科学技術振興機構の電子ジャーナルプラットフォーム「J-STAGE」では未だにFirefoxが非推奨 55
ストーリー by headless
確認 部門より
確認 部門より
hylom 曰く、
科学技術振興機構 (JST) による電子ジャーナルプラットフォーム「J-STAGE」の公式Twitterアカウントが12日、セキュリティ強化のためFirefoxや古いバージョンのブラウザで利用できなくなる可能性があると告知した。実際にFirefoxでは一時サイトが利用できない状況になっていたようだ(noteへの投稿)。
具体的な理由については明らかにされていないが、J-STAGEでは12日にTLS 1.2への切り替えとTLS 1.0/1.1の無効化を実施している。そのため、使用する暗号スイートを適切に設定していなかったことが原因ではないかとみられている。その後問題は修正され、現在のところFirefoxでも閲覧可能となっている。
ちなみに、J-STAGEの「動作確認済ブラウザ」ページでは、Windows 7のInternet Explorer 11とChrome 45.0、Mac OS XのSafari 10と、かなり古いバージョンのWebブラウザが「推奨」とされており、Firefoxについては非推奨のようだ。
他のFirefox非推奨サイトをあげてみる (スコア:5, 参考になる)
AbemaTV [abema.tv]
※ 別に見えなくないが、アクセスすると非推奨環境だという警告が出る。Youtube、ニコニコ動画は推奨環境にFirefoxも含まれる。
あと非推奨の明示はないが、官報 [npb.go.jp]は使っている証明書の問題(色々あってMozillaがApplicationCA2 Rootのプリインストールを拒絶した [it.srad.jp])でFirefoxではアクセスしても表示されないし、https強制だからhttpで閲覧できない。一方WindowsにはプリインストールされているのでIE、Edge、Windows版Chromeでは問題なく表示されるし、AppleもプリインストールされているようだからMac版Safariでも見えるはず。Android版ChromeはMozillaのを流用しているのでFirefox同様見えない。コンテンツ自体は環境依存ではないのでルート証明書ApplicationCA2 Rootをインストール [gpki.go.jp]すればどの環境でも一応見える。
Re: (スコア:0)
ようするにOS標準搭載のブラウザがサポート対象ってことで、それなりに合理的な判断ですよね(ChromeはAndroid/ChromeOSの標準ブラウザだと見なせば)
むしろ、Firefoxが非推奨であることの何が問題なんだろう…
Re:他のFirefox非推奨サイトをあげてみる (スコア:2, おもしろおかしい)
ちょっ、うちのUbuntuにはFirefoxが標準搭載なんですけど!
Re: (スコア:0)
さらに 32-bit 版を使用していると Chrome はインストールできないんだぞ!
(Chromium はサポートに入りますかね?)
Re: (スコア:0)
Chromeに変えてください
以上
Re: (スコア:0)
元コメントにあるように、Android版Chromeでは見れない、というかAndroidスマホやタブレットからはどうすれば?
Re: (スコア:0)
Ubuntuの話してんのになんでAndroidが出てくんの
Re: (スコア:0)
そりゃFirefoxユーザーにとっては問題だろう。
わざわざサイトに合わせてブラウザ変更するのが問題でないなら、WindowsとMacとAndroidではFirefoxだけを推奨ブラウザーにすればいい。
Re: (スコア:0)
Chromeは、バージョン固定できないので、画面が崩れたり動かなくなる可能性があるとかの理由で
保守契約とか結ばせる為に、開発元が好んで推奨します。
また、不具合があったとしてもバージョンが同一でなければ、バージョン違いを理由にできる
とても優秀なChromeだからです。
FirefoxみたいにESRがあるブラウザなんてダメです!
Re: (スコア:0)
>ようするにOS標準搭載のブラウザがサポート対象ってことで、それなりに合理的な判断ですよね(ChromeはAndroid/ChromeOSの標準ブラウザだと見なせば)
以前、とある電子書籍配信サイトのサポートに
「ChromeはAndroidスマホ標準ブラウザではないのでサポート対象外」
って言われたけど今は標準なの?
Re:他のFirefox非推奨サイトをあげてみる (スコア:2)
標準ブラウザ(AOSPブラウザ)はとっくに打ち切り。
アプリ内でWeb表示機能を提供するWebViewも、現在(Nougat,Pie)ではChromeのエンジンを呼び出している。
よって今はChromeが標準と言っても差し支えないと思う。
Re: (スコア:0)
今はどうかわからんけど、
動画系はプロプライエタリのDRM関連のせいじゃなかったかな。
Youtubeやニコニコ動画などDRM不要な動画サイトは問題なく。
Re: (スコア:0)
今はどうかわからんけど、 動画系はプロプライエタリのDRM関連のせいじゃなかったかな。
今だとFlash廃止を受けてHTML5化が進んでいるから、Firefoxでも動画サイトは問題なくなってるんじゃないかな?
