Features/Security/Low rights Firefox - MozillaWiki
Open issues/risks Can't sandbox plugins without their cooperation (they will likely crash when they try to access something that the sandbox restricts access to) Firefox runs the NPAPI part of the Java plugin in process (see bug https://bugzilla.mozilla.org/show_bug.cgi?id=603417) This piece of the plugin then launches separate processes and uses the in-process bit of the plugin as a communication
Firefox Security Features
25. <!-- インラインCSSは最新仕様では適用されない(未実装) --> <style> body { font-size: 200%; } </style> <p style="font-size: 200%;">I love lesser panda!</p> <!-- インラインJavaScriptは実行されない(実装済み) --> <script> alert("inline script"); </script> <p onclick="alert('inline script')">Red panda!</p> <!-- 外部 CSS, JavaScript はデフォルト許可 --> <link rel="stylesheet" href="external.css"/> <script src="external.js"></script> https://develo
DigiNotar Removal Follow Up – Mozilla Security Blog
Michichael wrote on September 2, 2011 at 7:15 pm: A well made point. Realistically, 90% of people just click “ignore” anyway when they encounter a certificate error, but the rest of us might get suspicious when we see bad certs. The entire system needs to be re-evaluated, but that can’t happen when there are bad root CA’s. Ferdinand wrote on September 2, 2011 at 7:45 pm: Well done, giving us a qui
InfoQ: HTTPSコネクションの最初の数ミリ秒
ほとんどの人がHTTPSとSSL (Secure Sockets Layer) を結びつけて考えます。SSLは1990年代半ばにNetscape社が開発した仕組みですが、今ではこの事実はあまり正確でないかもしれません。Netscape社が市場のシェアを失うにしたがって、SSLのメンテナンスはインターネット技術タスクフォース(IETF)へ移管されました。Netscape社から移管されて以降の初めてバージョンはTransport Layer Security (TLS)1.0と名付けられ、1999年1月にリリースされました。TLSが使われだして10年も経っているので、純粋な"SSL"のトラフィックを見ることはほとんどありません。 Client Hello TLSはすべてのトラフィックを異なるタイプの"レコード"で包みます。ブラウザが出す先頭のバイト値は16進数表記で0x16 = 22。 これは
JavascriptのMath.random()でユーザートラッキングができるという話 - kogelab::memo
表題の件について。 地味な話ですが、javascript(というかECMAの仕様)にあるMath.random()には、乱数のシードを与える方法が無いようです。 そんなわけで、われわれ一般市民は各ブラウザが独自に実装している、謎のシードで初期化された謎のアルゴリズムで作られた乱数を通常使うわけですが。 Mozillaからこんなの出てた。 曰く、Math.random()のシードによる初期化は、ブラウジングセッションごとに1度しか行われないと。 で、シードはまあ、かぶる率そんなに高くなさそうなので、そのシードをUSERの(擬似的な)ID代わりにしてしまえば、ユーザーのトラッキングができるよーん、とのこと。 はじめ読んだとき、「おおー、かっけー!」と思ったんですが、ちょっと待て。 シードって外から取れんのか。 というわけで、色々調べたところ、各ブラウザは(多分IEも)線形合同法による擬似乱数を
Firefox 3.6.12 リリースまでの二日間 - えむもじら
