Firefox セキュリティアップデート公開 37
ストーリー by GetSet
正式版1.0の前にもう一段階 部門より
正式版1.0の前にもう一段階 部門より
KAMUI 曰く、 "現在 Preview Release が公開中の Firefox ですが,10月1日付でセキュリティアップデートが公開されています。(補足:Mozilla Japan の日本語情報)
今回修正された脆弱性は「ユーザーを騙してファイルを保存させながら,ダウンロードディレクトリから他のファイルを削除してしまう可能性」というもので,修正済み最新版(Firefox 0.10.1)と共にパッチも公開されており,Firefox 右上に表示される赤いアップデートアイコンをクリックするだけでインストール可能になっています。"
「署名がありません」って... (スコア:3, 参考になる)
「署名がありません」って...
(日本の)公式からパッチを適用するのにデジタル署名が無いなんて.もちろん無視してインストールするんだけど,いったいどういう場合に「署名があります」を見られるんだろう.
(本家 mozilla.org のパッチも同じく署名は無かった)
これって,Windowsでドライバをインストールするときにもよく出てくるなあ.いつも無視して続行するし,説明書にもそう書いてあることが多い.
署名の有無が,意味をなしていない気がする.無くてもみんな無視して続行するだろうし.どこからダウンロードしてきたファイルか,によって判断するしかないのかな.
Re:「署名がありません」って... (スコア:2, 参考になる)
署名に使う暗号が、米国輸出規制にひっかかるので、実際は署名の確認を行っていないはずです。
また、サードパーティーがいちいちサインしないから、というのもあります。
Windowsのドライバは、WQHL署名(VeriSign ID?)を取得するのが有料だからです。
ここ [verisign.com]によれば、(年間?)$400です。
現状、
> どこからダウンロードしてきたファイルか,によって判断する
で十分なわけでしょう。
"Stupid risks are what make life worth living!" -- Homer Simpson
Windowsドライバの署名の場合 (スコア:3, 参考になる)
# 誰も見てなさそうだけど
WQHL署名は毎回MSの認証テストを受けなければなりません。
そのテスト費用が有料です。ちなみに費用一覧はコチラ [microsoft.com]
ドライバだとOS毎に$250みたいですな
その代わりOSが死ぬ可能性は低いし、ユーザーも安心して使えるというわけですな。
WinNT時代に低品質なドライバに苦しめられた反動というかなんというか・・・
んで、メーカーのドライバだとそもそもそんなん気にしないとか、
製品名称とかメーカーロゴといったドライバ本体とは無関係なとこしか触ってないので、
署名はされてないって出るけど基本的にドライバには問題ないと言ってるわけですな。
更に社内テストとかもしているかもしれませんが。
# グラフィックカードなんかだと特にそうですよね
Re:Windowsドライバの署名の場合 (スコア:1, 参考になる)
インストーラーを起動すると、システムのプロパティ開く→「ロゴ無しでもインストールを許可」をチェック→Apply、をオートで行ってさっさとドライバインストールしてしまう、という男前なインストーラを見た事が。
只、無断でやってるという訳でもなく・・・「このデバイスクラスのHCTをMSが出してくれないからロゴも取れねぇ、やむなくこうしているのでご了承下さい」というMesseageBoxが表示されるという。男前な上に仁義も通す。
しかしまぁ、ロゴプログラムのお陰で、DriverVerifierつかってアホなバグ無いかテストするベンダが増えたような気もするのでクオリティの底上げにはそれなり役に立ってると思ってます。
#WHQLだよね?
Re:Windowsドライバの署名の場合 (スコア:1)
WHQL テストって再起動なしでも云々だとか、スタンバイから復帰で云々だとか、結構厳しいようです。
#MessageBoxだよね?
Re:Windowsドライバの署名の場合 (スコア:1)
ただしこれ、1回のテストごとになので、成功しようが失敗しようがかかるんだよね。なんで実際に WHQL 署名版までいくのに、どれだけの回数テストしたかによってえらく金額が……
だいたい通常対応させるとすると Windows 98SE/Me/2000/XP の四つだから、1回ごとに$1000 飛びますな。9x 系列打ち切ったとしても 2000/XP は必要だから $500。
-- To be sincere...
