もじら組フォーラム

http://ryuzi.dyndns.org/mozillazine/
より引用

昨日, ZDNet UK ニュースが、Mozilla に HTTP の referer を含んでを漏洩する プライバシーのバグが存在すると伝えた。この漏洩は、Javascript の onUnload ハンドラを使うことによって悪用され、訪問者がページを去る時にトリガされる( 例えば、リンクをクリックしたり、ブックマークを使ったりする場合である )。問題は referer であり、Mozilla は その人が今いるページではなく、訪問者が行こうとするページの URL を送ってしまう。これはサイトがどこに行こうとしているかを明らかにしてしまうということを意味している。

このセキュリティのバグは、Mozilla の最新のバージョンに存在している ( 1.0.1 、1.1 そして 1.2 Alpha を含む ) ほかに、いくつかの Mozilla ベースのブラウザ である、Netscape 6.x , Netscape 7.0 , Galeon 1.2.x そして Chimera 0.5 にも存在する。これを書いている時点では、修正手段はひとつも利用できない。場当たり的な対応としては、Javascript を無効にすることである。 ( Edit > Preferences > Advanced > Scripts & Plugin から設定できる )。

だそうです。

毎度のことだけど、マイルストーンビルド用のパッチは出ないかな。
（ナイトリーは別として）次のマイルストーンビルドまで修正はないかな。

もうちょっとセキュリティホールには気をつかって欲しいです。

>これを書いている時点では、修正手段はひとつも利用できない。場当たり的な
>対応としては、Javascript を無効にすることである。 ( Edit > Preferences >
>Advanced > Scripts & Plugin から設定できる )。
>
> だそうです。


私が試した限りでは Refrerrer の送信を止めるという手段が有効です。
http://www.mozilla.gr.jp/docs/beginmoz-1.0/consideration.html#consideration-security-referrer
抜け道があるかもしれませんが「私が試した限りでは」です。


> 毎度のことだけど、マイルストーンビルド用のパッチは出ないかな。
> （ナイトリーは別として）次のマイルストーンビルドまで修正はないかな。
>
> もうちょっとセキュリティホールには気をつかって欲しいです。

私もあなたも、その気を使ってテストする人員の一員でだったりします。

> >これを書いている時点では、修正手段はひとつも利用できない。場当たり的な
> >対応としては、Javascript を無効にすることである。 ( Edit > Preferences >
> >Advanced > Scripts & Plugin から設定できる )。
> >
> > だそうです。


> 私が試した限りでは Refrerrer の送信を止めるという手段が有効です。
> http://(略)
> 抜け道があるかもしれませんが「私が試した限りでは」です。


mozillazine のその記事のさらに後に書いてあるデモンストレーションページ
には、回避方法が４つ挙げられていますので、軽く和訳してみます。

(1) プロファイルのあるフォルダ(pref.jsのある所)に
user.js というファイルを作り、その中に以下の行を書くことに
よって onunload ハンドラの動作を抑制する。
(私はjavascriptを知らないのですが、「ハンドラ」で通じます？)

user_pref("capability.policy.default.Window.onunload", "noAccess");

(2) user.js に以下を書くことによって referer の送出を止める。
(tamcatさんが書いたのはこれ)

user_pref("network.http.sendRefererHeader", 0);

(3) HTTP referer を削除するproxyソフトを利用する。

(4) javascript の実行を禁止する。
(「場当たり的な対応」)

> (1) プロファイルのあるフォルダ(pref.jsのある所)に
> user.js というファイルを作り、その中に以下の行を書くことに
> よって onunload ハンドラの動作を抑制する。
> (私はjavascriptを知らないのですが、「ハンドラ」で通じます？)
>
> user_pref("capability.policy.default.Window.onunload", "noAccess");

http referrer を正当な理由で参照している所もあるから
それを止めるよりは (1)の方法で Zone Policies を設定し
unload を抑止する方が良いかもしれませんね。 Zone Policies
ならば、正当な理由で unload を見ているサイトに許可する
事もできますし。


19-10. ゾーンに基づいた JavaScript ポリシー
http://www.mozilla.gr.jp/docs/beginmoz-1.0/consideration.html#consideration-security-javascript-zonepolicy