Firefox をターゲットにしたトロイの木馬がノーベル平和賞のサイトに仕掛けられていたというゼロデイ攻撃の報告からわずか2日あまりで Firefox 3.6.12 と 3.5.15 がリリースされました。 LegNeato! » Two F-ing days for Firefox 3.6.12 and 3.5.15! ではこの間の経緯が述べられているので訳してみます。 この問題に対してMozillaがどのように対応したかについて少し詳しく述べてみます。また今回の素早いリリースを実現してくれた人々に感謝します。 リリースまでの経緯は以下のとおりです: 日曜(24日)、新しいトロイの木馬が作成された(実行ファイルのリンク日時による)。 ある顧客のネットワークへの侵入攻撃について調査していた Telenor SOC 社の Morten Kråkvik が、Windows XP 上の Fire
【レポート】Firefox4でHTTPS通信を強制する方法 | エンタープライズ | マイコミジャーナル
Firefox web browser - Faster, more secure & customizable Firefox 4開発版にHTTP Strict Transport Security (HSTS)の機能が実装された。HSTSはすでにChromeでは実装されていたセキュリティ機能。Firefox 4でデフォルトの機能として動作するようになる見通し。 Chromeが実現する5つの新しいセキュリティ機能 HSTSが実際にどういったように機能するのかがFirefox 4: HTTP Strict Transport Security (force HTTPS) ? Mozilla Hacksでわかりやすく紹介されている。http://とhttps://の双方の通信を提供している場合、サイト運用者はより安全な通信を実現するために、http://へのアクセスはhttps://へ転送し
デル、仮想化で防御力を高めたWebブラウザーを無償提供
米Dellは米国時間2010年7月20日、マルウエアに強いWebブラウザー「Dell KACE Secure Browser」を発表した。仮想化環境でFirefoxを動かすため、高いセキュリティを実現できるとしている。同社のDell KACE事業部門がWebサイトで無償提供を開始した。 Dell KACE Secure Browserでは、アプリケーション仮想化技術を使って、Firefoxのインスタンスを実際のコンピュータやOSから切り離して動かす。Firefox経由でマルウエアの攻撃を受けたとしても、その影響がOSに及ぶことを避けられる。攻撃などで修正された環境も容易に修復できる。ホワイトリストとブラックリストを参照する機能も備え、危険なWebサイトやWebアプリケーションの利用を未然に防げる。 インストール用パッケージには、FirefoxのほかAdobe ReaderやFlashコンテ
CSS による履歴の漏えいを防ぐ取り組み « Mozilla Developer Street (modest)
これは、Mozilla Security Blog の記事 Plugging the CSS History Leak (英文) の抄訳です。Web 開発者の方は Mozilla Hacks の記事抄訳 CSS の :visited に行われるプライバシー対策 も参照してください。 プライバシーの保護は必ずしも簡単なことではありません Mozilla では近く、以前からブラウザ各社が取り組んでいる個人情報漏えい問題の対策を Firefox の開発ツリーに追加します。私たちはこの改善を非常に楽しみにしており、他のブラウザも後に続いてくれることを期待しています。しかし、これは解決が難しい問題であるため、Mozilla がなぜこのようなアプローチを取ることにしたのか説明しておきたいと思います。 履歴の取得 Web ページ上のリンクは、ユーザがそのリンク先を訪れたことがあるかどうかによって見た目が
FirefoxがFlashをチェック、旧版には警告
ユーザーがFlash Playerの古いバージョンを使っている場合、Firefox更新版をインストールした後の告知ページに警告メッセージを表示する。 間もなくリリース予定のFirefoxブラウザ更新版に、プラグインのAdobe Flash Playerが最新のバージョンかどうかをチェックする機能が加わった。Mozillaがセキュリティブログで明らかにした。 新機能を提供するのはFirefox 3.5.3とFirefox 3.0.14。ユーザーがFlash Playerの古いバージョンを使っている場合、Firefox更新版をインストールした後の告知ページに「すぐにFlash Playerを更新してください」という警告メッセージを表示し、Adobeのダウンロードページへと誘導する。 Mozillaによれば、古いバージョンのプラグインを使っていると、クラッシュなど安定性の問題を引き起こすばかりで
高木浩光@自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした
■ 「NoScript」をやめて「RequestPolicy」にした セキュリティ屋が、Firefoxユーザに「NoScript」の使用を推奨することがしばしばあるが、私は賛同しない。 JPCERT/CC、技術メモ「安全なWebブラウザの使い方」を公開, INTERNET Watch, 2008年11月4日 *1 技術メモ − 安全なWebブラウザの使い方, JPCERT/CC, 2008年11月4日 IV. 各 Web ブラウザに共通する設定上の注意事項 1. スクリプト等の実行を制限する JavaScript 等のスクリプトや(略)は(略)Ajax に代表されるインタラクティブなインターフェースが実現できるなど、高い利便性が得られます。反面、PC 上の重要なファイルを削除・変更するなど、悪意を持った処理が行われる可能性もあります。従って無制限にスクリプト等を実行できるようにしておくのは
