Firefox 16.0に脆弱性が発見され公開中止に 82
ストーリー by hylom
あれまあ 部門より
あれまあ 部門より
あるAnonymous Coward 曰く、
Firefox 16.0に脆弱性が見つかり、自動更新が中止された。また、公式サイトのダウンロードページも15.0.1に戻された。10.0.8 ESRにこの脆弱性は存在しない(セキュリティホールmemo)。
脆弱性の内容は、悪意のあるサイトによってユーザーがアクセスしたURLやURLパラメータを知られてしまうというもの(Mozilla Security Blog)。
今後、脆弱性を修正した16.0.1のリリースが予定されている。
オープンソースでは無理か (スコア:2)
Google Chrome の脆弱性を見つけた ハッカーが賞金 $60,000 [blogspot.jp]、という記事を見て思うのは、まず、セキュアなソフトウェアをメンテナンスするのは恐ろしく難しいのであるなあということと、それだけのことをするのはカネがいるということであります(しかも、この脆弱性見つけたこのハッカーは今年二度目の脆弱性発見、$120,000 稼いでるという)Chrome はオープンソースではありますが、これは、懐が暖かい Google の長期的な戦略に基づく製品なのであって、Firefox とは趣が異なると思われます。
Eclipse は、Visual Studio を打ち倒したかのように見えましたが、マイクロソフトは Visual Studio 2012 では JavaScript の強力なコーディング環境を構築しました。動きが早い。クリエイティブ用途のソフトウェアの分野で、Adobe や Auto Desk、Apple の強力な製品と比べると、素朴なオープンソースのソフトウェアでは遠く及ばない。
Re:オープンソースでは無理か (スコア:2)
後半部分は、セキュアなソフトというのとはまったく価値観が違うものを述べていますが、それはどんな関係があるのでしょう?
Re:オープンソースでは無理か (スコア:2)
要するに、カネが回らないのでは進歩に追いつけないということであります。これからもブラウザはおそらく多機能化を続けることは間違いないときに、資本面で Firefox がついていくのはそうとう厳しいのではなかろうかという思いました。
Eclipse Juno のパフォーマンス問題 [infoq.com]というのも、理由は人的金銭的リソースが不足しているからだそうです。当たり前ですが、いつだってカネが大問題なのだなあということです。
Re:オープンソースでは無理か (スコア:3)
でも、「セキュアなソフトをメンテナンスするのは難しくて金がかかる」というのは、
- まずは問題を作り込まないようにするという話があって
- メンテナンスしやすいようにするという話が次に来て
- それから、どうメンテナンスする人員をどう確保するか(費用をどうするのか)、という話
だと思うわけです。
問題を作り込まないようにする、メンテナンスしやすいようにするという意味では、OSSライセンスのもとでオープンな開発体制にするのがコストを下げるという点を忘れてはならないんじゃないでしょうか。
GoogleがChromeを開発するリソースを確保するのはproprietaryかOSSかに関わらず必要なのであって、そのコストを下げるのにOSSを利用する/chrome自体をOSSとしてリリースしていく(=chromium)という判断を下しているわけです。そういう意味で、タイトルが「オープンソースでは無理か」というタイトルを付けられたのは「?」と思います。
機能について、VS2012やAdobeCSが非常に充実しているのは同意です。これと同じ事をやろうと思うとかなり大変そう…あと、Eclipseの話は知らなかったので参考になりました。ありがとうございます。
でも、さらに追加すると、進歩に追いつく(機能の進化)という話は、元々MSやAdobeとかは金銭的リソースもさることながら、それまでに開発してきたコードという財産とそのソフトを開発できる人的資産(技能と知識も含め)を持っていることを無視してもいけないかと思います。
#理解しようとして分からないから素直に質問しているのに、ひねくれてるとか言われるのは心外ですねぇ>AC
Re:オープンソースでは無理か (スコア:1)
>「あ、でもChromeは特殊例だからここで私が言うオープンソースって言う定義からは外してね」っていう意見に対して
外す事という事自体が定義からして間違っています、という意見だとは読めないのですよね。君もひねてますね。
Re: (スコア:0)
元コメさんではありませんが、
・セキュアなソフトをメンテナンスするのは難しく金がかかる
・カネという観点では、Google、Adobe、Auto Desk、Appleの製品に比べると、資金力で劣るFirefoxを含むオープンソースは機能的に遠く及ばない点がある。
ということを元コメさんは述べていて、
Googleからきられて前ほど資金が潤沢でなくなったであろうmozillaがFirefoxをよいソフト(セキュアだったり、速かったり)として維持するのは難しいかもしれないですね、ということが言いたいのだと思います。
まあ、そんなひねくれずに、理解しようとしてあげてください。
Re:オープンソースでは無理か (スコア:1)
Mozillaのオープンソースは悪いオープンソース
Googleのオープンソースは良いオープンソースと
"金がないと無理か"なら文句なかったが
Re: (スコア:0)
どう読んでも厨二の脳内妄想にしか読めないんだけど。
少なくとも何が話題になってるか把握してから書いたら?
