MozillaにSSL証明書偽装の脆弱性

MozillaにSSL証明書偽装の脆弱性 71

ストーリー by Oliver 2004年08月01日 20時34分
直したらユーザの手元に届けないとね部門より

kamuy 曰く、 "cipherのアドバイザリとSecuniaのアドバイザリによると、MozillaおよびMozilla Firefoxにて、SSLによる暗号化通信のための証明書を偽造してなりすまし(いわゆるPhishing詐欺)が可能となる脆弱性が確認されたとのこと。キャッシュの仕組みに問題があるらしいのですが、コレが成功すると「鍵」アイコンも表示されてしまうというモノのようです。未だにmozilla本家でも特に告知はなされていないようですが、現在のところ対策パッチ等は出ていないらしいので注意が必要です。
(CNET Japanの記事, 窓の杜の記事)"

Mozillazineによるとバグ#253121は修正済だが、このパッチを含むバージョンはリリースされていない。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索71コメント Log In/Create an Account

UI偽装の脆弱性もありますぜ (スコア:2, 参考になる)

by Anonymous Coward on 2004年08月01日 21時14分 (#599486)

MozillaのUIを偽装可能な脆弱性 [slashdot.org]の方が気になる。
Firefoxのテストケース [nd.edu]見る限りでは、何でもあり状態…
- これもNightlyでは修正済みの模様 (スコア:3, 参考になる)
  
  by gy0 (3393) on 2004年08月01日 23時16分 (#599601) 日記
  
  それを受けて，総論としてXUL実行のポリシー管理が緩くて危ない(からきちんとしようぜ) [mozilla.org]，という向きがあるようですね．
  
  信頼できない外部サイトからローカルのchromeを参照させない [mozilla.org]，
  という各論部分に関しては既にResolved Fixed．
  むろんMilestoneはまだですが，今回の話題の問題の修正された版では
  こちらも修正された状態で出るかと．
  
  --
  gy0
  
  シェア
  
  親コメント
- Re:UI偽装の脆弱性もありますぜ (スコア:2, 参考になる)
  
  by Anonymous Coward on 2004年08月02日 17時34分 (#599986)
  
  UI 偽装の脆弱性については、予防策のひとつとして、
  
  http://pc5.2ch.net/test/read.cgi/software/1090992937/127
  > user_pref("dom.disable_window_open_feature.location", true);
  > を user.js に仕込んでおけば window.open で
  > アドレスが隠されることはないから spoof に対して最低限の予防になる。
  >
  > user_pref("dom.disable_window_flip", true);
  > user_pref("dom.disable_window_move_resize", true);
  > user_pref("dom.disable_window_open_feature.menubar", true);
  > user_pref("dom.disable_window_open_feature.minimizable", true);
  > user_pref("dom.disable_window_open_feature.resizable", true);
  > user_pref("dom.disable_window_open_feature.scrollbars", true);
  > user_pref("dom.disable_window_open_feature.titlebar", true);
  > user_pref("dom.disable_window_open_feature.toolbar", true);
  > user_pref("dom.disable_window_open_feature.status", true);
  > この辺もやっとくのが吉。
  
  というものがあるようです。参考まで。
  
  シェア
  
  親コメント
とりあえずの対策 (スコア:2, 参考になる)

by Tsukitomo (22680) on 2004年08月01日 21時36分 (#599505) 日記

もじら組BBS [mozilla.gr.jp]やえむもじら [xrea.com]によると、とりあえずJavascriptをOFFにすることで問題は回避できるようです。

で、えむもじらによると
Mozilla News の記事では、"Patched versions of the Suite and Firefox will be available soon." となっているので、もうじき修正版がリリースされるみたいですね。
だそうです。

# オタではないけど、Mozillaユーザとしての第一声を挙げてみた。

--
Your 金銭的 potential. Our passion - Micro$oft

Tsukitomo（月友）
- Re:とりあえずの対策 (スコア:0)
  
  by Anonymous Coward
  
  ていうか、要するに昔からの鉄則
  「プラグインONの状態で閲覧する時は、いかなるブラウザであろうと
  　よく解らないサイトに立ち入らない」で対策できるのでしょうけどｗ
  - Re:とりあえずの対策 (スコア:1)
    
    by U-Chan (6901) on 2004年08月02日 14時10分 (#599921)
    
