Firefox1.0.2緊急リリース 101
ストーリー by yoosee
狐、炎上 部門より
狐、炎上 部門より
mew曰く、"先日1.0.1がリリースされたばかりのMozilla Firefoxだが、セキュリティアップデートとして1.0.2が緊急リリースされた。Criticalレベルのセキュリティホール2つ(MFSA 2005-30「GIF heap overflow parsing Netscape extension 2」/MFSA 2005-31「Arbitrary code execution from Firefox sidebar panel」)とLowレベルのセキュリティホール1つ(MFSA 2005-32「Drag and drop loading of privileged XUL」)のFixが告知されている。炎狐使いの各位は出来るだけ早急に入替えされたし。
世界同時リリースとのことで、既に日本語版も利用可能。Ring Server等でも順次ダウンロード可能になると思われる。Firefoxの「ツール」メニュー→「オプション...」→「ソフトウェアの更新」からのアップデートも可能の模様。ただし、Windows用ZIP形式配布版をご使用中の方は注意。1.0(ZIP形式)→1.0.1(インストーラ形式)アップデート時に生じた混乱の反省から、今回以降はリリース版でのZIP形式配布は行われない。これを機会にインストーラ版の利用に切り替えよう。"
ローカルパスに2バイト文字を含む場合のバグも (スコア:3, 興味深い)
これが直らないとメインブラウザにならないよ~。
Path Throw For Fxでも2つ目のファイルオープンで失敗するし…(涙)。
文字列の選択 (スコア:1, 興味深い)
事が相変わらず有るな。
Re:ローカルパスに2バイト文字を含む場合のバグも (スコア:1)
Bug 263570 - Can't open a local file which has non-ascii characters in its path/file name [mozilla.org]
個人的な感想では、1.1リリースでFIXEDかWFMとなりそうな気が。新しめのtrunkでは再現しません (注:beastたん(何))。
Mozilla/5.0 (Windows; U; Win 9x 4.90; ja-JP; rv:1.8b2) Gecko/20050323 Firefox/1.0+
ZIP版 (スコア:2, すばらしい洞察)
そう言うことができなくなるのでしょうか?
―時間みつけて検証しなくちゃ!!
Re:ZIP版 (スコア:2, 参考になる)
タレコミ文中のリンクにありますMozillazineの記事のこの辺 [mozillazine.org]によりますと、ZIP版が欲しいときはリリース版のBuild Idに対応する Nightly build のアーカイブから各自拾え、という方針のようです。素人にはおすすめできない、ということでしょう。
オフトピックですが、携帯メモリデバイスに入れて持ち歩ける Firefox (とThunderbird)については、今月末頃にハギワラ シスコムから出るこういう製品 [hscjpn.co.jp]のニュースも昨日ありましたです。今回のようにセキュリティリリースが出たときにユーザ自身で入れ替えが出来るのかどうかまではニュースリリースからはわかりませんが、ご参考までに。
Re:ZIP版 (スコア:1)
そうなんですよねえ。ないのですよ、なぜか。
日本語版に関しては、リリース版に一番近いのは
firefox/nightly/aviary1.0.1-l10n-candidates/
においてあるやつみたいなのですが、一緒においてあるインストーラ版のファイルサイズがリリース版と微妙に違うので、どこかが違っている可能性も捨てきれなくて。
Re:ZIP版 (スコア:2)
ファイルサイズが異なるって話をどこかで聞きましたよ。
Re:ZIP版 (スコア:1)
何せ Windows 版ですから。
申し訳ないけど、Cygwin 入れるのも面倒。
zip 形式のファイルが公開されていないところをみると、make のターゲットにあるかどうかもあやしいし。
Re:ZIP版 (スコア:1)
検証よろしく!!
