御難続きのネスケ

Netscape Ver.8が出てから、御難続きみたいですね。

ネスケと言えば、Mosaicの正当伝承者（笑）で、一世を風靡したブラウザですが、最近は、どうも旗色が悪いようです。このネスケ８は、Firefox Ver.1.0.3を元にして作成されたらしいですが、結局、Firefox で指摘された脆弱性も引き継がれたようで、リリース直後にVer.8.0.1を出す羽目になったようです。なんでも、リリースするまでは、この脆弱性はネスケには無関係と考えていたらしいのですが、リリース直後に「やっぱ、ダメじゃん」という話になったようで、大慌てで修正版を出したらしい…。

で、今度は、ネスケがインストールされると、IEのXMLレンダリング機能が上手く作動しなくなるという問題が出たらしく、上手く動作させるにはネスケのアンインストールが必要との事です（ネスケが居ると、IEが使っているレジストリを書き換え続けるので、アンインストールが必要との事）。多分、また修正版を出す必要が出てくるかもしれません。

「バージョン末尾が二つ三つ上がらないと危ないよ。」と、よく言われますが、ネスケも、まだ安定するまでは時間がかかりそうです。

とりあえず、Linux上でFirefox使っているので、あまり関係が無いといえば、それまでなんですが（苦笑）

Firefox 1.0.4

ああ、記事書くのが遅くなってしまった。

とりあえず、前回書いた脆弱性を修正したFirefox Ver.1.0.4がリリースされました。日本語版は13日に出ましたので、リリースには2日かかった事になります。まぁ、期待どおり早い対応であったと言えるでしょう。とりあえず、合格かな（笑）

今後も、色々と脆弱性が発見されると思われますが、この位の速度でアップデートされれば、ある程度の安全性は担保されるのではないでしょうか。

トラックバック・スパム

最近、ちょっと変わったTB(トラック・バック)が来ました。

○刊カタ○グというサイトからで、

「○○」の検索結果で、「Lynxの迷走(瞑想?) .. 」さんを紹介させていただきました。つながり系サイトです。

という内容でした。ググって（これは、Googleで検索の意）みると、同じ文面で多くのサイトにトラックバックしていました。私は、これをスパムと判断して、即刻トラック・バックを削除しました。

スパムとして判断した理由は、

1. そもそもトラック・バックとは、その記事に対しての意見やコメントをリンクする事により、相互に意見や情報を交換し、話題を共有していく為のコミュニケーション機構であり、キーワードが一致したからといって、元記事も読まずに、無関係な内容をトラック・バックをするのは、その趣旨に反する。
2. 同様な文章が多数の別ブログに送られている。これは、明らかに機械的な動作であり、ここからも、元記事の内容を読んでいるとは思えない。つまり、このトラック・バックの目的は、記事に対する話題の共有（同意、反論、情報の提示等）が目的ではなく、自サイトに対する何らかの利益（ヒット率が向上する、自サイトへの誘導等）であると考えられる。
3. 自サイトがリンクを張った報告なら、コメントで書けば十分であり、それをトラック・バックに書き込むのは別の意図が感じられる。つまり、コメントでは自サイトへのリンクが張れない為、トラック・バックを使用しているという疑念を禁じ得ない。

このような理由で、私はスパムと判断しました。

それにしても、このようなやり方が横行すれば、真面目にその記事を読んで、よく考えてトラック・バックしているブロガーまで迷惑してしまいます。また、せっかくトラック・バックを許可しているブログでも、このようなトラック・バックが頻発すれば、トラック・バックを禁止してしまう事にもなり兼ねません。そうなれば、ブログそのものが持っている良さを潰してしまうことになります。

検索サイトは便利であり否定しませんが、（記事内容も確認せずに）トラック・バックを乱発するのは明らかに迷惑行為です。キーワードが一致しているからといって、内容を知らなくても関連があるというのは、明らかに詭弁です。相互リンクが張られていれば良いというものではなく、あくまで同じ話題を共有していく事がトラック・バックの目的ではないでしょうか。

スパム業者でないと言われるのなら、少なくとも、そのような誤解を招かないように考えてほしいものです。

Lynxブラウザ

ココログで"Lynx"を検索していると、恐ろしい記事がありました。いやぁ、別にLynxブラウザとは関係ないのですが、同じ名前なので、つい見てしまいました。

どうやら、アクセスログを見ていた管理者が、Lynxによるアクセスを「不明なブラウザでのアクセス」と見なしたという、失礼な話らしいのですが、もしそうなら、目が点になる話です。世の中全てがIEを使っているというのは、随分と偏った見方ですし、そもそもLynxは、割と有名なブラウザだと思うのですが…。

しかし、未だにIE以外のアクセスを保証しないサイトが山のようにあるので、こんな事が起こるのでしょうかね。

ついでに、自分のホームページをLynxでアクセスしてみる事にしました。すると、ええええ！日本語が化け化けじゃん！！

原因は、使っていたOSがFedora Core 3だった為でした。このLinuxディストリビューションは、UTF-8が文字コードのデフォルトです。当然コンソール（端末）もアプリからUTF-8が出力されてくる事を想定しています。Lynxは、設定ファイルとしてlynx.cfgを使用します（Fedoraでは/etcにあります）。このファイルの文字コード指定（CHARACTER_SET:）は確かにUTF-8が指定されていました。が、しかし、もう一つ使用される設定ファイルがあります。lynx.cfg.jaです。なんと、このファイル、文字コード設定がEUCになってました。これでは、文字化けするのは、当り前ですわな。こうゆう中途半端な対応がユーザを混乱させる事になります。