    Javascript ならすぐ ON/OFF 出来るけど、プラグインの方を ON/OFF するのに何か便利な方法があったりしたら知りたいなぁ……と思っている今日この頃。
    あれば、普段は全部 OFF で、いるものだけ ON にするんだけど。
    
    シェア
    
    親コメント
  - Re:とりあえずの対策 (スコア:0)
    
    by Anonymous Coward
    
    >プラグインONの状態で閲覧する時は、いかなるブラウザであろうとよく解らないサイトに立ち入らない
    
    そんな法則聞いたこと無いけど。ていうか見られない･先に進めないページ続出で不便ジャン。
1.8系では？ (スコア:1)

by KAMUI (3084) on 2004年08月01日 21時54分 (#599519) 日記

現在 1.8 alpha2 が公開されていますがこちらの方も問題アリなんでしょうか？
- Re: Warpzilla 1.8a3 nightlyでは (スコア:2, 参考になる)
  
  by SassyOS2 (8523) on 2004年08月01日 23時15分 (#599600) ホームページ日記
  
  Oliverさんのタレコミの注釈にあるBugzilla Bug 253121 [mozilla.org]については，testcase [mozilla.org]で確認できます。
  Mozilla 1.8a3 Nightly
  Mozilla/5.0 (OS/2; U; Warp 4.5; en-US; rv:1.8a3) Gecko/20040729
  では修正されているのを，たった今確認しました。(^^;
  たぶんマイナーアップデートをリリースするより，次の1.8alpha3できちんと修正する方にしたのでしょう。でも次のリリースの見通しは立たなくても，せめて告知くらいはしてほしいなあ＞Mozilla.orgさまっ
  # もしやMozilla.orgには，人手と予算が足りないのか？
  # 半月前に頼んだMozilla Tシャツもまだ届かないし（それは違うかも）
  
  シェア
  
  親コメント
- Re:Warpzilla latest-1.4.2でも修正済み (スコア:2)
  
  by SassyOS2 (8523) on 2004年08月02日 0時15分 (#599643) ホームページ日記
  
  Mozilla 1.4.2
  Mozilla/5.0 (OS/2; U; Warp 4.5; en-US; rv:1.4.2) Gecko/20040730
  こちらも修正されていました。ただOS/2版FireFoxにはnightlyがリリースされないので，FireFoxについては不明です（言い訳モード）
  
  シェア
  
  親コメント
タレコミ文の誤り (スコア:1)

by jbeef (1278) on 2004年08月01日 23時12分 (#599598) 日記

タレコミには
SSLによる暗号化通信のための証明書を偽造してなりすまし
とありますが、この脆弱性の悪用で、証明書が偽造されるわけではありません。本物サイトの本物証明書を誤って偽サイトの画面とともに表示してしまうというのが、この脆弱性でしょう。
- なにいっているのかさっぱりわからない (スコア:0)
  
  by Anonymous Coward
  
  どんなことをするとあぶないのかMicrosoftの「絵でみるセキュリティ情報」ぐらいにわかりやすく説明してくんろ。
  - Re:なにいっているのかさっぱりわからない (スコア:3, 参考になる)
    
    by jbeef (1278) on 2004年08月01日 23時56分 (#599629) 日記
    信用できないサイト（もしくは信用できない電子メール）からのリンクをたどって、自分が知っているサイトらしき画面にたどり着いたとき、その画面が、本物のその知っているサイトであると信用する（パスワードや個人情報を入力する必要があるなどの目的で本物サイトであることを確認する）には、以下のいずれかを確認する必要があるが、今回の脆弱性を悪用した罠がしかけられていると、2番目の方法では偽物と本物を区別できないということです。
    
