パスワードを忘れた? アカウント作成
13794273 story
Firefox

科学技術振興機構の電子ジャーナルプラットフォーム「J-STAGE」では未だにFirefoxが非推奨 55

ストーリー by headless
確認 部門より
hylom 曰く、

科学技術振興機構 (JST) による電子ジャーナルプラットフォーム「J-STAGE」の公式Twitterアカウントが12日、セキュリティ強化のためFirefoxや古いバージョンのブラウザで利用できなくなる可能性があると告知した。実際にFirefoxでは一時サイトが利用できない状況になっていたようだ(noteへの投稿)。

具体的な理由については明らかにされていないが、J-STAGEでは12日にTLS 1.2への切り替えとTLS 1.0/1.1の無効化を実施している。そのため、使用する暗号スイートを適切に設定していなかったことが原因ではないかとみられている。その後問題は修正され、現在のところFirefoxでも閲覧可能となっている。

ちなみに、J-STAGEの「動作確認済ブラウザ」ページでは、Windows 7のInternet Explorer 11とChrome 45.0、Mac OS XのSafari 10と、かなり古いバージョンのWebブラウザが「推奨」とされており、Firefoxについては非推奨のようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年12月16日 16時08分 (#3534376)

    AbemaTV [abema.tv]

    推奨ブラウザ:Chrome最新版、Safari最新版(Mac)、Edge最新版(Windows)、Internet Explorer 11以降(Windows)

    ※ 別に見えなくないが、アクセスすると非推奨環境だという警告が出る。Youtube、ニコニコ動画は推奨環境にFirefoxも含まれる。

    あと非推奨の明示はないが、官報 [npb.go.jp]は使っている証明書の問題(色々あってMozillaがApplicationCA2 Rootのプリインストールを拒絶した [it.srad.jp])でFirefoxではアクセスしても表示されないし、https強制だからhttpで閲覧できない。一方WindowsにはプリインストールされているのでIE、Edge、Windows版Chromeでは問題なく表示されるし、AppleもプリインストールされているようだからMac版Safariでも見えるはず。Android版ChromeはMozillaのを流用しているのでFirefox同様見えない。コンテンツ自体は環境依存ではないのでルート証明書ApplicationCA2 Rootをインストール [gpki.go.jp]すればどの環境でも一応見える。

    • by Anonymous Coward

      ようするにOS標準搭載のブラウザがサポート対象ってことで、それなりに合理的な判断ですよね(ChromeはAndroid/ChromeOSの標準ブラウザだと見なせば)
      むしろ、Firefoxが非推奨であることの何が問題なんだろう…

      • by Anonymous Coward on 2018年12月16日 18時39分 (#3534414)

        ちょっ、うちのUbuntuにはFirefoxが標準搭載なんですけど!

        親コメント
        • by Anonymous Coward

          さらに 32-bit 版を使用していると Chrome はインストールできないんだぞ!
          (Chromium はサポートに入りますかね?)

        • by Anonymous Coward

          Chromeに変えてください
          以上

          • by Anonymous Coward

            元コメントにあるように、Android版Chromeでは見れない、というかAndroidスマホやタブレットからはどうすれば?

            • by Anonymous Coward

              Ubuntuの話してんのになんでAndroidが出てくんの

      • by Anonymous Coward

        そりゃFirefoxユーザーにとっては問題だろう。
        わざわざサイトに合わせてブラウザ変更するのが問題でないなら、WindowsとMacとAndroidではFirefoxだけを推奨ブラウザーにすればいい。

      • by Anonymous Coward

        Chromeは、バージョン固定できないので、画面が崩れたり動かなくなる可能性があるとかの理由で
        保守契約とか結ばせる為に、開発元が好んで推奨します。
        また、不具合があったとしてもバージョンが同一でなければ、バージョン違いを理由にできる
        とても優秀なChromeだからです。
        FirefoxみたいにESRがあるブラウザなんてダメです!

      • by Anonymous Coward

        >ようするにOS標準搭載のブラウザがサポート対象ってことで、それなりに合理的な判断ですよね(ChromeはAndroid/ChromeOSの標準ブラウザだと見なせば)

        以前、とある電子書籍配信サイトのサポートに
        「ChromeはAndroidスマホ標準ブラウザではないのでサポート対象外」
        って言われたけど今は標準なの?