Re: (スコア:0)
> Firefox とは趣が異なると思われます。
Googleと比べれば懐は寂しいですが
Firefoxにも同種の報奨金プログラム [mozilla.org]があります。
Re: (スコア:0)
MSは金持ちのくせに謝辞だけで報奨金も払わないのかケチだなまで読んだ
# でもGoogleに時価総額抜かれたんだっけ
Re:オープンソースでは無理か (スコア:1)
一体いつまで新しいバグを作り続けるつもりだ? (スコア:1)
Firefox 16で修正が公表されたアドバイザリ14件 [mozilla-japan.org]のうち、Firefox 10.0.8 ESRに影響するものは10件 [mozilla-japan.org]。
公開停止の原因になったバグを除いても、4件のセキュリティーバグをFirefox 16の開発プロセスの中で新たに生み出している。さらにアドバイザリの共通するメモリ破壊バグ [mozilla.org]もFirefox 16だけに影響する修正を1件を含んでいる。
Firefoxはもう古いブランチのメンテナンスだけしていればいいんじゃないかな。
名言投下 (スコア:0)
嫌なら使うな
Re: (スコア:0)
嫌だけど使わないといけないんだよなあ。
うちの製品もFirefoxサポート切っちゃえばいいのに…。
Re: (スコア:0)
セキュリティバグが残っているバージョンのサポートなんか遠慮なく切っていいと思いますが。
Re: (スコア:0)
>> セキュリティバグが残っているバージョンのサポートなんか遠慮なく切っていいと思いますが。
Firefoxなんぞ遠慮なく切れってコトですね。わかります。
Re: (スコア:0)
本当、切れるものなら切りたいよ。
図体のデカい企業だとラピッドリリースについていけない。
あるバージョンで検証しても、社内プロセスを経て市場に出すときには既にサポート外バージョンというのは…。
Re: (スコア:0)
64bit板をサポートしてくれないので、使う気になれずに実際ほったらかしになってます…
Re:名言投下 (スコア:1)
namorokaとかshiretokoというコード名が気になる。
Re: (スコア:0)
あ、もう更新しちゃった。
他のタブを全て閉じるの毎回確認が消せなくてアドイン入れましたけど
それ以外はまぁあんまり気にしてません。
#同期が面倒なので、私はポータブルバージョンです。
Re: (スコア:0)
古いブランチとは、ESRの事でしょうか。ESRは法人向けです。
mozilla supportでは、最新バージョンのFirefoxが使えない環境に対して他のブラウザの最新バージョンを使うことを勧めています。
https://support.mozilla.org/ja/kb/install-older-version-of-firefox [mozilla.org]
Re: (スコア:0)
で、「新しいソフトウェアで新しいバグが作り続けられなかった」というケースって何よ?
そりゃ、ソフトウェアを新しく作りゃ、それ由来の新しいバグだって出るわな。
Re: (スコア:0)
TeXとかいい方じゃない?
論理破綻した名言投下 (スコア:0)
じゃあTexだけ使ってればいいだろ!
コンピュータおばあちゃん… (スコア:1)
コンピュータおばあちゃんが言っていた「出てすぐに更新するのは無知な愚か者のする行為なのだよ」と…。
# OSはこの間 Lion から、Mountain Lion に更新したばかり
# この記事を見て「この Mac に入れているのはバージョン何だっけ?」と思い確認したら FF15 で、16.0.1への更新をダウンロードし始めました
明らかになった脆弱性を放置するのは愚か者 (スコア:1)
やぁ、IBM OS/2 使いの ID [geocities.jp] がやってきましたよ。
Firefox ESR 10.0.9 for OS/2 の about:buildconfig の情報です。
やっぱり枯れたシステムはいいなぁ。
とはいえブラウザのセキュリティホールは発見された直後が狙い時なので、新バージョンがリリースされたらすぐに更新するのが吉。
>出てすぐに更新するのは
コンピュータおばあちゃんが言っているのは、たとえばWindowsの新バージョンが発売されても SP1 が出るまで導入は待てという話(ごめん林檎は知らないんだ)であって、ソフトウェアの脆弱性を野放しにせよということではありませんよ。
---
Build identifier: Mozilla/5.0 (OS/2; Warp 4.5; rv:10.0.9) Gecko/20100101 Firefox/10.0.9
モデレータは基本役立たずなの気にしてないよ
もう更新しちゃった (スコア:0)
職場のPCだからいいか
Re: (スコア:0)
JVNとかどうなってんのかな。
MyJVNの更新情報はFireFox16.0に対応 [jvndb.jvn.jp]とか書いてあるけど、詳細がよくわかない。
Re: (スコア:0)
そんなことは書いていない。
Frirefox 16に対応とは書いてあるが…
Re: (スコア:0)
何の話?