Portable Firefox 1.0.2 Beta / Testers Needed - MozillaZine Forums [mozillazine.org]
# 綴りは "Firefox" です。先頭一文字のみが大文字。こちらもどぞ。
バグ (その1?) (スコア:2, 参考になる)
Bug 287459 - bookmarked page in sidebar does not open links correctly [mozilla.org]
カナかな団の躁鬱 [aboutworks.com]より。ウェブパネルに読み込むブックマーク (平たく言えばサイドバーに) のうち一部のリンクが正常に機能しません。具体的にはtarget属性が指定されていないものがサイドバーに読み込まれてしまいます。
Re:バグ (その1?) (スコア:2, 参考になる)
戦わずして人の兵を屈するは、善の善なるものなり
Wikipeida (スコア:1)
ブックマークに入っているWikipediaのスペルが、「Wikipeida」になっているのに
初めて気づきました。
で、今、ユーザプロファイルを退避して、1.02の新規セットアップをやってみたら、
まだ直ってないですね。
ぐぐっても、それらしき発言はないようですし、Bugzillaを検索してもヒットしない。
もしかしてまだ誰も気づいていない?
Re:Wikipeida (スコア:1)
いつも思うけど (スコア:1, 興味深い)
この辺りについて詳しい人がいたら教えてください。
Re:作りわける理由 (スコア:1)
もっとも日本語.xpiはどのプラットフォームでも使えますので、日本語版がリリースされないOS/2とかSolarisでは、非常に有難い拡張機能です。いつもお世話になっております(^^;
Re:作りわける理由 (スコア:2, 参考になる)
含まれてますよ。だから勝手ビルドにも日本語版が有る。だけどWindows環境でビルドできる人ってそうはいないとおもうけど……ソースがあってもWinMeじゃどうしようもない。
ちょっと「多言語対応のインストーラ」の意味が判りません。セットアップ起動時に言語選択ダイアログが出るやつですか。
# msiは「多言語対応」かな。知らないけど。
あと、1.0.2は現在25以上の言語でリリースされています。で、言語リソースは非圧縮で700kBほど (圧縮すると自前JLPの場合150kB以下)。
ThunderbirdとMozilla (スコア:1)
Thunderbird 1.0.2 [mozilla.org]とMozilla 1.7.6 [mozilla.org]がFirefoxより先に出ている。
でも、まだ日本語版はないみたい。Firefoxのように同時リリースをするのは流石に無理なのかな。
アップデートの手順って (スコア:0)
Re:アップデートの手順って (スコア:2, 参考になる)
インストーラの最後の「スタートページをFirefoxのものにする」だけは注意したほうがいいですが。(デフォルトでチェックされているので)
Re:アップデートの手順って (スコア:4, 参考になる)
mozilla firefox 1.0.1 と 1.0.2 が2つになってしまいました。
Re:アップデートの手順って (スコア:2, 参考になる)
Bug 247884 - Upgrading doesn't remove / uninstall the old entry from Add Remove Programs - Windows [mozilla.org]
blocking-aviary1.0.3+なので1.0.3での修正を目指して作業中らしいっす。
Re:アップデートの手順って (スコア:1)
P.S.
もちろんアンインストールしてインストールすればきれいにできることはわかっていますが、
やはり「アップデート」はスマートに扱ってくれると一般のユーザは思うでしょう。
Re:アップデートの手順って (スコア:1, 参考になる)
Re:アップデートの手順って (スコア:1)
インストーラで上書きだったので、全部ありやがる..orz=3
M-FalconSky (暑いか寒い)
Re:ならぶならぶ~ならびます (スコア:2, 参考になる)
アンインストール情報は、レジストリキー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall の下に保存されていますので、気になる人は適宜削除しましょう。。。って、この情報は Bugzilla にでも書き込んだ方が良いのかしら?
