« 2005年6月 | トップページ | 2005年8月 »

2005/07/20

おおっと! Firefox 1.0.6

昨日の今日で、Ver.1.0.6がリリースされてますね。今回は、各国版も同時にリリースされているようで、日本語版がダウンロード出来ます。

Mozilla Japan

とは言え、英語版+JLPという御意見も頂きましたので、どうしようかと考えましたが、まぁ、とりあえず、バージョンを上げといてから考える事にしました。(安易かな?)

| | コメント (0) | トラックバック (0)

2005/07/19

Firefox、またアップデート

CNET Japanの記事より:

 オープンソースのFirefoxブラウザとThunderbird電子メールクライアントが再度アップデートされる。これは、サードパーティー製拡張機能の一部が意図せず停止する問題を解消するためのものだが、Firefoxは先週新しいバージョンが出されたばかりだった。

 今回のアップデートにより、FirefoxとThunderbirdは各々バージョン1.0.6となり、またMozilla Suiteはバージョン1.7.10にアップデートされると、Mozilla Foundationの関係者は同グループの開発者向けニュースブログのなかで述べている。

 Firefoxは先週バージョン1.0.5がリリースされたばかりだが、どうやらこのアップデートに含まれるセキュリティ関連の修正が問題を引き起こしたようだ。

これは、何が原因か特定されていないので何とも言えないが、

セキュリティ関連の修正があると、今まで解釈がグレーゾーンだった部分が、ある解釈で統一され、それに合わせたチェックが行われるので、今まで許されていた動作が禁止されてしまう事等もあるので、発生する可能性はあったようには思う。

 アップデートが間近に迫っているため、Mozilla Foundationは開発者に対し、同ソフトウェアを英語圏以外の市場に対応させるローカライズ作業を一時中断するよう呼びかけた。だが、この動きが一部から批判を買っている。

これは「セキュリティ機能に問題がある英語圏以外のユーザよりも、一部の拡張機能が動かなくて困っている英語圏のユーザの方が大事だ。」と言っているようにも聞こえないか。

そもそも、ver.1.0.5のローカライズ版を同時に出さない事が問題ではないのか?

「セキュリティに問題があっても英語圏以外は対応しないので、古いバージョン使ってくれ。」というのでは、さんざん批判してきたIEのセキュリティ対応(セキュリティ・ホールが発見されても迅速に修正されない)とどこが違うのかな? しかも、ある開発者が言っているように、

「en-US(米語版)1.0.5のリリースに合わせて、(1.0.4にある)深刻なセキュリティ関連のバグがすでに公表されているなかで、いまでも数千万人のユーザーが1.0.4を使っている」(開発者)

というのは、やはり問題だろうし、この状況を不安に思えば乗り換えを考える人も出てくるだろう(私もそうだ)。「英語版が使えるのだから、最新版が欲しかったら英語版を使え」というのは「最新版IEを使いたかったらWin XPを使え!」というのと同じ匂いを感じるのだが。


今後、Firefoxの事を尋ねられたら、こう言わないといけないかもしれない。

「英語版を使うならIEよりはアップデート迅速だから安全かもね。でも、日本語版を使うなら古いバージョンしかないから、IEと変わらないかもしれない。結局、どっちがマシかっていう話だから、Firefoxが、特に『お薦め』とは言えないね。」

願わくば、この言葉の後に、次の言葉が付け加わらない事を祈る。

「それに、Mozilla Foundationって英語圏以外は相手にしないから…。」

| | コメント (2) | トラックバック (2)

Niftyは何故にNTPサーバを提供しないのか?

NTPサービスというのは、時間合わせを行うためのサービスの事を言う。簡単に言うと、定期的に「今何時?」とNTPサーバに問い合わせて、返答された時間情報を自身の時計に設定するサービスだ。

さて、日本国内で早くから、このNTPサイトを立ち上げていたのが福岡大学だった。ところが、この福岡大ホストにトラフィックが集中し悲鳴を上げている。なんと1秒間に900件ものアクセスが発生したというのだ。

本来、NTPは、こういったアクセス集中を防ぐためにサーバを階層構造にするという機構を持っている。つまり、正確な時計を持つNTPサーバを最上階層として、この最上階層のサーバにアクセスして時間を合わせる(複数の)第2階層NTPサーバがあり、この第2階層NTPサーバにアクセスして…と何段にもNTPサーバを設置し、末端のクライアントは最寄り(ネットワーク的に近い)の第n階層NTPサーバにアクセスするようにして、多くのクライアントのアクセスが、一つのサーバに集中しないようにしているのだ。

今回の件は、こうした階層が未整備だった事もあり、最上階層の福岡大サーバに、多くのクライアントが直接接続しようとして発生したという事になる。こうなれば、当然サーバは負荷が大きくなり、場合によってはダウンする可能性もある。また、応答時間も延びていくだろうから、正確な時間設定も出来なくなる可能性が高い。福岡大は、そもそも大学である。言わばボランティアに近いNTPトラフィックで通信回線の空き帯域が無くなり、それ以外の通信が圧迫されて、本来の教育に支障が出るとなれば大問題である。