    • by Anonymous Coward

      今はどうかわからんけど、
      動画系はプロプライエタリのDRM関連のせいじゃなかったかな。
      Youtubeやニコニコ動画などDRM不要な動画サイトは問題なく。

      • by Anonymous Coward

        今はどうかわからんけど、 動画系はプロプライエタリのDRM関連のせいじゃなかったかな。

        今だとFlash廃止を受けてHTML5化が進んでいるから、Firefoxでも動画サイトは問題なくなってるんじゃないかな?
        知らんけど。

    • by Anonymous Coward

      官報のサイト [npb.go.jp]はUbuntu(bionic)のgoogle-crome-stableでも駄目でした。

      この接続ではプライバシーが保護されません
      kanpou.npb.go.jp では、悪意のあるユーザーによって、パスワード、メッセージ、クレジット カードなどの情報が盗まれる可能性があります。詳細 [google.com]
      NET::ERR_CERT_AUTHORITY_INVALID

  • by Anonymous Coward on 2018年12月16日 15時41分 (#3534366)

    企業とか研究所で何が何でもFireFoxを使わなきゃならない、ってことは少ないだろうから問題ないのでは。
    Internet Explorerが使えないと困る人は多いだろうけど

    • by Anonymous Coward on 2018年12月16日 15時56分 (#3534372)

      MathML をまともに扱えるのはいまや Firefox ぐらいなものだから、最も使いたがる層だと思うんが。
      MathJax?、電気代の無駄。

      親コメント
      • by Anonymous Coward

        数式は電子ジャーナルの方に書いてあるから、ブラウザで数式を読めなくても問題ないです。

    • by Anonymous Coward on 2018年12月16日 21時56分 (#3534498)

      えっえっ

      多くの研究者がJ-STAGEにアクセスできずに回れ右したことで世界中の研究活動に支障が出てたのに問題ないの?

      親コメント
      • by Anonymous Coward

        つまり多くの研究者がFirefoxでアクセスできないというだけで他のブラウザも試さずに諦めてしまっているってこと?

        • by Anonymous Coward

          そりゃそうでしょ。
          普通は証明書のエラーが出たら、攻撃を受けたか障害でも起きていると考える。

    • by the.ACount (31144) on 2018年12月17日 13時06分 (#3534675)

      FireFoxのシェアが少ないのかと思ってググったらSafariより上じゃんか。

      --
      the.ACount
      親コメント
  • by Anonymous Coward on 2018年12月16日 16時00分 (#3534373)

    TLS 1.0/1.1 がまだ有効なようです。
    https://www.ssllabs.com/ssltest/analyze.html?d=www.jstage.jst.go.jp [ssllabs.com]
    批判されて切り戻しただけ?

    • ここが詳しかったような

      https://note.mu/note_s/n/n517ff243e083 [note.mu]

      # どういう経緯でこの記事にきたんだっけ...?

      --
      M-FalconSky (暑いか寒い)
      親コメント
      • by Anonymous Coward

        逆にIE、Chrome、Safariで閲覧可能だったのは何なんだろ。Firefoxは他と比べて受け入れ可能な方式が少なかったのか?
        他のブラウザは規約を無視した仕様も許容するちゃらんぽらんで、Mozillaが規約通り以外受け付けないお役所仕事なのか。

        • by Anonymous Coward on 2018年12月16日 22時19分 (#3534505)

          前半部はその通り、後半部は少し語弊がある。

          仕様で決まっているのは「最後の砦」だけなので、それ以外にどんな暗号スイートを使おうが自由。Firefoxはセキュリティ重視の厳格なポリシー、他のブラウザは互換性重視の緩いポリシーだっただけで、そこは規約云々というわけではない。

          親コメント
        • by Anonymous Coward on 2018年12月17日 14時07分 (#3534706)

          Chrome [ssllabs.com]とFirefox [ssllabs.com]のCipher Suites比較してみれば分かるけど、"WEAK"となってる部分の対応に差があり、J-STAGEのTLS 1.2対応時にこれに引っかかった。

          J-STAGE [ssllabs.com]のCipher Suitesを比較してみると、原因が見えてくる。

          親コメント
        • by Anonymous Coward

          セキュリティ強化とか言い出してるのにIE11がOKでFirefoxがNGな意味がわからないですね
          たぶん建前だけでOSにバンドルされたブラウザ+Chromeでいいだろうって事なんでしょう
          ※EdgeよりIEな世代なんでしょう

  • メジャーなブラウザの最新版と一個前のバージョンくらいだけ許して、古いバージョンやもはや更新されていないものでアクセスしたらFirefoxなりChromeなりのダウンロードページへのリンク出すくらいでいいような気がする。

    • そうなるとブラウザも何らかの基準に対する動作を変えない保証が必要。

      たとえば、FirefoxもいつのまにかCCS3に準拠できてたら100点取れるはずのAcid3のスコアが100点じゃなくなってる [acidtests.org]し、100点取れた6.0.2以降のどっかのバージョンで描画にバグを入れている。

      手元にあるブラウザで試したら、Chrome/70も97点、IE11とEdge/17は100点を維持していた。

      一度クリアした終わったベンチマークなんてどうでもいいと思っているのかはわからないけど、標準に準拠してたのが途中で変わっているなんてことがあったら、表示が少し壊れたときでも利用者から苦情が来やすいサイトや、業務委託でガチガチの契約に縛られたサイトからバージョン縛りされても仕方ないとも思う。