Re:「署名がありません」って... (スコア:0)
> 署名の確認を行っていないはずです。
ほんと? ソースキボンヌ
Re:「署名がありません」って... (スコア:2, おもしろおかしい)
Re:「署名がありません」って... (スコア:1)
ハッキリとMozilla Crypto FAQ [slashdot.jp]に「問題ない」と書いてありました。(…FAQだよ…)
ここ [mozilla.org]に機能を実験できるファイルがあります。
規制を回避したのを使ってるハズですね…昔ならともかく。
単純に1.0になってないからかもしれません。
1回サインをし始めたら、その後全てにサインしなくてはならないだろうし。
実際、Security Review Guide [mozilla.org]にも書いてありますが、
Extension等は作者がサインをするだけで、安全性の保障などは皆無ですから。
ただ、SpywareなXPIも出てたようので、今後はどうなるか、と。
結局、Review Guideにもあるとおり、
"In short, security is everyone's responsibility."
というところでしょうか。
"Stupid risks are what make life worth living!" -- Homer Simpson
Re:「署名がありません」って... (スコア:0)
規制を回避したのではなくて、輸出規制が緩和されたのではないかしら。
# って、いつの時代の話だ?
しかし、MozillaFoundationの出す物くらいには自署してあっても
良さそうなものだ。仕組みだけ作って放置ってのはいかがなものかと。
Re:「署名がありません」って... (スコア:0)
1998年。俺がまだ幼稚園児だったころだよ。
Re:「署名がありません」って... (スコア:1, 参考になる)
ここでいわれている署名とはまた別の署名の話ですが, Firefox 0.10 以降に mozilla.org からリリースされたものについては, GnuPG による分離署名ファイルが同時に配布されるようになっているようです.
例えば, Firefox 0.10.1 (GTK2+, インストーラ版) であれば,
また, 今回のセキュリティパッチであれば,
といった具合です.
# Firefox 0.10 の署名に使われた鍵と Firefox 0.10.1 の署名に使われた鍵は別のようですが..... 署名者が毎回違うなんてことになると, 公開鍵の管理が面倒くさそう :-(
Re:「署名がありません」って... (スコア:0)
ソフトウェアインストールの小窓が出てきて、署名がなくても「今すぐインストール」をクリックして、
しかし、
拡張機能の小窓が出てくるだけで、「インストールが終了しました」とか「正常にアップデートされました」とか、そういった類の表示は全く出てこない。
ヘルプからバージョン情報を確認しても、それまで
Re:「署名がありません」って... (スコア:1)
自分の場合はなぜかWindows再起動させないとバージョン情報が変わりませんでした。
拡張機能の小窓が出てくるぐらいなら、そこにパッチの履歴ぐらい出してほしいなあ
IEよりセキュアなブラウザとか言うのにいざセキュリティアップデートとなった時、
きちんと当たってるか確認できんのではだめじゃないかなあ。
・パッチの履歴
・ブラウザ再起動および「アップデート終了」のダイアログ
のようなものを出せるようにしてほしいものです。
Firefox 右上に表示される赤いアップデートアイコンを (スコア:2, 参考になる)
...今日会社でやってみたら Firefox が落ちた... -_-;
Re:Firefox 右上に表示される赤いアップデートアイコ (スコア:3, 参考になる)
Tools -> Options... -> Advanced -> Software Update
と開いていってCheck Nowのボタンを押してみたらダイアログが
開いてそこに今回の修正がCritical Updatesとして出た。
んでそのダイアログでCancel押したらFirefoxの右上にも
赤いアイコンが出たがユーザが自主的に操作しないと
告知アイコンが出ないってのはなんか変な気がする。
元々定期的に自動で更新確認してくれるみたいだけど
確認間隔がどうなってるのかイマイチ分からんし。
微妙過ぎるぞこれは。
Re:Firefox 右上に表示される赤いアップデートアイコ (スコア:2, 参考になる)
で、ウチも赤いアイコンが出なかったので、その手順でインストールしたんですが、インストール完了のメッセージが出るだけで、Firefoxの再起動を促すダイアログは出ませんでした。こういうもの?
