライズ担当者は何のために必死に努力しているのだろう?
        親コメント

    • 仮定) mozilla.org では、すべての報告されたセキュリティーホールが、(英語版で)修正される前から bugzilla [mozilla.org] で公表されている。

      # たぶん、この仮定は正しいと思うんですけど。
      # mozilla での開発体制や bugzilla の仕組みについてあまり詳しくないので、自信ないです。
      # 間違っていたら誰か指摘してください。

      以下、この仮定の上に話を進めます。



      セキュリティホールは、次のような流れで公表-修正されているはずです。

      A) bugzilla [mozilla.org] で未解決のセキュリティホールを随時公開

      B) 英語版リリース && (英語版では修正されたけれど日本語版では未解決の)セキュリティホールを発表 [mozilla.org]

      C) 日本語版リリース



      親コメントの次の記述は「B-C 間のタイムラグは問題なので、 B 時点ではセキュリティホールを発表しないでおくべき」と主張している、と私は受け取りました。

      > 最低でも日本語版等がリリースされるまで、
      > 穴の情報等はリリースされるべきではないんじゃないでしょうか?

      しかし、セキュリティホールは既に A 時点で公表されているので、この主張は無意味だといえます。

      親コメント
      • Bugzillaでのセキュリティがらみのバグ報告の扱いは
        ・関係者以外には非公開。
        ・Fixされたリリース版が出回ってから公開。
        が原則です。

        ※ですので、今回の1.0.4→1.0.5でFixされたセキュリティ
         関連バグも、(今のところ)7/20にならないとBugzilla
         では非公開扱いになっています。

        ただし、
        ・非公開で修正中の不具合の詳細が、なんらかのリーク
         によって、またはBugzilaに関りのない第三者によって
         (全く独立に)公開されてしまったとき
        ・そもそもBugzillaへの報告が一切なされないまま
         不具合の詳細情報が公になったとき
        など、非公開にする意味がない・なくなってしまった
        ときは、公開とされます。

        ……と認識しています。部外者ですが。
        親コメント
        • bugzilla は未解決のセキュリティ問題を一般公開してないんですね。

          # 皆さん、指摘してくれてありがとう。

          そんなら、 #768299 の主張はとても重要だってことになりますね。

          主張: 次のいずれかを選択すべきだ。

          • 各国語版を同時にリリースする。

          • 各国語版が一通りリリースされるまで、セキュリティ情報を公開しない。


          # 納得しました。
          親コメント
    • Linux版を(gentooなので独自ビルド扱い)使っててUpdateする度に思うのですが、
      自分の環境だとローカライズセンター [mozilla-japan.org]にある「Mozilla Firefox 1.0+ 日本語版 Win/Linux 用 XPI パッケージ」で日本語化は(たぶん)大丈夫なんですよね

      Windowsの日本語版はリリースまでに結構な時間がかかりますが、その多くは動作チェックにかけてるんでしょうか?
      どのようなプロセスで日本語版がリリースされているのか気になります
      親コメント
  • Stableってなんだろう (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2005年07月17日 13時33分 (#768380)
    1.0.xはStableリリースでしょ。
    それがなんで拡張絡みの仕様変更を伴うのさ。
    StableではJLPの単語の修正すら認めないMozilla Foundationが、何故Stableに仕様変更を加えた?
    Stableでは絶対にバグ修正以外の変更はないと、堅いポリシーがあるとばかり思っていました。

    Mozilla Foundationはいったい何をしているんですか?
    • by Anonymous Coward on 2005年07月17日 14時42分 (#768396)
      そもそも元々の変更はbug 299133 [mozilla.org]あたりの修正の為に行われた。

      問題のAPI(恐らくnsIFileSpec)は2003年前期から廃止扱いで、かつfrozenでも無かったので公式には変えても構わない筈だった。ThunderbirdやFirefoxの一般向けリリースが出たのが2004年後期で同APIを廃止扱いにしてから1年以上後の事だから今更影響する拡張も無いだろう。ということで変えてしまったんだが、実際に変えてみたらEnigmailが動かなくなってさぁ大変ってことで今に至る。

      ちなみに今後はstableブランチでは変えても良い事になっているAPIも変えない事になった。

      という感じだと思う。
      親コメント
  • by Anonymous Coward on 2005年07月17日 17時55分 (#768446)
    すでに穴の種類を公開した以上、当然攻撃者達はそれの種類のコードの開発をしている場合が多い。
    特にFirefoxは攻撃を受けてしまった場合、前バージョンを使っていた場合が一番多い。攻撃者はそれが分かっているから最新バージョンで穴が埋まったと知ってもコードを開発しているのです。

    よくこう言う場合「最新バージョンでは治ってるから批判にはあたらない!」とユーザーの皆さんは言いますが今回の場合はなんと言い訳するのでしょうか。「英語版を入れればいいだろう」と言うのでしょうか?

    世の中にはJLPの使い方、入れ方を知らない人も大勢います。
    ただのマニア向けブラウザではもうないのだから、もっと慎重に開発してほしいですね。拡張に問題があると言うが前バージョンにはなかったんでしょ?なんでこんな問題が発生したのか本家を厳しく追及すべきです。

    いつまでも宗教のように甘くしていたつけですよ。Firefoxばんざい、Mozillaばんざいってね。
    • javaprxy.dll の脆弱性 [itmedia.co.jp]が対策されるまではIEは危険なままだったのを都合よく忘れられるなんて、めでたいというか半可通というか。

      > 最新バージョンでは治ってるから批判にはあたらない

      はぁ? IE はパッチを当てなくても安全だっていうわけ?

      > なんでこんな問題が発生したのか本家を厳しく追及すべきです。

      あ~た、IE はつい水曜に緊急のパッチが出たばかりじゃないですか。それは棚に上げるんですか? まあ、その理屈なら、あなたがまず、米マイクロソフトを厳しく追及しなければいけなくなりますが。「こんなに緊急のパッチを連発するな、マニア向けブラウザではもうないのだからもっと慎重に開発してやがれ」と。

      > いつまでも宗教のように甘くしていたつけですよ。

      どっちも脆弱性はあるが、よりマシな方はどっちか、という事ですな。脆弱性が分かればすぐに直す FireFox、分かってもなかなか直さない IE って事だな。

      親コメント
  • by Anonymous Coward on 2005年07月17日 23時08分 (#768554)
  • いいかげん (スコア:1, 興味深い)

    by Anonymous Coward on 2005年07月17日 10時13分 (#768323)
    firefoxと雖もマイナーマイナーバージョンアップ(即ち1.0.n→1.0.m)をネタにしてトピ立てるの止めませんか?

    #勇気をふるってAC
    • IEの場合、バージョンが上がらなくてもパッチや脆弱性の公表のたびにネタにしてますが何か?

      ニュースサイトとしてはどっちもアリだと思うのでID

      親コメント
typodupeerror

人生unstable -- あるハッカー

読み込み中...