    URLを見て、ドメイン名が知っているサイトと同一であり、https:// になっている。
    ブラウザの錠アイコンがロックされていることを確認し、そこをクリックするなどして証明書を表示させ、その内容が知っているサイトの組織名と一致しているか確認する。
    シェア
    
    親コメント
    - Re:なにいっているのかさっぱりわからない (スコア:0)
      
      by Anonymous Coward
      
      なにいっているのかさっぱりわからない
      - Re:なにいっているのかさっぱりわからない (スコア:1, すばらしい洞察)
        
        by Anonymous Coward on 2004年08月02日 0時18分 (#599647)
        
        これが理解できないんだとしたら、この脆弱性ですり抜けられるトラップが出てくるより以前の段階でもう罠にはまってるはずなんで、この脆弱性が直ってても直ってなくてもそんなユーザには関係がないです。
        
        シェア
        
        親コメント
      - Re:なにいっているのかさっぱりわからない (スコア:0)
        
        by Anonymous Coward
        
        つまり
        URLを見て、ドメイン名が知っているサイトと同一であり、https:// になっている。
        ことを確認すればいいってことですよ。
        # ログインしすぎでM1貰えないのでAC
  - 形式だけは真似てみましたが、 (スコア:3, おもしろおかしい)
    
    by Anonymous Coward on 2004年08月02日 7時57分 (#599755)
    
    > 「絵でみるセキュリティ情報」ぐらいにわかりやすく
    絵でみる…は「わかりやすい」と言うよりは「何もわからない」物だと思うのですが、形式だけ真似てみました。内容はテキトーなので信用しないでください。もちろん絵はありません。
    
    > どんなことをするとあぶないのか
    は、「どんな風に攻撃されるのですか?」を見て…も、ほら、わからないでしょ?(違
    
    ----
    
    絵でみるセキュリティー情報
    Bug#253121
    ウェブブラウザ用のセキュリティー更新
    
    登録日:2004/08/02
    更新日:2004/08/02
    
    どの製品を使っている人が関係しますか?
    
    下記の製品を使っている人が関係します。この情報をよく読んで、修正されたプログラムをインストールしてください。
    ・Mozilla 1.4.2
    ・Mozilla 1.7/1.7.1
    ・Mozilla 1.8a2
    ・Mozilla Firefox 0.9.1/0.9.2
    
    使用しているウェブブラウザのバージョンはメニューの[ヘルプ(H) ][製品名について] で確認してください。
    注意:製品名には Mozilla などの製品名が記載されます。
    
    どのくらい危険な問題ですか?更新プログラムはインストールした方が良いですか?
    
    |注意|警告|重要|**緊急**|
    低←----------------→高
    (AC注:決して信用しないでください。鉛筆を転がして決めました。)
    
    このページの登録時には直接の被害はまだACには報告されていません。ACの転がした鉛筆はこの問題が悪用される可能性が高いと考えています。修正バージョンがリリースされたら、すぐに対策することをお勧めします。
    
    このセキュリティー問題の危険性(深刻度)は緊急レベルです。
    修正バージョンがリリースされたら、すぐに対策をしてください。
    各レベルの違いについての詳しい説明はこちら [microsoft.com] へ
    
    どんな風に攻撃されるのですか?
    
    Webページに危険なプログラムを忍ばせます。→Webページを見ると攻撃を受けます。
    (AC注:つまり、鍵のかかったアイコンが不正に表示される段階の事を言っています。)
    
    注意:ここに挙げたものは想定される一部の方法ですので、ご注意ください。
    
    攻撃されると、どんなことが行われますか?
    
    クレジットカード番号やパスワードなどが盗み見られます。
    
    注意:これは考えられる被害の一部です。
    
    対策するには、どうすれば良いですか?
    
