読者です 読者をやめる 読者になる 読者になる

Mozilla Flux

Mozilla関係の情報に特化したブログです。

Firefox 41/42でWebサイトの認証・通信暗号化の表示方法が変わる

Firefoxのロケーションバーの左端に表示されるアイコンをクリックすると、閲覧中のWebサイトが認証されているか、同サイトとの通信が暗号化されているかなどの情報がパネルに表示される。Firefox 39では、パネルはその情報に特化したものだが、Firefox 41で…

Webブラウザのセキュリティ問題を考える上での鉄則

ITmedia エンタープライズ『脆弱性が最多のブラウザはFirefox――Cenzic報告書』に注目が集まっているようだが、脆弱性の数だけを問題にする風潮には違和感を覚えるので、基本的な点をおさらいしておこう。まず、Webブラウザの脆弱性は、公開されてはじめてカ…

MozillaがFirefoxの新たな脆弱性(CVE-2009-2479)に関して反論

Mozilla Security Blogの『milw0rm 9158 “stack overflow” crash not exploitable (CVE-2009-2479)』で、MozillaがFirefoxの新たな脆弱性(CVE-2009-2479)に関して反論している。その骨子は、当該脆弱性を突いてFirefoxをクラッシュさせることはできるが、…

セキュリティ問題を測る3つの要素

Mozillaのセキュリティチームに所属するJohnathan Nightingale氏いわく、セキュリティ問題を測るうえで欠かせない3つの要素があるという(『Measure What Matters - The SEC Essentials』)。Severity(深刻さ)、Exposure Window(露出期間)そしてComplete…

Firefoxが提供する安全なブラウジング

フィッシング詐欺対策とマルウェア対策 Firefoxは、Googleが提供するSafe Browsing APIを利用して、ユーザーがフィッシング詐欺にあったり、マルウェア(悪意のあるソフトウェア) に汚染されたりすることを防いでいる。Firefox 3の時点でこのメカニズムは確立…

MD5署名のSSL証明書は案外出回っていない

『EV SSL証明書の普及が偽証明書を防ぐ』では、MD5アルゴリズムに脆弱性が発見され、これで署名されたSSL証明書に偽造の危険があると述べた。では、実際のところ、MD5署名のSSL証明書はどの程度の割合で存在しているのだろうか。Firefoxのセキュリティ責任者…

なぜFirefoxは自己署名証明書をブロックするのか

FirefoxがWebサイトと暗号通信を行う場合、相手方サイトが保有するSSL証明書(電子的な証明書の一種)は、第三者機関が認証した署名によるものでなければならない。そのサイト独自の署名がつけられているにすぎないとき、Firefoxは警告を発して通信をストッ…

EV SSL証明書の普及が偽証明書を防ぐ

10日以上前のことになるが、Mozillaがセキュリティに関する警告を出した。MD5ハッシュアルゴリズムに脆弱性が見つかり、一部のSSL証明書が偽造される危険があるというのだ。MD5は、電子署名に用いられる技術で、たとえばSSL証明書などのデータについて、これ…