とりあえず、lynx.cfg.ja内の

CHARACTER_SET:Japanese (EUC-JP)

を、

#CHARACTER_SET:Japanese (EUC-JP)
CHARACTER_SET:UNICODE (UTF-8)

に変更してみると、文字化けが解消されます。もし同じ問題で悩んでいる方が居られれば、一度試してください。

さて、Lynxついでなので、ググっていたら、こんなのを発見しました。いい面構えです（笑）。

Firefox脆弱性の追記

mozillaZineの記事を見て笑ってしまったのですが、最後の方に、

Paulとmikxは脆弱性をMozilla Foundationに報告し、Bug292691は5月2日月曜日にファイルされました。 Mozilla security bugs policyに沿って、バグレポートへのアクセスはセキュリティチームのメンバーに制限されました。しかし、他の誰かが脆弱性の詳細と攻撃方法を漏らしました。フランスのSecurity Incident Response Team(FrSIRT)はリーク情報に基づく状況報告を発表する最初のセキュリティ関連会社の1つでした。公開メーリングリストへのメッセージで、Paulは「思いやりがなく」「無責任である」として、脆弱性を漏らした者を批判しました。脆弱性と攻撃方法が周知されたため、bug293302に、いくつかの重複バグレポートがファイルされています。

自動翻訳ページの出力を、一部書き換えたものなので正確な和訳ではありませんが、まぁ、こんな感じの内容です。

とりあえず、「Bugは知っていたんだ。秘密にしていたのに誰かが漏らしやがった！」という事だそうです（笑）。

しかしねぇ、セキュリティ関連の会社が沢山ある以上、そこが最初にBugを発見する場合も多い訳で、その時に、Mozilla Foundationにだけ報告して黙っていてくれるとは限らないでしょうから（企業としては、いち早く発表して名を上げたいでしょうし）、これからも、このような事は起こってくるように思います。

Firefoxに2件の「非常に重大な」脆弱性

セキュリティ会社secuniaがFireFoxの脆弱性について報告。対象は最新のFireFox Ver.1.0.3も含まれ、危険度は最高レベル。

いよいよFireFoxもセキュリティ・ホールが発見され始めました。今回のは特に危険度が高いようです。

脆弱性として指摘されたのは2件：

• IFRAMEのJavaScript URLが適切に保護されてなく、履歴リスト内の別のURLが実行されてしまう危険性

以前開いた他のウェブサイトからクッキー情報を盗み出される恐れがあり、攻撃者はその情報を利用してID窃盗をしたり、パスワードで保護されたサイトにアクセスしたりする可能性がある。



• InstallTrigger.install()のIconURLパラメタにに引き渡された情報が使用前にきちんと検証されない。

攻撃者がユーザー権限を入手できてしまう。この欠陥を利用すると、攻撃者はあるシステム上のユーザー権限を入手することができてしまう。

Mozillaから、この問題に対する修正版はまだ出ていないが回避策が公表されている。これによると、JavaScriptをOFFにし、ソフトウェアのインストールを許可するWebサイトを消してしまう（元々、FireFoxの拡張機能等をアップデートするためのサイトが登録されていた）という処置が必要との事である。

これでは、JavaScriptを使用しているサイトが正常に見れない事になり、現実的な対応だとは言い難い。多くのユーザは、IEより対応が早いと考えてFireFoxに乗り換えているだろうから、早急に修正版をリリースしなければFireFoxへの信頼感そのものが揺らぐ結果になりかねないように思う。

メジャーになったブラウザは攻撃対象になり易く、セキュリティ・ホールの発見も相継ぐだろう。後は、如何に早く対応するかが生き残りの鍵になるように思う。今回の問題は、今後のFireFox普及の試金石になるのではないだろうか。

Firefoxの普及

> 米国時間4月29日、Firefoxのダウンロード数が遂に5000万回を越える。

とりあえず、一定量のシェアを獲得したというところでしょうか。確かに、現状のIEとであれば、随分と高機能ですから（と言うか、この御時世に、タブ・ブラウジングすら出来ない方が問題だと思いますが）、乗り換えが発生するのは当然のような気がします。

これからは、Firefoxを狙ったワームやウイルスも出てくるでしょうが、それでも、IEよりは安全なのではと考えられるし、対応も早そうで、何より使い勝手が良いので、私も、さっさと乗り換えました。

IEとFirefoxでは、同じホームページでも見え方が異なる場合が在ります。今までであれば、圧倒的なシェアを持つIEに合わさざるを得なかったのでしょうが、こうして別のブラウザが出てくると、出来るだけ「標準」に準拠したページ作成が行われなければなりません。そろそろ、各企業のページも、その辺りを考えて欲しいなぁと思います。