再起動するまでは、Firefoxのバージョン表示が"0.10"のままなんですけど、問題ないんでしょうか?
Re:Firefox 右上に表示される赤いアップデートアイコ (スコア:0)
Firefoxを再起動しなければならないようだ。
なので再起動を促してこないのは問題あり。
誰かBugzillaにつっこんでくれ。
あと今回のUpdateをインストールして再起動すると
何故か赤いアイコンが出る。クリックしても
updateは見つからないと言われる。
ちなみにモノはFirefox 1.0PR.zip。
Re:Firefox 右上に表示される赤いアップデートアイコ (スコア:1)
まぁ、とりあえず、普通にパッチ適用しますた。
Re:Firefox 右上に表示される赤いアップデートアイコ (スコア:2, 参考になる)
カスタマイズからデフォルトに戻すボタンで、緑のアイコンが見える様に
なりました。
その後、ツールバーから除いちゃったので、赤くなるとこは見ず仕舞い。
Re:Firefox 右上に表示される赤いアップデートアイコ (スコア:1)
Re:Firefox 右上に表示される赤いアップデートアイコ (スコア:0)
エラーが出てアップデートできないのですが...
Re:Firefox 右上に表示される赤いアップデートアイコ (スコア:2, 興味深い)
Re:Firefox 右上に表示される赤いアップデートアイコ (スコア:0)
「ファイルが取得できない」と出てました. 混んでいるからなのでしょうか?
gentoo なので,もしやと思い
# emerge -u -p world
してみると,修正版が出ていました. というわけで,現在は修正された Firefox を 使っています.
わかりにくーい (スコア:2, 参考になる)
しかもファイル名が前と同じだし…
Important Security Update [mozilla.org]ならちゃんと ReleasNotes ぐらい更新しろよ。
Linuxer (スコア:1, 興味深い)
でも一般ユーザで起動するとバージョンが Firefox/0.10 のまま。
どゆこと?
Re:Linuxer (スコア:2, 興味深い)
原因はインストールされたファイル(/install-path/defaults/pref/bug259708.js)の読取許可が出ていないためでした。
パーミッションを出したら一般ユーザーでもバージョンが上がって表示されるようになりました。
PreviewReleaseをルートでインストールするのが邪道なのかもしれません。
Re:Linuxer (スコア:1)
パッチ本体の components/nsHelperAppDlg.js にも読取許可が必要です。
Re:Linuxer (スコア:0)
Re:Linuxer (スコア:0)
挙動が変わってる? (スコア:1)
今回の入れてみました。
# 正式な1.0が出たら、セキュリティアップデートの度に新バージョンを入れるなんてことなくなるんだろうか。
0.9.x LinuxではアドレスバーでC-k,C-a,C-eなどの操作をするとEMacs風だったのに、
何時の間にかWindowsっぽく変わっていますねぇ。
最近やっとその操作に慣れてきた俺としてはちょっと残念。
1を聞いて0を知れ!
Re:挙動が変わってる? (スコア:1, 参考になる)
1.0 PR から変わったようです。
これも GNOME への統合の一環かしらん。
Debian (Sid) では、以前は gnome-desktop-environment というパッケージのインストールには epiphany-browser か galeon のインストールが必須だった (あるいは依存関係に従い前者が自動でインストールされてた) のが、先日 mozilla-firefox がインストールされてれば、それらはどちらも不要 [debian.org]になりました。
GNOME のウェブ・ブラウザとして認められる日も近い?
Re:挙動が変わってる? (スコア:0)
gtk-key-theme-name = "Emacs"
を追加すれば問題解決。
Re:挙動が変わってる? (スコア:0)
# モデレータさん、上のに「参考になる」付けといてください。
スコア0で書き込みたいのでACですがgreenteaです。
FreeBSDのports (スコア:0)
#最近、ようやくportsのtreeがおちついてきたなと思っていたところ
せっかくだから (スコア:0)
Re:せっかくだから (スコア:0)
…実は赤くないのですねw