      親コメント
      • by Anonymous Coward

        俺の手元のFirefox 64.0(Windows64bit版)は97点
        Chrome/70と同点じゃん。
        まあ、俺の環境でChromeが97点かは知らんが。

      • by Anonymous Coward

        動作確認済ブラウザ≠推奨ブラウザ

        動作確認したブラウザバージョンはそれはそれとして、推奨ブラウザは常に最新版であるべき。

        • by Anonymous Coward

          それだと万が一最新バージョンで動作確認バージョンと挙動が変わった場合に推奨してるのに表示が崩れたとか動かないぞって文句言われるんじゃないかな?推奨バージョンであって動作確認バージョンではないので、壊れたり動かなくなる場合もありますで客に通じるとは思えないけど。

          別に不都合な事態があってもご不便おかげしますしばらくお待ち下さい、表示が少々おかしくても別に使えるでしょ?ベストエフォートですが許されるサイトなら兎も角
          業務委託で運営している公共のサイトで動きませんは許されないし、チェックが終わる前にたぶん動くだろうで推奨扱いにして不具合が出たら客に文句言われるし、動作確認バージョン以外は動作保証しません(動くかもね)になるのも仕方ないかと。予算や時間の都合でバージョンアップ毎にチェックできるとも限らないし。

          • by Anonymous Coward

            そんな風に推奨環境を責任逃れに使ってたらタレコミのように最新版ブラウザでは何も見れなくなるからダメだよねっていう話じゃないの?

            • by Anonymous Coward

              (横からだけど)
              最新のバージョンがバグってたら、毎回最新版のバグにあわせて変えろって事?
              で、そのバグが直ったらまた元に戻せと? 標準も何も無視してIE6にあわせたウェブサイトばっかり作られてた頃と何が違うのそれ?
              #3534410さんが指摘してるのってそういうことでしょ

              • by Anonymous Coward
                そらそうでしょ?
                最新版じゃないブラウザにはほぼ間違いなくクリティカルな脆弱性があるんだから、
                ユーザーにそんな危険なブラウザの使用を強制して事故起こしたら責任取れんの?
              • by Anonymous Coward

                それが保守運用するってこと。責任の所在がどちらにせよ、それでベンダーは積算して入札して仕事もらって金取ってるので。

              • by Anonymous Coward

                Firefox の場合は Beta や Nightly があるのでいち早く試してバグ報告するなりパッチを書くなりするのが宜しいかと。同じようなバグが発生しないようにテストも書いたらより良いですね。
                Chrome も同様に先に試せるバージョンが有るようですね。

                それでも安定版で直らなければ回避コードを仕込むしかないですかね。

    • by Anonymous Coward

      今どき最新バージョンに自動でアップデートされてない環境って既にOSも含めたサポートが切れてると思う

    • by Anonymous Coward

      それって結局、推奨ブラウザ/バージョンなのでは…

      • by Anonymous Coward

        推奨じゃなくて最新を必須にしちゃえって話です

    • by Anonymous Coward

      推奨というか、弊社社内のシステム、Javascriptの一部が特定のブラウザでは動かず使えない。
      それも、Chromeでないと動かないシステムと、IEでないと動かないシステムの両方があったりしてなかなか器用。

      ちらっとデバッグしてみると、非標準のプロパティを見に行って転けてる感じだった。
      (ので、正確には、「~でないと動かない」ではなく、「~でならとりあえず動く」だけど)

  • by Anonymous Coward on 2018年12月16日 19時09分 (#3534426)

    8C16TのXeonプロセッサで新規セッション数10万/秒くらい出る
    SSL/TLSアルゴリズム作ってくれ

  • by Anonymous Coward on 2018年12月16日 20時18分 (#3534459)

    関連コメントが多数あるストーリー

    Firefox 64リリース、シマンテックの証明書が無効に
    https://security.srad.jp/story/18/12/13/0528216/ [security.srad.jp]

  • by Anonymous Coward on 2018年12月17日 18時01分 (#3534887)
    • by Anonymous Coward

      何も天皇誕生日前にやらんでも

      • by Anonymous Coward

        まぁ、年内に検収を終わらせたいんだろう。

  • by Anonymous Coward on 2018年12月17日 23時43分 (#3535148)

    今回の作業は、JSTの随意契約情報にある「平成30年度 科学技術情報発信・流通総合システムシステム運用・アプリケーション保守業務」の一環として、テクマトリックス株式会社が担当しているのでしょうかね。

    • by Anonymous Coward

      どうして競争入札じゃなくて随契なんだろうね? PDF見てもよくわからんかった。
      しかし9000万円でこのレベルって官公庁では普通なの?

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...