むらちより/あい/をこめて。
Re:ならぶならぶ~ならびます (スコア:1)
今後は、それも対策もしてくれると思うし。
ZIP版なくしたなら、その辺もしっかりと対応して欲しいしな。
/* Kachou Utumi
I'm Not Rich... */
Re:ならぶならぶ~ならびます (スコア:1)
Bugzilla-jp にて Bug 4346 [mozilla.gr.jp] として登録しました。。。
むらちより/あい/をこめて。
Re:アップデートの手順って (スコア:1, 参考になる)
インストールしなおすと見た目すっきりしますよ。
プログラムの追加と削除で
インストールログがないとかメッセージが出ますが
リストからは消えます。
アップデートかんりょー (スコア:1)
移動するの面倒なのでユーザプロファイルディレクトリに入れといてほしいのですが…
1を聞いて0を知れ!
Re:アップデートの手順って (スコア:1)
入れ替えただけで引き継いでます。
Re:アップデートの手順って (スコア:1)
>エクステンションとか設定とか全部引き継げるのかな?
他の人が答えてらっしゃるのでそれはいいとして、こういう質問て
アップデートがあるたびに毎回書き込まれそうですねぇ。
まとめサイト [geckodev.org]あたりに回答をFAQとしてまとめておいた方がいいのかも。
Re:アップデートの手順をまとめる (スコア:1)
Re:アップデートの手順をまとめる (スコア:1)
Re:それなら (スコア:2)
エクステンションとか設定とか全部引き継げるのかな?」の場合
「ここ(新しいバージョンにアップグレードしたいのですが)嫁」 [mozilla-japan.org]
つまりFirefox FAQはすでにある [mozilla-japan.org]ということ。3月18日付のMozilla Japanのニュース「エンドユーザ向けサポートページを更新」でチェックしていたので記憶の片隅にあったのですが(^^;
Re:アップデートの手順って (スコア:1, 参考になる)
1.0.1では問題になった点である
・オプションからの更新の確認でアップデート出来る様になった
・エクステンションが場合によっては総入れ直しになる
を心配しなくても良い所です。
あのう (スコア:0)
「オプション」以降がないですが?
「編集」→「設定」→「詳細」→「ソフトウェアの更新」でも見当たらないです。
Mozilla/5.0 (X11; U; Linux i686; ja-JP; rv:1.7.6) Gecko/20050311 Firefox/1.0.1
Re:あのう (スコア:2, 興味深い)
Windows XP Pro + SP2環境ですが,同じく,1.0.1(日本語,インストーラ版)を立ち上げたら,右上の更新チェックアイコンが赤くなっていましたので,そのままアップグレードしました。
この記述を読んで「ゴミ」を探してみたら,プログラムの追加と削除には,1.0.2だけではなくて,1.0と1.0.1もインストールされていることになっていました。気持ちは悪いですが,とりあえず実害は思い浮かばないので,このまま使ってみようかと思います。
Minato NAKAZAWA, Ph.D. Demographer, Human Ecologist
そりゃやめたほうが良いな (スコア:2, 参考になる)
他のプラグイン (エクステンション?) は大丈夫だったけど。
前のインストール消してもブックマーク消えたりしないから、javascript_debugger がうまく入らない人はとっととアンインストール&インストールで入れ替えるが良い。
Re:あのう (スコア:1, 参考になる)
Linux のは HIG [gnome.org] に従うために変えてあるんじゃなかったかな。
4. Menus > Standard Menus > Edit [gnome.org] に、こんなふうに書いてあります。
> The Edit menu contains items relating to editing
> both the document (clipboard handling, search and replace,
> and inserting special objects) and the user's preferences.
