Firefox 2.0.0.1と、Firefox/Thunderbird1.5.0.9 リリース 35
ストーリー by GetSet
クリスマスにはちと早いが 部門より
クリスマスにはちと早いが 部門より
炎狐遣いなAC 曰く、
ふらっとMozilla Japanを訪ねて気がついたのだが、Firefox2.0.0.1が12/19付で出ている(リリースノート)。今回のアップデートでWindows Vistaが制限つきながらも概ねサポートされたそうだ。また日本語ページではまだ情報はないがCritical5件を含む8件の脆弱性が修正されたようだ。リリースノートは見つけられなかったのだが、同じ脆弱性を修正したFirefox 1.5.0.9も同時リリースされているようだ。
また、Critical6件を含む7件の脆弱性を修正したThunderbird 1.5.0.9も同日付でリリースされている(リリースノート)。
Secunia アドバイザリが出ています (スコア:3, 参考になる)
脆弱性評価は5段階中の4(Highly critical)です。これからお昼食べに行くので、
詳しくは上のページをどうぞ。
まだmilw0rm.orgにはexploitは掲載されていませんが、Firefoxユーザーは早めに
アップデートしておきましょう。
モデレータは基本役立たずなの気にしてないよ
Re:Secunia アドバイザリが出ています (スコア:1, 興味深い)
アップデート後も既知の脆弱性が残ったままですので、パスワードマネージャは無効に切り替えておきましょう。
Re:Secunia アドバイザリが出ています (スコア:1)
どっかには書いたけど、パスワードマネージャを無効にすること無く、問題となっている「パスワードの自動補完」のみを無効にすることが出来ます。 signon.prefillForms [mozilla.org]をfalseにすればOK。この状態でもIDを入力してパスワード入力欄にフォーカスを移せば、保存されたパスワードが補完されます。ID/パスワードの組を複数覚えている状態と一緒の操作です。
あれ、リリースノートに書かれてないや。何かこれじゃ問題がある、ということなんでしょうか。
Re:Secunia アドバイザリが出ています (スコア:0)
これ本当に動作しますか?手元ではFirefox 2.0.0.1ではabout:configにsignon.prefillFormsの項目はあるけどfalseに設定してもおっしゃられるような動作にはならない。trunkではabout:configにsignon.prefillFormsの項目自体初期にはなくて、新しく設定してもおっしゃられるような動作にはならないのですが……
Re:Secunia アドバイザリが出ています (スコア:1)
しますよ、としか私は言えませんね。リリース版とナイトリーで相違はないはずなんで。
trunkの場合は signon.autofillForms [mozilla.org] です。実行できる環境が無いのでそれ以上は触れません。
問題を矮小化 (スコア:3, 興味深い)
直してリリースする、セキュリティアップデートなのに、そのことは
できるだけ小さく扱って問題を矮小化しようとするのはやめて欲しい。
「Windows Vista 対応および
「goo」のウェブ検索で検索キーワード候補表示機能を追加」
というのを前面に押し出してて、本当のリリース理由で、しかもとても
重要な脆弱性の修正ということはみえにくい所にわけて書いてある。
2.0.0.1というバージョンが Vista に正式に対応したために上がった
バージョンなら、Mac OS や Linux その他向けは 2.0.0.0だろうし、
gooの機能追加は日本だけだから他の言語版は関係ないでしょう。
あきらかにセキュリティアップデートのリリースなのだから、
それをちゃんとアピールしない態度は極めて不誠実に感じる。
これじゃ、IEユーザに対して「Firefoxは安全だ」などとは言えない。
都合の悪いことは出来るだけ隠す人たちが作ってると思われてしまう。
#実際にそうなのだろうが…。
Re:問題を矮小化 (スコア:2, 興味深い)
タレコミ文からリンクされてるリリースノートの「Firefox 2.0.0.1 の新機能と改良点」(英文のリリースノート [mozilla.com]だと"What's New in Firefox 2.0.0.1")の項目は一応
かつてWindowsNTの頃、サービスパックがリリースされる時に、追加する新機能(最近はそういうの無いけど)についてはメディアを通じて先に情報が出てくるのに、FIXされる不具合のリストはリリース後じゃないと出てこないって怒ってたでしょ、みんな。
Vista対応で苦労した人もいるだろうからアピールしたい気持ちもわからないではないけど、それをやったら普段叩いてるMSと一緒。
IE6だって安全ではありませんよ(笑 (スコア:1)
しまった、都合の良いことを書くのを忘れていました。IE6にもセキュリティホールが発見されています。
Internet Explorer Script Error Handling Memory Corruption Vulnerability [secunia.com]
US-CERT Vulnerability Note VU#599832 [cert.org]
リモートからシステムアクセスもしくはDoS攻撃ができちゃうかもというもので、緊急度は Highly critical (5段階中の4)