    Mozilla Foundationから修正されたプログラムがリリースされたらダウンロードしてインストールします。
    
    Mozilla Foundation [mozilla.org]から修正されたプログラムがリリースされたらダウンロードしてインストールしてください。
    (AC注:あるいは、修正されたナイトリービルドをインストールしてね。)
    ダウンロードとインストールの手順については、はじめての Mozilla 1.4 第二部 [mozilla.gr.jp]を御覧ください。
    
    コンピュータをより安全に利用するための基本的なセキュリティ対策方法についてはこちら [microsoft.com] へ
    
    修正されたプログラムが正しくインストールされたことを確認する方法は?
    メニューの[ヘルプ(H)][製品名について]で、修正されたプログラムが正しくインストールされたかを確認することができます。
    注意:製品名には Mozilla などの製品名が記載されます。
    (AC注:shellblock.xpiみたいな修正って「about:configから…」とか言わなきゃいけないから面倒だね。)
    
    操作手順については通常のメニュー操作の手順に従ってください。
    
    もう少し詳しく知りたい方は・・・
    
    タレコミにあるリンクをたどってね。
    
    続きを読む...
    
    シェア
    
    親コメント
Firefox 0.9.3 (スコア:1)

by mizna (8774) on 2004年08月05日 4時36分 (#601434) 日記

タレこむまでのこともないので、ここに書いてしまいますが、
Firefox 0.9.3が来てます。
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.9.3/ [mozilla.org]

MozillaZine Forumsのスレ [mozillazine.org]によると、
> Fixes are:
>
> Bug 253121 - lock icon and certificates spoofable with onunload document.write
> Bug 249004 - Importing false CA certificate leading to error -8182 (perm DoS), especially exploitable by email
> Bug 251381 - new libpng buffer overflow vulnerabilities
> Bug 250906 - null (%00) in filename fakes extension (ftp, file)
とのこと。

また、UAがGecko/20040803となっています。

--
"Stupid risks are what make life worth living!" -- Homer Simpson
まったくどの Web browser も次々に脆弱性が発覚しま (スコア:0)

by Anonymous Coward on 2004年08月01日 21時24分 (#599497)

やはり最強は emacs-w3m でしょ。
僕は Emacs の中で暮らしている人間なんで
日常の生活ではこの Web browser
(Text browser) が欠かせません。
これなしでは生きていけませんね。
みなさんにもお勧めしますよ。
- w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:1)
  
  by goji (949) on 2004年08月01日 22時07分 (#599533) ホームページ日記
  
  とか、可能性はありそう。誰も狙わないだろうけどね。
  
  シェア
  
  親コメント
  - Re:w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:2, 参考になる)
    
    by t_kei (21706) on 2004年08月01日 23時02分 (#599586)
    
    その辺に関する、興味深い考察です。↓
    
    emacsワームがなぜ存在しないのか？ [xrea.com]
    
    シェア
    
    親コメント
    - Re:w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:0)
      
      by Anonymous Coward
      
      これのどこが興味深い考察なんですか?
    - Re:w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:0)
      
      by Anonymous Coward
      
      えー? それぞれの .emacs が異なるから、というのがひとつの理由?
      ずれてない?
      
      IE だって Mozilla だって個人用の設定可能だし、俺はデフォルトの
      設定から変更しているけど、それでも脆弱性の影響は受けているよ。
      - Re:w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:1)
        
        by t_kei (21706) on 2004年08月01日 23時59分 (#599631)
        
        えーっと、参照先の下にあるコメントで指摘されているように、Emacsにセキュリティホールがないわけではない [mit.edu]わけです。
        
        ただ、参照先の主旨は、多様であることが、危険に対する保険になり得るということで、そういう意味では極端にずれてはいないでしょう。
        
        ましてや、IEやMozillaの設定と.emacsでは比較対象にならないと思うんですが。
        
        # 間違ってるかなー？？
        
        シェア
        
        親コメント
        
        Re:w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:0)
        
        by Anonymous Coward
        
        > 参照先の主旨は、多様であることが、危険に対する保険になり得る
        
        それはそれで正しいと思います。まぁ結果的にたまたま多様に
        なっただけで、emacs と xemacs なんてわかれない方がいいと
        個人的には思いますけどね。
        
        > IEやMozillaの
  - Re:w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:1, 参考になる)
    
    by Anonymous Coward on 2004年08月02日 9時40分 (#599792)
    