BetterPrivacy :: Firefox Add-ons
BetterPrivacy 1.24 作者: NettiCat カテゴリ プライバシー/セキュリティ アラート/ステータス その他 Ever wondered why you are still tracked though you tried everything to prevent it? BetterPrivacy is a Super-Cookie Safeguard which protects from usually undeletable LSO's (Flash-Cookies) or DOM Storage Objects. It blocks longterm tracking on Google, YouTube Ebay and many other domains. レビュー (44) 詳しい説明 Better Privacy serves to pr
侵入検知システム(IDS)の新潮流,アプリケーション型とホスト型が登場
読者の中にも,ネットワーク上で何らかの侵入検知システム(IDS)を使っている人は多いだろう。IDSの多くは,ネットワークの境界部分で外部からやってくるトラフィックを監視するものか,ネットワーク内部で内部のトラフィックを監視するもののどちらかである。ところが筆者は先日,通常のIDSとは若干異なる2つのIDSの存在を知った。アプリケーションの内部で動作するIDSと,サーバー/ワークステーション上で動作するホストIDSである。 1つ目のツールは「Firekeeper」と呼ばれる。FirekeeperはFirefox用の拡張機能で,設定可能なルール・セットを使って怪しげな活動を検出するという点で,オープン・ソースIDSの「Snort」に似ている。Firekeeperは比較的新しいツールなので,Snortのように膨大なルール・セットを利用できるわけではない。それでもFirekeeperの基本的なルー
近ごろNoScript拡張の様子が何かおかしい (ひぐまのひまグ)
09月≪|1|2|3|4|5|6|7|8|9|10|11|12|13|14|15|16|17|18|19|20|21|22|23|24|25|26|27|28|29|30|31|≫11月
MD5署名のSSL証明書は案外出回っていない - Mozilla Flux
『EV SSL証明書の普及が偽証明書を防ぐ』では、MD5アルゴリズムに脆弱性が発見され、これで署名されたSSL証明書に偽造の危険があると述べた。 では、実際のところ、MD5署名のSSL証明書はどの程度の割合で存在しているのだろうか。Firefoxのセキュリティ責任者であるJohnathan Nightingale氏によれば、意外にも14%にとどまることが判明した。 調査は、2009年1月15日に実施された。Pythonで書かれたプログラムと公開されているリストを使って100万のサイトを調べ、38万2860のSSL証明書を取得。SQLiteのデータベースを構築するという大がかりなものだ。サンプルの規模、信頼性ともに十分といえよう。 また、朗報と言うべきだろうが、MD5署名のSSL証明書は2009年中に期限切れになるものが多く、2010年末までに大半の期限が切れる。原文のグラフから読み取る限り
[Mozilla] 塞がれたセキュリティホールを開けろという人々 - くでんな日々や公開どう?
◆ [Mozilla] 塞がれたセキュリティホールを開けろという人々 はじめに結論を書いておきます。 extensions.checkUpdateSecurityをfalseにする(安全な「アドオンの更新」が提供されているか確認する設定を無効にする)ということは、一度塞がれたセキュリティホールを自らの手で開けるということである。 この設定項目はMozilla製品やアドオンの開発者がテストなどに用いるために存在するものと思われる。一般ユーザはこの設定を初期設定から変えるべきではない[註1]。 Firefox 3では、「アドオンの更新」を提供しているアドオンのうちで安全な「アドオンの更新」を提供していないものはインストールできなくなりました。それで、Webを見てると、Mozilla Re-MixやFirefox更新情報 WikiなどのWebサイトや、それにやすっち。さん(例1・例2)やGomi
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
724182 - Gecko sends cookies and HTTP auth credentials in cross-domain requests to an unrelated domain for images and scripts that haven't been approved by CORS
647010 - Only present HTTP authentication dialogs if it is the top-level document initiating the auth
Privacy/2010-10-27 Shorten-Referer Meeting Notes - MozillaWiki
Firekeeper - detect and block malicious sites