です。すでに Firefoxではアップデートが薦められているのと同様、IE6にもパッチが提供されています。
まあ「Firefoxが安全だ」という論議は、Firefox 1.0がリリースされた頃ブラウザでActiveXコントロールが動かない
(サポートされない)話で取り上げられたものだと思います。今だってActiveXコントロール由来の攻撃コードは多い
です。たとえば最近公開されたものですとRealPlayer 10.5 rpau3260.dll Internet Explorer Denial of Service [milw0rm.org]
がありますよ。
だれも言っていない「Firefoxにはバグがないから安全だ」という主張を覆すつもりなら、よそでやってください。
/.のFirefox使いはそうは思っていませんから。
# Firefox 1.0.x時代に毎月リリースされたセキュリティアップデートにうんざりさせられたのは嘘だけどID
モデレータは基本役立たずなの気にしてないよ
Re:問題を矮小化 (スコア:0)
Re:問題を矮小化 (スコア:2, 興味深い)
http://www.mozilla-japan.org/ [mozilla-japan.org] から確認してみる。
2006/12/20 15:00 現在ね。
右のほうに「最新情報」があり、
「Firefox 2.0.0.1リリース
Windows Vistaに対応し「goo」検索候補表示を追加」
とだけ書いてある。
そのリンクをクリックすると、
「Mozilla Firefox 2.0.0.1」公開
と書いてあり、セキュリティアップデートに関することは
一 言 も 書 い て い な い !
改心して、その後に追加するのかもしれないですが。
Re:問題を矮小化 (スコア:1)
Mozilla Japanのマーケティング部が独自に書いたんだろうから、メールで指摘してやれば直るんじゃないの。
もじら組の方 [mozilla.gr.jp]では、「重要度最高のセキュリティ脆弱性を修正しています。」と発表されているので、マーケティング部の担当がダメだということなんだろうなぁ。
Re:問題を矮小化 (スコア:0)
普通のユーザーが詳細読まされたも困るし
単に「これはセキュリティアップデートです」と一言添えれば、君はすっきりする?
Re:問題を矮小化 (スコア:0)
ま、そうです。
>普通のユーザーが詳細読まされたも困るし
普通のユーザが詳細を読んでしまったら困る理由は何ですか?
FirefoxがIEよりも安全なソフトということは真実ではなく、
大量の深刻な脆弱性をアップデートすることが多いことがばれるから?
普通のユーザが2.0.0.1というバージョンが、何のためにリリースされたか
容易に知ることが出来ることが重要。
Vistaに対応、goo検索の機能追加などというまやかしでごまかすのは
はっきりいって姑息すぎる。
「8つの脆弱性に対する修正、およびVista...」
とぐらい書けなくはないのに、あえて書かないのは…。
>単に「これはセキュリティアップデートです」と一言添えれば、君はすっきりする?
私個人がすっきりする、しないの問題ではないのです。
そういう反論しかしないことこそ、問題の矮小化なんです。
Re:問題を矮小化 (スコア:0)
書いてあることを読まない奴はどこに書いていても読まないし、
読む人はちゃんと読む。普通に読む人はリリースノートは見る。
Re:問題を矮小化 (スコア:0)
というか、「Firefoxと愉快な仲間達」と全部一緒くたにやっつけてしまっているけれど、Mozilla-japanがそういう書き方をした、ってことを Firefoxのプロジェクトそのものがそういう姿勢であるかのように 書くんじゃ、印象操作を攻撃してる方が曖昧な印象操作そのもの ってことだよね。
Re:問題を矮小化 (スコア:0)
どこどこに書いてあるから問題ないという話ではないの。
わかりやすく、一般ユーザもすぐ気づくようにして欲しいの。
わかりにくい所に書いてあるだけでは、読めないほど小さく書いた
注意書きと似たようなもの。
君らが「リリースノートに書いてるから問題ない」と繰り返しても
問題は解消しない。
「都合の悪いところはわかりにくくする」という態度は、気づく人は
気づくので、信頼度が下がるだけ。
問題は、信用していた人がそれに気づいたとき、もともと信用していない
人が抱く不信感よりも深い不信感になってしまうこと。
都合の悪い情報も、わかりやすいところに書いておくことが信頼を得る
大切な一歩になる。
Re:問題を矮小化 (スコア:0)
そもそもFirefox 2.0から2.0.0.1までの期間に、IE7にはセキュリティホールが(少なくともMSが認めたものは)1つも見つかってませんよね。IE6には致命的なのがいくつも見つかってますから、単にMSが隠しているとか不誠実だというだけの理由では説明がつきません。海外では自動更新が始まってますから、シェアが云々というおなじみの逃げも打てませんよね。
告知体制がどうとか以前の問題で、実際安全とは言えないのではないですか? 少なくともIE7よりは。
更新しました (スコア:1)
更新・再起動する前に開いてたタブが復元されたんで、だいぶ使い勝手がよくなったと思います
# 今回からだよね?>タブ復元Re:更新しました (スコア:1, オフトピック)
2.0には最初から入ってました。
Re:更新しました (スコア:1)
失礼しました
2.0にするときにお掃除したのを失念してましたorz...