知らんけど。
Re: (スコア:0)
官報のサイト [npb.go.jp]はUbuntu(bionic)のgoogle-crome-stableでも駄目でした。
この接続ではプライバシーが保護されません
kanpou.npb.go.jp では、悪意のあるユーザーによって、パスワード、メッセージ、クレジット カードなどの情報が盗まれる可能性があります。詳細 [google.com]
NET::ERR_CERT_AUTHORITY_INVALID
読者層を考えると (スコア:0)
企業とか研究所で何が何でもFireFoxを使わなきゃならない、ってことは少ないだろうから問題ないのでは。
Internet Explorerが使えないと困る人は多いだろうけど
Re:読者層を考えると (スコア:3, 興味深い)
MathML をまともに扱えるのはいまや Firefox ぐらいなものだから、最も使いたがる層だと思うんが。
MathJax?、電気代の無駄。
Re: (スコア:0)
数式は電子ジャーナルの方に書いてあるから、ブラウザで数式を読めなくても問題ないです。
Re:読者層を考えると (スコア:1)
えっえっ
多くの研究者がJ-STAGEにアクセスできずに回れ右したことで世界中の研究活動に支障が出てたのに問題ないの?
Re: (スコア:0)
つまり多くの研究者がFirefoxでアクセスできないというだけで他のブラウザも試さずに諦めてしまっているってこと?
Re: (スコア:0)
そりゃそうでしょ。
普通は証明書のエラーが出たら、攻撃を受けたか障害でも起きていると考える。
Re:読者層を考えると (スコア:1)
FireFoxのシェアが少ないのかと思ってググったらSafariより上じゃんか。
the.ACount
TLS 1.0/1.1 がまだ有効 (スコア:0)
TLS 1.0/1.1 がまだ有効なようです。
https://www.ssllabs.com/ssltest/analyze.html?d=www.jstage.jst.go.jp [ssllabs.com]
批判されて切り戻しただけ?
Re:TLS 1.0/1.1 がまだ有効 (スコア:1)
ここが詳しかったような
https://note.mu/note_s/n/n517ff243e083 [note.mu]
# どういう経緯でこの記事にきたんだっけ...?
M-FalconSky (暑いか寒い)
Re: (スコア:0)
逆にIE、Chrome、Safariで閲覧可能だったのは何なんだろ。Firefoxは他と比べて受け入れ可能な方式が少なかったのか?
他のブラウザは規約を無視した仕様も許容するちゃらんぽらんで、Mozillaが規約通り以外受け付けないお役所仕事なのか。
Re:TLS 1.0/1.1 がまだ有効 (スコア:1)
前半部はその通り、後半部は少し語弊がある。
仕様で決まっているのは「最後の砦」だけなので、それ以外にどんな暗号スイートを使おうが自由。Firefoxはセキュリティ重視の厳格なポリシー、他のブラウザは互換性重視の緩いポリシーだっただけで、そこは規約云々というわけではない。
Re:TLS 1.0/1.1 がまだ有効 (スコア:1)
Chrome [ssllabs.com]とFirefox [ssllabs.com]のCipher Suites比較してみれば分かるけど、"WEAK"となってる部分の対応に差があり、J-STAGEのTLS 1.2対応時にこれに引っかかった。
J-STAGE [ssllabs.com]のCipher Suitesを比較してみると、原因が見えてくる。
Re: (スコア:0)
セキュリティ強化とか言い出してるのにIE11がOKでFirefoxがNGな意味がわからないですね
たぶん建前だけでOSにバンドルされたブラウザ+Chromeでいいだろうって事なんでしょう
※EdgeよりIEな世代なんでしょう
そろそろ推奨ブラウザとか推奨バージョンとかやめる頃合いでは (スコア:0)
メジャーなブラウザの最新版と一個前のバージョンくらいだけ許して、古いバージョンやもはや更新されていないものでアクセスしたらFirefoxなりChromeなりのダウンロードページへのリンク出すくらいでいいような気がする。
Re:そろそろ推奨ブラウザとか推奨バージョンとかやめる頃合いでは (スコア:1)
そうなるとブラウザも何らかの基準に対する動作を変えない保証が必要。
たとえば、FirefoxもいつのまにかCCS3に準拠できてたら100点取れるはずのAcid3のスコアが100点じゃなくなってる [acidtests.org]し、100点取れた6.0.2以降のどっかのバージョンで描画にバグを入れている。
手元にあるブラウザで試したら、Chrome/70も97点、IE11とEdge/17は100点を維持していた。