    2ch で
    (難読化した破壊的コード)
    ↑上の行の最後で C-x C-e 押してみな
    
    といった感じで、 emacs-w3m や navi2ch (emacs で動く 2ch ブラウザ) から実行させようとする書き込みがされたことがありました。実際に実行しちゃった人もけっこういたみたいです。2chの削除依頼 [2ch.net]
    
    シェア
    
    親コメント
- - Re:まったくどの Web browser も次々に脆弱性が発覚し (スコア:1, すばらしい洞察)
    
    by Anonymous Coward on 2004年08月01日 21時55分 (#599521)
    
    リンクのバグを放置したり、Subject が長いのに警告もなしで勝手に
    切り詰めてしまう不親切な仕様を放置している /.J そのものが、
    フレームの元だよな。
    
    シェア
    
    親コメント
    - Slashdot Japanの仕様 (スコア:0)
      
      by Anonymous Coward
      
      俺も/.Jを使用していてそれ思った。
      OliverさんにSlashCodeのハッキングをお願いしたいな・・。
      - Re:Slashdot Japanの仕様 (スコア:0)
        
        by Anonymous Coward
        
        SlashCodeの新バージョンを日本語対応の修正等がメインで、
        今のバージョンのバグは放置すると取れる発言 [srad.jp]が過去にありましたね。
        で、移行は何時になるかは永遠の闇。 [srad.jp]
  - まったくどの Web browser も次々に脆弱性が発覚しま (スコア:0)
    
    by Anonymous Coward
    
    すよね（ため息）
    
    とか、プレビューの段階では見れるのに、
    投稿したら切れちゃったんですね。おそらく。
    
    ＃先日、俺もやってしまったので
    - Re:まったくどの Web browser も次々に脆弱性が発覚し (スコア:2, すばらしい洞察)
      
      by Anonymous Coward on 2004年08月01日 23時38分 (#599618)
      
      それ以前にサブジェクトを簡潔に書くようにしたらどうか
      
      シェア
      
      親コメント
      - Re:ウルセー氏ね (スコア:1, 興味深い)
        
        by Anonymous Coward on 2004年08月02日 2時20分 (#599693)
        
        とかじゃ嫌じゃないですかーっ
        
        ま、それは冗談ですが。
        
        プレビュー時にはきちんと表示されてしまうバグに対して
        利用者が簡潔に書かないからだってのはいささか筋違い。
        今回の件を「インターネットは清く正しく使うべき」という
        理想論で解決済みにするようなもんだ。
        
        表面化してるバグを利用者責任にして放置するのは、
        オープンソース特有な馴れ合い体質のなせる技でしょうかね。
        企業（敢えてMSと特定せず）の脆弱性放置を批判できないなあｗ
        
        シェア
        
        親コメント
- 一応出てはいる．言い訳にすべきではないが． (スコア:3, 参考になる)
  
  by gy0 (3393) on 2004年08月01日 22時56分 (#599580) 日記
  
  Mozilla用語(?)を使うと，Nightlyでは修正されているがMilestone版で修正されていないという状態です．
  なので，「修正版は一応出ているがエンドユーザ向けリリースではない」 [dyndns.org](記事にリンクされてるMozillazine記事 [mozillazine.org]の和訳)といった方が適切ですね．
  Oliver氏がフォローしてくれたのは良いんだけど，一言足りないんだな．
  
  まぁ，「エンドユーザにもNetscapeじゃなくMozilla使わせましょう」っていう
  今のMozilla.orgの方向からすると，
  エンドユーザ向けリリースやトップページでの告知が無い，
  というのはお粗末でしょう．
  
  #MSは大嫌いだけど，最近のゴタゴタ以降Mozilla関係者も好きになれないのでID
  
  --
  gy0
  
  シェア
  
  親コメント
  - Re:一応出てはいる．言い訳にすべきではないが． (スコア:1, 興味深い)
    
    by Anonymous Coward on 2004年08月02日 0時46分 (#599661)
    