Re:更新しました (スコア:0)
2.0で入った機能が今回初めて使われたってことでしょ>更新
Re:更新しました (スコア:1)
元コメントの
># 今回からだよね?>タブ復元
を、「今回(2.0.0.1)で初めてタブ復元機能が追加されたんだよね」と
理解したんですが、
「更新時に更新前のタブ状態が復元されたのは今回が初めて」
ということなら確かにその通りでしょう。
ちょっと分かりにくい話だなぁ……
#つーか、なんでオフトピがつくんですかね
Re:更新しました (スコア:0)
Re:更新しました (スコア:0)
#1078827)がみみっちい指摘したから話がややこしくなっているだけです。
Windows Vistaからアップデート (スコア:1, 興味深い)
ということは今までサポートされていなかったのでしょうか。でも2.0→2.0.0.1のアップデートは標準ユーザーでもUACを有効にしていれば問題なく行えました。もちろんUACのダイアログが出てupdater.exeによるシステムの変更を許可していいか確認してくれます。
Windows XPでは制限ユーザーでアップデートはできなかったので素晴らしいです。FirefoxというよりVistaの感想ですが。
唯一不満が残るのは、アップデート後自動的に行われる初回起動が昇格したまま行われてしまうことです。標準ユーザーと昇格時に使われる管理者ユーザーを別アカウントにしていたのでほとんど空のプロファイルで起動したことですぐに違いがわかりましたが、管理者ユーザー+UAC有効という(おそらくもっともありそうな)組み合わせでは常用プロファイルを発見できてしまうので、アップデート後に昇格したままブラウズを続けてしまう危険がありそうです。セッション復元機能もあることですし。
FF2001ってことは、 (スコア:0)
#おめでとう!
Re:FF2001ってことは、 (スコア:3, おもしろおかしい)
# 西暦0年は1世紀。
Re:FF2001ってことは、 (スコア:1)
私のつたない記憶だと、西暦0年はなかったような?
Re:FF2001ってことは、 (スコア:1, すばらしい洞察)
> 2000年から2199年までの100年間なんですけど……。
どう考えても200年間なんですけど……。
互換性のないアドオン (スコア:0)
Java Console 6.0
ui.click_hold_context_menus (スコア:0)
に2.0からデフォルトが変更されたが、trueこそwebブラウザの「伝統」だと思うんだが。
伝統=正当ではないよね、今はfalseが正当なのか。
(キーダウンすらめんどくさいんだよ)
Re:ui.click_hold_context_menus (スコア:0)
Re:ui.click_hold_context_menus (スコア:0)
実用上。
つまりクリックかどうか判定する待ち時間すら許される、許されないかで議論されるべきなんだよ。
完全更新でがっくり (スコア:0)
なのでPHSらしくないですが、敢えて常時接続しておいて、
この手の自動アップデートものは
「いつのまにかダウンロードが終了してる」路線を狙います。
しかるに今回の自動アップデートで、
ダウンロード(いつのまにか)終了後に
喜び勇んでFFを再起動したところ、
以下のダイアログが。
差分更新を適用できませんでした。完全更新をダウンロードしてインストールします。
…そしてOKボタンを押したら丸々全部のダウンロードを開始。
むろん何十分もかかりましたとも(T_T)
あのー。
完全更新とやらも、普段のアップデートと同様に
「いつのまにかダウンロード」するようには
して頂けませんか?>FF作ってるかたがた
Re:完全更新でがっくり (スコア:1)
そのダイアログで[OK]を押した後右下にある[Hide](「隠す」かな) で、バックグラウンドでの更新パッケージのダウンロードへ移行します。もしフォアグラウンドが暇 (長文を読んだりダウンロード済みのゲームをしたりとか) なら、Help→Downloading Firefox... (通常Check for Updates...な所) を選択すると更新ダイアログが表示され、フォアグラウンドで更新パッケージをダウンロードします。この切り替えで帯域を活用できるかと。なお"Hide"とした後はダウンロード完了がダイアログで通知されたりしないので、Helpメニュー下のメニュー項目の文を確認する必要があります。Downloading Firefox...がInstall Pendingに変わっていれば、ダウンロード完了という意味です。
# Bug 354772 [mozilla.org]があった頃この機能にお世話になったので。
ただ個人的には、この「メニュー項目のラベルの動的切り替え」ってUIとしてどうかな、とか思いますけど。というか判り辛い。