このような事態を避けるため、第2階層以下のNTPサーバが多く稼働し始め、多くのISPでも、NTPサーバが使えるようになった。ドメイン内のクライアントの時間合わせは、そのドメインのNTPサーバで行い、ドメインのNTPサーバが上位階層のNTPサーバにアクセスするというのは自然な考えであり、特定サーバへの集中も避けられる。NTPプロトコルの設計時の意図に合致する方法だろう。

ところが、NiftyはNTPサーバを持っていない。また持つ気もないようだ。確かに、サーバを設置すれば、今度は、そのサーバにアクセス集中が発生するかもしれない。しかし、これは前記の階層を作れば解決できる。現に、他のプロバイダは複数のNTPサーバを公開しており、それで十分に対応できている。

ISP(Internet Service Provider)とは、「インターネットのサービスを提供する者」という意味である。インターネットはwebやメールだけでは無い。NTPも立派な「インターネット・サービス」ではないだろうか?

Niftyは、「想像力の欠如」に陥っていないだろうか? 自社のサーバにアクセスが集中したとすれば、「他山の石」と知らん顔は出来なかっただろう。ましてや、福岡大サーバにアクセスした多くのクライアントはNifty経由だっただろう事は、容易に想像がつく。まったく無関係だとは言い切れないのだ。

少なくとも、問題を認識して対処した他のプロバイダと比べれば、「無責任で鈍重」という日本に蔓延する病に感染していると思われても仕方がないようにも思う。

日本の最有力ISPを自負されるのなら、もう少しフットワークを軽くし、「想像力」を働かせてほしい。もう一度言うが、ISPは「インターネットのサービスを提供する者」であって、決して「接続サービス(のみ)を提供する者」ではない。

| | コメント (0) | トラックバック (0)

2005/07/09

zlibに脆弱性

CNET Japanの記事より:

 セキュリティ監視会社のSecuniaが米国時間7日に出した警告によると、オープンソースの「zlib」コンポーネントにバッファオーバーフローを引き起こす脆弱性が存在するという。この脆弱性には、攻撃者が特別に用意したファイルを使って、コンピュータを乗っ取ったり、zlibを利用するアプリケーションをクラッシュさせたりするおそれがあると同社では説明している。

Linuxを使っている場合、圧縮の基板と言って良い存在で、あらゆる所で顔を出すライブラリなので、ちょっと深刻かもしれません。。特にSSHに影響が出る場合は、リモートのアクセスにかなり支障がでるかも。とは言え、バージョンを見る限り、まだセキュリティ問題のある、1.2.1を使っている(多分、パッチが当たってるんだろうが)ディストリもあり、既に、いくつかのパッケージは、インストールしようとするとAutoConfのバージョンチェックでハネられてしまいます(笑)。今回は最新版(1.2.2)でもダメみたいで、1.2.3待ちになるようです。

ちなみに、Fedora Coreはパッチが出てるようで、yum等でアップデートして下さい。

| | コメント (0) | トラックバック (0)

2005/07/01

Windows 2000のパッチ集

CNET Japanの記事より:

 Microsoftは米国時間28日、Windows 2000に大幅な改訂を加える修正プログラム集を公開した。同ソフトウェア向けの大型修正プログラムは、これで最後と考えられている。

 今回Microsoftが投入したプログラムは、5年前に発表したオペレーティングシステム(OS)Windows 2000に向けたもので、「Update Rollup」と称されている。Windows 2000のサポート体制は、6月末に従来のメインストリームサポートから延長サポートへ移行する予定だ。Microsoftでは、延長サポートが適用されている製品には機能を追加しないことを原則としており、Update Rollupも新たな機能を製品に付与するものではなく、主にこれまでリリースされた複数のパッチから構成されている。

 Microsoftの広報担当によれば、Update Rollupには過去のパッチのみならず、「これまでのセキュリティアップデートで公開されなかった、低〜中レベルのセキュリティ問題に対する修正も含まれている」という。同OSのアップデートに関し、Microsoftは2004年11月、5番目となるサービスパックではなく、Update Rollupを提供していくことを明らかにしていた。結果的に、2003年3月にリリースされた「Service Pack 4」が、Windows 2000向けの最後のサービスパックとなった。

基本的には、Windows Updateをコマメにやっていれば適用済みのパッチがほとんどのようですが、一部のパッチは初公開のようなので、このロールアップを適用しておいた方が良いでしょう。また、SP4以降のパッチを一発でかけることが出来るので、PCを更新して、Windows 2000 SP4を新たにインストールした様な場合等には便利だろうと思います。

今回は、サービスパックではない「パッチ集」ですので新機能の追加等は無く、セキュリティ向上が行われるだけです。今後、Windows 2000に関しては、いくつかのセキュリティ・パッチがリリースされていくようですが(2010年までサポート予定)、大規模なリリースは今回が最後となるようです。

それにしても、Windows 2000は、この3月でパッケージ製品、OEM版(プレインストールで使われるもの)のライセンスは終了しましたが、依然として大きなシェアを持っているようですね。それなりに堅牢で、機能的にもXPと遜色なく使え、アクティベーションが不要であるというのが好まれている所だと思います。Long Hornは、また複雑なアクティベーションが必要になるんでしょうかねぇ。

| | コメント (0) | トラックバック (0)

« 2005年6月 | トップページ | 2005年8月 »