    > 「修正版は一応出ているがエンドユーザ向けリリースではない」
    
    なんでエンドユーザ向けリリースにしないのでしょ？
    そこら辺が謎だなあと思っちゃうわけで。説明無いよね。検証に手間がかかってるとかそういう理由じゃないよね。
    
    # 物が出ることより説明があることの方が大事なときもあるかもしれないなんて言ってみる
    
    シェア
    
    親コメント
    - Re:一応出てはいる．言い訳にすべきではないが． (スコア:1, 興味深い)
      
      by Anonymous Coward on 2004年08月02日 4時05分 (#599726)
      
      > そこら辺が謎だなあと思っちゃうわけで。説明無いよね。検証に手間がかかってるとかそういう理由じゃないよね。
      
      まさしく検証に手間がかかっているんだと思いますが。
      nightlyではlatest-0.9なビルドがせっせと作られてます。
      あなたの手助けを待ってるんですよ、きっと。
      
      # 説明があった方がいいという意見には同意します。
      
      シェア
      
      親コメント
  - Re:一応出てはいる．言い訳にすべきではないが． (スコア:1)
    
    by Yuryu (19524) on 2004年08月02日 3時04分 (#599709) ホームページ
    
    ただまあ、少なくとも私はnightlyを常用する気にはなれません。
    毎晩作成されるあれを「リリース」ちうのは誤解を生みそう
    というか、抵抗があるというか。
    
    お粗末、というのには同意です。
    
    バイナリパッチを当てれるようになればいいのかも。
    
    余談ですが私はfirefox+thunderbirdを使っているので
    nightlyはmozilla suiteで遊んでいます...
    
    シェア
    
    親コメント
    - Re:Mozilla Security Advisoryの改善を (スコア:2)
      
      by SassyOS2 (8523) on 2004年08月02日 13時35分 (#599910) ホームページ日記
      
      今回の問題はすべてのプラットフォームに影響している（FireFox 0.9 for OS/2でも発生）ので，Windows版だけ [srad.jp]リリースした前回とくらべると，リリースが遅れているのは仕方ないと思われます。
      むしろマイナーアップデートを繰り返すよりも，ここはじっくり腰をすえて改善して，次のマイルストーンで万全を期してほしいと思います。今回の問題は，どっかのブラウザのように，ブラウザで閲覧しただけでマルウェアが仕込まれるとか，そういう緊急の問題ではないと思うので。
      ただここで多くの方々がコメントしてくださっているように，mozilla.orgが回避方法などの告知をきちんとした形で行なう必要があるとも思いました。現在のMozilla Security Advisory [mozilla.org] （日本語訳） [mozilla.gr.jp]は，修正版がリリースされてから発表されているようなので。こちらの更新タイミングを改善するか，トップページのニュースで告知するようにするかしないと，
      「Firefox では、どのブラウザよりも、より快適に、効率よく、そしてより安全にウェブブラウズができます。」
      といううたい文句がおかしくなってしまうような気がします。
      
      シェア
      
      親コメント
- バグの無いソフトは無理と (スコア:1, すばらしい洞察)
  
  by Anonymous Coward on 2004年08月01日 22時59分 (#599584)
  
  言われているが、競合ブラウザのように九カ月近くも放置してからやっとパッチ公開 [cnet.com]などという事態はやめてもらいたいです。
  オープンソースが果して本当にバグフィックスを素早く行なえるか試されていると言ってもいいでしょう。
  
  # 八カ月までの放置ならいい、と言っているわけではない。
  
  ## 別にMozillaヲタではないのでAC
  
  シェア
  
  親コメント
  - Re:バグの無いソフトは無理と (スコア:2, 興味深い)
    
    by Teruching (3577) on 2004年08月02日 4時32分 (#599731) ホームページ
    
    Operaにしてから、サイト作成時のテストぐらいにしかMozilla使ってないんだけど、
    Mozillaって未だに、フルセットでないとアップデートできないの?
    日本語パックとかをDL、インストールって機構があるのだからいずれは出来ると思ってたんだけど…
    アップデートをWindowsUpdateのような感じで配布できればもっと早くリリースできると思うんだけど?
    
