アカウント名:
パスワード:
日本語版Firefoxでは、この「ソフトウェアの更新」から1.0.3へのアップデートは未だに出来ません。 これ押すとサーバー上の http://aus.mozilla.org/update/firefox/ja-JP.rdf [mozilla.org] ってとこに更新情報を取りに行くんですが・・このRdfが未だに更新されておらんのですよ…。
まあそういうわけで、俺のFireFoxは1.0.2のままです。
# いや上のストーリーを知らなかったら詫びるけど
現状でどうしても自動アップデートを生かしたければ、about:configのapp.update.urlの行を
http://aus.mozilla.org/update/firefox/test/ja-JP.rdf
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
セキュリティ・リスク (スコア:1)
かくいう私もWindowsXP上でFirefoxをメインのブラウザとして利用しているのです
Don't ask me why!
Re:セキュリティ・リスク (スコア:3, 参考になる)
Firefoxはユーザ自ら再インストールが必要なので
危険な状態のバージョン使用者が多い。
WWWサーバのログでUser-agentを見てみたらわかるよ。
いい加減な知ったかぶりに「IEよりFirefoxが安全。これ使え」
って言われて信用し、Firefoxを使ってる低スキルユーザに
古いバージョンのまま使ってる奴多し。
「Firefoxはアップデートが出たら、ウィンドウの右上に
アップデートボタンが出るんだぜ」なんて言われていたら
もう確実にアップデートしてないな。
セキュリティリスクは今やFirefox
ほへ? (スコア:0)
詳細>ソフトウェアーの更新の所に
アップデートがありますけど...
パッチのリリースとフルインストールにタイムラグがありますが
毎回インストールする仕様ではないですよ
ソースが見れるかから即攻撃ってより
IEの問題はシステム関連を書き換えたりできる
余計な部分が多過ぎるから危険なのですよ
その辺が大きく違いますけど
ADblockってあるんだけどあれにドメイン入れると
そのサイト全てブ
Re:ほへ? (スコア:1, 参考になる)
日本語版Firefoxでは、この「ソフトウェアの更新」から1.0.3へのアップデートは未だに出来ません。
これ押すとサーバー上の http://aus.mozilla.org/update/firefox/ja-JP.rdf [mozilla.org] ってとこに更新情報を取りに行くんですが・・このRdfが未だに更新されておらんのですよ…。
Re:ほへ? (スコア:1, 参考になる)
> 日本語版Firefoxでは、この「ソフトウェアの更新」から1.0.3へのアップデートは未だに出来ません。
そもそも、署名を確認していないので [bakera.jp]そのボタンから更新してはいけません(Windows Updateはもちろん確認しています)。
現時点では更新チェックは更新の有無を確認するためだけに使って、実際の更新は手動でダウンロードして署名を確認しないと危険。
参考:
自動アップデートは電子署名検証が必須なのだが…… [takagi-hiromitsu.jp]
Re:ほへ? (スコア:0)
まあそういうわけで、俺のFireFoxは1.0.2のままです。
# 更新チェックが[更新は無いよ]って言うんです
Re:/.Jにも縁がないユーザーならともかく (スコア:1, 参考になる)
# いや上のストーリーを知らなかったら詫びるけど
現状でどうしても自動アップデートを生かしたければ、about:configのapp.update.urlの行を
に変えてみることだ。これで更新のチェックをしてみてほしい。これはテストだからと云々する奴らもいるが、放置プレイのFirefox 1.0.2はIE6と危険度は変わらないなのだから仕方ない。適用が面倒くさければ、Mozilla Foundation セキュリティアドバイザリ 2005-39:Firefox のサイドバーパネルを通じて任意のコードが実行される (2) [mozilla-japan.org]を利用して変更する手口 [srad.jp](リンク先にあるPoC.txtを使う、もちろん無保証)もある。Re:/.Jにも縁がないユーザーならともかく (スコア:1, 参考になる)
せめて
https://aus.mozilla.org/update/firefox/test/ja-JP.rdf
を勧めていただけませんか。まあ実際のダウンロード先がhttp:な上に.xpiが未署名ではあまり意味がないのですが、偽の更新通知を出すことが可能になってますます攻撃が容易になります。
> これはテストだからと云々する奴らもいるが、
app.update.urlは「テストだから」とかいう理由でホイホイ変えてはなりません。あなたにそう言って設定を変えさせようとしているのがフィッシング業者ではないという保証はありますか?
https://*.mozilla.org/~ ならクラックでもされていない限りとりあえず詐欺業者でないことは信じられると思いますが。