Android版 16.0.1リリース済み (スコア:0)
Android 版 Firefox 16.0.1 リリースノート
http://www.mozilla.jp/firefox/android/16.0.1/releasenotes/ [mozilla.jp]
Desktop版が日本時間11日深夜~12日修正予定 (スコア:1)
> Mozillaでは現在、Windows/Mac/Linux版の修正に取り組んでおり、日本時間11日の夜または12日には修正版を提供する予定。
http://internet.watch.impress.co.jp/docs/news/20121011_565468.html [impress.co.jp]
Re: (スコア:0)
早朝から更新始まってるよ
またか (スコア:0)
アプデしちゃったよ
Re: (スコア:0)
人柱がんばれよ
おれもだけど
Re:またか (スコア:1)
#Ubuntuの自動更新もこんな時は考えもんだな。
先生! (スコア:0)
Thunderbird 16は大丈夫でしょうか!
Re:先生! (スコア:1)
この脆弱性の影響は実質的にないそうです。
http://internet.watch.impress.co.jp/docs/news/20121011_565468.html [impress.co.jp]
良レスポンス? (スコア:0)
16は3.6以来の良バージョンだと思います
3.6以来どんどんもっさりしていっていたのが16で一気に3.6並にサクサク反応するようになった気がします (効果には個人差があります)
Re: (スコア:0)
進む・戻るの履歴が廃止されたのがとても不便
Re:良レスポンス? (スコア:1)
SafariやGoogle Chrome同様、長押しすれば表示されるということはないですか?あるいは右クリック。
// 見当違いだとすれば、わたしはいつのUIで使っていることになるのだろう⇒あとで考える糖分棚上げ
Re: (スコア:0)
ほんの少し長押しすると履歴が出るっぽいですね。
Re: (スコア:0)
以前なら長押しとか右クリックとか必要なしに履歴ボタンが矢印の先に小さくついていたからなぁ
それにくらべると劣化UIだと感じる毎日
(オフトピ: -1) Re:良レスポンス? (スコア:1)
後付け自分解釈ですけど。。。
履歴スタックを複数たどるのは目で見て判断してをはさむので長押しに要するちょっとの時間がトレードオフになってもよいのかなと
右クリックで表示も一緒かな。
add-onsをいっぱい導入して敏感な場所がそうでなくても狭いからなくてもいいわたしにとっては好ましい変更です。
…そもそもそれほど利用優先度の高い操作でなかったから気にしていないというのが個人的事情ですね。
劣化か中立変化かは個々のユーザの事情次第ですから決め付けられないと思いました。
// あくまでゆるいユーザゆえの感想です -- という逃げを打っておきましょう。
Re:(オフトピ: -1) Re:良レスポンス? (スコア:1)
> 劣化か中立変化かは
改善である余地はないのか。不偏を装ってサラっとすごいdisりを入れてくるな
Re:(オフトピ: -1) Re:良レスポンス? (スコア:1)
気に触る言い回しで失礼しました。
add-onsをいっぱい導入して敏感な場所がそうでなくても狭いからなくてもいいわたしにとっては好ましい変更です。
個人的には今の方が前よりいいという判断なのでdisっていると思われたのは予想外でした。
Re: (スコア:0)
普通に使えますよ?
私は新しいUIが嫌いなので、3.6のUIにカスタマイズしています
← → 家 アドレス 検索ボックス
みたいな感じ
もちろん←を右クリックすれば履歴も出ます
Re: (スコア:0)
あ、微妙にすごいです。始めて知りました。
あとはGoogleツールバーさえ復活してくれれば。
代替えはあるんですけど微妙に使いにくい。
#ホームの位置とかUI配置変えられると
#どこにあるのかわかんないのでやめてほしい。
アップデートされた (スコア:0)
16.0.1来てますよ
Re:この脆弱性によるESR 10.0.9のリリース予定はありません (スコア:1)
リリース準備中です。
https://wiki.mozilla.org/SeaMonkey:Release_Process:2.13.1 [mozilla.org]