17-2. プリファレンスファイル（prefs.js と user.js）
http://www.mozilla.gr.jp/docs/beginmoz-1.0/preferences.html#customize-prefsjs

トップページ
http://www.mozilla.gr.jp/
セキュリティ情報
http://www.mozilla.gr.jp/docs/security/

で、アナウンスしなくてよいのですか。

> トップページ
> http://www.mozilla.gr.jp/
> セキュリティ情報
> http://www.mozilla.gr.jp/docs/security/
>
> で、アナウンスしなくてよいのですか。

個人的に思うことですが、
マイクロソフトのセキュリティに対する対応に対して、
納得がいかなくてMozillaやNetscapeを使っている方が少なくないと思います。
テストのためだけにリリースしているからそこまで面倒みれないような考えもあるかもしれませんが、セキュリティ問題に関しては、まずは情報公開、そしてできる限り早く対応策（パッチ公開など）を行うべきだと思います。
セキュリティ問題に関してはどうもNetscapeの悪しき伝統を引きずっている気がしてなりません。
いろいろな考えがあるかと思いますが、目指すところは結局のところ、Mozillaをよりよくし完成度を高め、名実共にナンバーワンになることだと思っています。
これだけがんばっているのに、つまらないことでダメな烙印を押されるのは残念でしかたありません。

既に対処方法も含めて情報は手に入るのに、
それのフォローについて、もじら組に過度の期待を寄せるのは的外れだと思います。
トップページには有志により適度に運営されているともありますし。

そんなに気になるのであれば、ご自身でセキュリティ情報サイトを立ち上げるか、
もじら組に入ってプロジェクトを立ち上げさせてもらえばいいだけの話ではないでしょうか。

そういや以前も対策が遅いって指摘されてましたね
http://www.watch.impress.co.jp/internet/www/article/2002/0501/grey.htm

今回のも、Bugzillaで結構前から指摘されていたやつのようですし
http://bugzilla.mozilla.org/show_bug.cgi?id=145579

MozillaはともかくNetscapeの方はアナウンスや対策をしっかりやらないと
ユーザーの不信感が増すばかりでしょうね…

> 既に対処方法も含めて情報は手に入るのに、
> それのフォローについて、もじら組に過度の期待を寄せるのは的外れだと思います。
もじら組に期待しているのではなく、Mozillaを公開しているmozilla.orgに期待しています。

> トップページには有志により適度に運営されているともありますし。
> そんなに気になるのであれば、ご自身でセキュリティ情報サイトを立ち上げるか、
> もじら組に入ってプロジェクトを立ち上げさせてもらえばいいだけの話ではないでしょうか。
どうもここには、こういう考えでなければならないような空気があるよう気がしてなりません。
現実問題として厳しいと思いますが、ボランティアだからこれ以上どうにもならない（人や資金の問題など）とか言うのであれば、どうすればこの現状を打破することができるかを考えるべきだと思います。
内輪もめのようなことをやったところで、Mozillaがよくなるとは思えません。

> もじら組に期待しているのではなく、Mozillaを公開しているmozilla.orgに期待しています。

上の書き込みからの流れや、もじら組の掲示板での発言ということで、
私も、もじら組に対する要望なのかととらえていました。

mozilla.orgに対する希望であれば、
mozilla.org宛にアクションを起こした方が、効果を期待できるように思います。
＃こういうのも、Bugzillaでいいんでしょうか？

> どうもここには、こういう考えでなければならないような空気があるよう気がしてなりません。
> 現実問題として厳しいと思いますが、ボランティアだからこれ以上どうにもならない（人や資金の問題など）とか言うのであれば、どうすればこの現状を打破することができるかを考えるべきだと思います。
> 内輪もめのようなことをやったところで、Mozillaがよくなるとは思えません。

確かに、内輪もめばかりでは不毛ですよね。

ただ、一つ疑問なのですが、
Mozillaの活動に対して「こうした方がいい」ということを思いついたのに、
何故それを実行するのが、がんばれもじらさんではいけないのでしょう？

Mozillaは、「こうした方がいい」と思った人たちが集まって、
つくっているブラウザー（というか実行環境）です。
がんばれもじらさんも、その一人になってみるのも楽しいんじゃないでしょうか。