Re:狐、炎上部門 (スコア:1, おもしろおかしい)
Re:狐、炎上部門 (スコア:1)
この一語から
A:「いつかローストフォックスになってしまうわ」
B:「燃えない狐は、ただの狐だ」
A:「馬鹿っ!!」
というやりとりを想起する私はダメですかそうですかorz。
# firefoxは狐じゃないのでID。
Re:狐、炎上部門 (スコア:1)
FlameFox でいいんじゃない? FF って略称も代わらないしw。
# なにがフレームの元なんだか知らんけど ID
むらちより/あい/をこめて。
信じる信じないじゃなく (スコア:1)
私は当時「1.0.1 が出た時点で既知だったセキュリティホール」の情報を得ていなかったので、文脈を酌めませんでした。普段 Bugzilla を追っかけてるわけじゃないので。
Bugzilla を見てる人には自明だったのかも知れませんが、私のようなユーザだとどの問題を意味しているのかわからんので、せめてポインタだけでも示して欲しかったと思います。
前ストーリーの話なのでオフトピだし、そもそも元 AC を責めるつもりはないのですが、セキュリティの話はなるべく多くの人にわかる形で問題提起して欲しいなあ。
私の環境に穴が空いていたら、あなた(特定の個人を指しているわけではない)に迷惑をかけてしまうかも知れないわけですよ。
それはお互い本意じゃないでしょ?
[わかってもらうことは難しい。わかってあげることは、もっと難しい。]
Re:信じる信じないじゃなく (スコア:1)
せめて、Firefoxは半角で書いて厨房と思われないようにするとか、バージョン表記を1.0.1と間違えずに書くとか、
そもそもACではなくIDで書くとか、他人にわかってもらえる努力はできるだけすべきだよ。
Re:たとえ穴があったとしてもIE「より」安全 (スコア:1)
それに危険な穴があったとしても、そこが埋められる前に悪意あるサイトで利用されなければ、別に危険ではないと思うが・・・。
Re:たとえ穴があったとしてもIE「より」安全 (スコア:1)
Mozilla/5.0 (OS/2; U; Warp 4.5; ja-JP; rv:1.7.6) Gecko/20050228 Firefox/1.0.1
Re:・・・・誰も信じてくれなかった (スコア:1)
別に意図的に怠けていたわけじゃないのだろうから、「人的資源なんかの都合上、1ヶ月という作業期間をどうしても短縮できなかった」というだけの話でしょ。
もちろん穴は塞がれるべきなんだけど、同じバージョンナンバーでリリースされるプロダクトなのだから、「1ヶ月もかけるなら追加のセキュリティフィクスをしてくれ」よりは「何も追加していないならもうちょっと手早くリリースできんのか」というほうが、主張として筋が通っている(あるいは現実的である)と思いません?
私には前者の主張の方が不自然に感じますよ。
Mozilla Japan の内情は知りませんが、仮に人的リソースが足りなくてそれが不満の元になっているのならば、自ら手助けするか祈るしかないのですよね。
# 祈る人だけど ID。
セキュリティ比較の話は別問題だし、なんとなく水掛け論になりそうなのでこのレスでは書かないことにします。
[わかってもらうことは難しい。わかってあげることは、もっと難しい。]
Re:あれれ (スコア:1)
IEとFirefoxのどちらがよりパッチを当てやすいかは、ユーザの環境によって異なるので一概にはいえないけど、
Firefoxがオープンソースだから当てやすいっていうユーザだっているはず(パッチを自分で適用してビルドできる人とか)。
IEがパッチ配布で明らかに有利な点は、大規模なクライアントを管理している場合にパッチを一斉配布するツールが存在すること、
Windows Updateが比較的良くできていて初心者でも扱いやすいことかな。
あと、Firefoxは何でもBugzillaで公開しちゃうのが嫌いだなぁ。
セキュリティに関わるBugは、非公開の場所で専門チームが対応して欲しいと思う。
Re:あれれ (スコア:1)
ダウト。
bugzillaには「セキュリティ」フラグがあり、セキュリティ関連は非公開となります。例:Bug 278176 [mozilla.org]。また1.0.2にその修正が含まれているBug 284627 [mozilla.org]は、リリース前は公開されていませんでした。
Re:Mozilla→Firefoxへの移行検討中… (スコア:1)
Bug 247893 - Go menu uses global history instead of session history [mozilla.org]
とのこと。やるとすれば拡張で、なのかな。もしくはショートカットキーの付加 (bugzilla.mozilla.orgにはなさそう) か。