    #Operaもそういうアップデートが出来るようにならないかな…?
    
    --
    天琉陳(Teruching)
    
    シェア
    
    親コメント
    - Re:バグの無いソフトは無理と (スコア:1)
      
      by Teruching (3577) on 2004年08月02日 4時51分 (#599733) ホームページ
      
      あ、ここで言いたいのは修正したモジュール単位でのアップデートの事です。
      WindowsUpdateのような機構で無くても、モジュール単位でのアップデートが可能ならすぐ出せるし、ネットワークの負荷も毎回フルセットをDLしなくて済みますしね。
      
      --
      天琉陳(Teruching)
      
      シェア
      
      親コメント
- お目出度い、Microsofの速い修正はね (スコア:1, すばらしい洞察)
  
  by Anonymous Coward on 2004年08月02日 20時42分 (#600088)
  
  元々分かっていたのを出しているだけなのだよ。あの会社が騒がれる前にマイナス評価を受けるパッチを出す訳がない。
  
  シェア
  
  親コメント
- Re:1ゲッツ! (スコア:0)
  
  by Anonymous Coward
  
  現在パッチを誠意製作中です
  てなコメントくらいは欲しいですね。
- 哀れみのフォロー (スコア:0)
  
  by Anonymous Coward
  
  まさか、
  ・・・・・・Fishing(釣り)してるんじゃないですよね・・・
  この1getし損ねた方・・・・
  
  # ずっとPhishingではなく、Fishingだと思い込んでたので恥ずかしくてAC
- 幸せですね (スコア:0)
  
  by Anonymous Coward
  
  知らないということは。
- Re:モジラを使用していて思ったけどさ (スコア:2, 参考になる)
  
  by Anonymous Coward on 2004年08月02日 3時11分 (#599710)
  
  実際に試してみた。
  
  普通のページではIEとfirefoxに有意な差は感じられない。
  非常に巨大で縦に長いページではIEの方が2倍ほど速い。
  
  読み込み完了後の順方向スクロールの速度はどちらも同じ。
  逆方向スクロールの速度はfirefoxの方が2倍ほど早い。
  (スクロールはPageUp/PageDownキーを用いてを行った)
  
  巨大なページを読み込んだ状態でのテキストの選択は範囲が
  狭い場合はfirefoxの方が、範囲が広い場合はIEの方がそれぞれ
  反応がよい。ちなみに選択解除はどちらも同程度の反応速度。
  
  ということでfirefox/geckoのレンダリング性能には
  まだ改善の余地があるように思える。比較はIE6 SP1
  (Q867801), Mozilla Firefox 0.9.2を用いて行った。
  
  シェア
  
  親コメント
  - - Re:モジラを使用していて思ったけどさ (スコア:1)
      
      by fgd (2415) on 2004年08月03日 0時50分 (#600247) 日記
      
      普段はモジラを使ってます。
      
      IEがもひとつ弱いのは、ネットワークが遅い環境かな。
      AirH"上でVPN接続なんてのを日常的に使ってますが
      ちょこっと通信が不安定になると、OS等等巻き込んで
      しばしフリーズしてくれます。ちょっと待って通信が
      安定すると、直るんですが。
      MS Office系も一緒に巻き込まれますんで、数十秒間
      なーんもできなくなったりします。
      
      構造上しょうがないとはいえ、ちょっとねー
      
      シェア
      
      親コメント
      - Re:モジラを使用していて思ったけどさ (スコア:1)
        
        by gendohki (16311) on 2004年08月03日 1時34分 (#600270)
        