一度クリアした終わったベンチマークなんてどうでもいいと思っているのかはわからないけど、標準に準拠してたのが途中で変わっているなんてことがあったら、表示が少し壊れたときでも利用者から苦情が来やすいサイトや、業務委託でガチガチの契約に縛られたサイトからバージョン縛りされても仕方ないとも思う。
Re: (スコア:0)
俺の手元のFirefox 64.0(Windows64bit版)は97点
Chrome/70と同点じゃん。
まあ、俺の環境でChromeが97点かは知らんが。
Re: (スコア:0)
動作確認済ブラウザ≠推奨ブラウザ
動作確認したブラウザバージョンはそれはそれとして、推奨ブラウザは常に最新版であるべき。
Re: (スコア:0)
それだと万が一最新バージョンで動作確認バージョンと挙動が変わった場合に推奨してるのに表示が崩れたとか動かないぞって文句言われるんじゃないかな?推奨バージョンであって動作確認バージョンではないので、壊れたり動かなくなる場合もありますで客に通じるとは思えないけど。
別に不都合な事態があってもご不便おかげしますしばらくお待ち下さい、表示が少々おかしくても別に使えるでしょ?ベストエフォートですが許されるサイトなら兎も角
業務委託で運営している公共のサイトで動きませんは許されないし、チェックが終わる前にたぶん動くだろうで推奨扱いにして不具合が出たら客に文句言われるし、動作確認バージョン以外は動作保証しません(動くかもね)になるのも仕方ないかと。予算や時間の都合でバージョンアップ毎にチェックできるとも限らないし。
Re: (スコア:0)
そんな風に推奨環境を責任逃れに使ってたらタレコミのように最新版ブラウザでは何も見れなくなるからダメだよねっていう話じゃないの?
Re: (スコア:0)
(横からだけど)
最新のバージョンがバグってたら、毎回最新版のバグにあわせて変えろって事?
で、そのバグが直ったらまた元に戻せと? 標準も何も無視してIE6にあわせたウェブサイトばっかり作られてた頃と何が違うのそれ?
#3534410さんが指摘してるのってそういうことでしょ
Re: (スコア:0)
最新版じゃないブラウザにはほぼ間違いなくクリティカルな脆弱性があるんだから、
ユーザーにそんな危険なブラウザの使用を強制して事故起こしたら責任取れんの?
Re: (スコア:0)
それが保守運用するってこと。責任の所在がどちらにせよ、それでベンダーは積算して入札して仕事もらって金取ってるので。
Re: (スコア:0)
Firefox の場合は Beta や Nightly があるのでいち早く試してバグ報告するなりパッチを書くなりするのが宜しいかと。同じようなバグが発生しないようにテストも書いたらより良いですね。
Chrome も同様に先に試せるバージョンが有るようですね。
それでも安定版で直らなければ回避コードを仕込むしかないですかね。
Re: (スコア:0)
今どき最新バージョンに自動でアップデートされてない環境って既にOSも含めたサポートが切れてると思う
Re: (スコア:0)
つ Internet Explorer 11 / Windows 10
Re: (スコア:0)
Edge使えよ
Re: (スコア:0)
それって結局、推奨ブラウザ/バージョンなのでは…
Re: (スコア:0)
推奨じゃなくて最新を必須にしちゃえって話です
Re: (スコア:0)
推奨というか、弊社社内のシステム、Javascriptの一部が特定のブラウザでは動かず使えない。
それも、Chromeでないと動かないシステムと、IEでないと動かないシステムの両方があったりしてなかなか器用。
ちらっとデバッグしてみると、非標準のプロパティを見に行って転けてる感じだった。
(ので、正確には、「~でないと動かない」ではなく、「~でならとりあえず動く」だけど)
速いほうがいい (スコア:0)
8C16TのXeonプロセッサで新規セッション数10万/秒くらい出る
SSL/TLSアルゴリズム作ってくれ
関連リンク (スコア:0)
関連コメントが多数あるストーリー
Firefox 64リリース、シマンテックの証明書が無効に
https://security.srad.jp/story/18/12/13/0528216/ [security.srad.jp]
仕切り直し (スコア:0)
12月22日(土) 10:00~16:00に仕切り直す [twitter.com]模様。
Re: (スコア:0)
何も天皇誕生日前にやらんでも
Re: (スコア:0)
まぁ、年内に検収を終わらせたいんだろう。
作業している業者 (スコア:0)
今回の作業は、JSTの随意契約情報にある「平成30年度 科学技術情報発信・流通総合システムシステム運用・アプリケーション保守業務」の一環として、テクマトリックス株式会社が担当しているのでしょうかね。
Re: (スコア:0)
どうして競争入札じゃなくて随契なんだろうね? PDF見てもよくわからんかった。
しかし9000万円でこのレベルって官公庁では普通なの?