        ブラウザをメインにして裏というか横で映像流してる場合、
        IEだと、映像が時折止まる事が多い気がする。Mozillaだとそうでもないのだけど。
        
        IEとMediaPlayerを同時に動かすとなんかあるんだろうか？うーん。
        --
        
        --
        「なんとかインチキできんのか？」
        
        シェア
        
        親コメント
- Re:モジラを使用していて思ったけどさ (スコア:0)
  
  by Anonymous Coward
  
  nglayout.initialpaint.delay
  のこと？
- Re:モジラを使用していて思ったけどさ (スコア:0)
  
  by Anonymous Coward
  
  レンダリング遅いですかねぇ？
  正直、使い比べても差がわかりません。
  Mozillaの起動時間が遅いのは感じますけど。
  
  # とかいいつつやっぱりぷにる使い。
- Re:こう言うときだけ静かなMozillaオタ (スコア:1)
  
  by gendohki (16311) on 2004年08月02日 2時49分 (#599704)
  
  そらそうでしょ。
  てめぇで使ってるソフトの不具合で大騒ぎするんだったら、
  ココで騒ぐより直接言った方が早いですもの。
  --
  
  --
  「なんとかインチキできんのか？」
  
  シェア
  
  親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

MozillaにSSL証明書偽装の脆弱性 More ログイン

UI偽装の脆弱性もありますぜ (スコア:2, 参考になる)

これもNightlyでは修正済みの模様 (スコア:3, 参考になる)

Re:UI偽装の脆弱性もありますぜ (スコア:2, 参考になる)

とりあえずの対策 (スコア:2, 参考になる)

Re:とりあえずの対策 (スコア:0)

Re:とりあえずの対策 (スコア:1)

Re:とりあえずの対策 (スコア:0)

1.8系では？ (スコア:1)

Re: Warpzilla 1.8a3 nightlyでは (スコア:2, 参考になる)

Re:Warpzilla latest-1.4.2でも修正済み (スコア:2)

タレコミ文の誤り (スコア:1)

なにいっているのかさっぱりわからない (スコア:0)

Re:なにいっているのかさっぱりわからない (スコア:3, 参考になる)

Re:なにいっているのかさっぱりわからない (スコア:0)

Re:なにいっているのかさっぱりわからない (スコア:1, すばらしい洞察)

Re:なにいっているのかさっぱりわからない (スコア:0)

形式だけは真似てみましたが、 (スコア:3, おもしろおかしい)

Firefox 0.9.3 (スコア:1)

まったくどの Web browser も次々に脆弱性が発覚しま (スコア:0)

w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:1)

Re:w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:2, 参考になる)

Re:w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:0)

Re:w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:0)

Re:w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:1)

Re:w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:0)

Re:w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:1, 参考になる)

Re:まったくどの Web browser も次々に脆弱性が発覚し (スコア:1, すばらしい洞察)

Slashdot Japanの仕様 (スコア:0)

Re:Slashdot Japanの仕様 (スコア:0)

まったくどの Web browser も次々に脆弱性が発覚しま (スコア:0)

Re:まったくどの Web browser も次々に脆弱性が発覚し (スコア:2, すばらしい洞察)

Re:ウルセー氏ね (スコア:1, 興味深い)

一応出てはいる．言い訳にすべきではないが． (スコア:3, 参考になる)

Re:一応出てはいる．言い訳にすべきではないが． (スコア:1, 興味深い)

Re:一応出てはいる．言い訳にすべきではないが． (スコア:1, 興味深い)

Re:一応出てはいる．言い訳にすべきではないが． (スコア:1)

Re:Mozilla Security Advisoryの改善を (スコア:2)

バグの無いソフトは無理と (スコア:1, すばらしい洞察)

Re:バグの無いソフトは無理と (スコア:2, 興味深い)

Re:バグの無いソフトは無理と (スコア:1)

お目出度い、Microsofの速い修正はね (スコア:1, すばらしい洞察)

Re:1ゲッツ! (スコア:0)

哀れみのフォロー (スコア:0)

幸せですね (スコア:0)

Re:モジラを使用していて思ったけどさ (スコア:2, 参考になる)

Re:モジラを使用していて思ったけどさ (スコア:1)

Re:モジラを使用していて思ったけどさ (スコア:1)

Re:モジラを使用していて思ったけどさ (スコア:0)

Re:モジラを使用していて思ったけどさ (スコア:0)

Re:こう言うときだけ静かなMozillaオタ (スコア:1)