Firefox 41.0.2リリース、クロスオリジン制限を迂回可能な脆弱性を修正 35
ストーリー by headless
更新 部門より
更新 部門より
Mozillaは15日、Firefox 41.0.2をリリースした。このリリースではクロスオリジン制限を迂回可能な脆弱性1点のみ修正されている(MFSA 2015-115、
Softpediaの記事、
MozillaZine.jpの記事、
窓の杜の記事)。
この脆弱性はfetch() APIがクロスオリジンリソース共有(CORS)仕様を正しく実装していないことが原因で、悪用するとWebページから他のオリジンのプライベートデータへのアクセスが可能になるというもの。デスクトップ版(Windows/OS X/Linux)およびAndroid版が影響を受け、深刻度は「高」となっている。Firefox ESRは影響を受けないようだ。
この脆弱性はfetch() APIがクロスオリジンリソース共有(CORS)仕様を正しく実装していないことが原因で、悪用するとWebページから他のオリジンのプライベートデータへのアクセスが可能になるというもの。デスクトップ版(Windows/OS X/Linux)およびAndroid版が影響を受け、深刻度は「高」となっている。Firefox ESRは影響を受けないようだ。
あれ?コメントがない。ブラウザの不具合? (スコア:0)
という方は右下の タイトルのみ : のところの + ボタンを押してください。
スラドの仕様を変えるべきだと思う (スコア:2)
現在、初期設定(ログインしていない状態)だと、見事に #2901879 だけしか表示されませんね。
評価が「+5」のコメントであっても、親に「-1」なコメントがあるとまとめて非表示になっちゃうスラドの仕様(ログアウトしている場合の初期設定)をなんとかすべきだと思います。
Re: (スコア:0)
高評価な枝に対する重み付けもそうですけど、それ以前に
「フレームの元ぐらいしかツリーが立たないような記事」は
ありのまま表示させてやるのが良い気がしますね。
Re: (スコア:0)
モデレータがまともならそう思うけどね
Re: (スコア:0)
コメントについては「○件の非表示コメント」をクリックして表示できるのにルート記事だけ何も表示されない仕様は確かにおかしい。ちなみにバグ報告はACでもできるしちゃんと反映されるようなので(スラドになってから2件中2件すでに反映された)本当に困っている人は報告をおすすめする。
Re: (スコア:0)
荒らしに反応する者も荒らしってことで、まとめて非表示結構じゃないか。
Re:もはやわけが分からない (スコア:5, おもしろおかしい)
なんとFirefoxにはデスクトップLinux版が存在するのですよ。驚いたでしょう。
Re:もはやわけが分からない (スコア:1)
なんとFirefoxにはSolaris版 [mozilla.org]が存在していたのですよ。驚いたでしょう。
モデレータは基本役立たずなの気にしてないよ
Re:もはやわけが分からない (スコア:1)
*BSDのことも忘れないでください
Re:もはやわけが分からない (スコア:5, すばらしい洞察)
ここがOSDN運営のサイトだという事を思い出してください。
そしてOSDNがどういう会社かも。
あなたにとってfirefoxは数多あるマイナーブラウザの一つかもしれませんが、OSSのブラウザをけん引してきた存在であり、その開発体制がOSS界に大きな影響を与えた存在でもあり、そしてほぼ作り替わってはいるだろうが、ブラウザの歴史をひも解く上で欠かすことのできないnetscapeの系譜に連なる伝統的なブラウザなのですよ。
javascriptやkhtml/webkitを通じてgoogleやappleに与えた影響は計り知れなく、そしてそれはスマホにとっても大きい事を意味する。
わけが分からないのは、つまりそういう事を知らないからなのです。
知識不足です。
そしてここはQ&Aサイトではないのです。
Re:もはやわけが分からない (スコア:2, すばらしい洞察)
ご不満ならこれが選ばれなくなるぐらい「まともな」ニュースをタレこめばいいでしょう
#どこがマイナーブラウザじゃゴルァ
Re: (スコア:0)
#2901566 には分からないだろうけど, #2901588 はきっと Opera 信者だぜ。
マイナーブラウザの称号を得られるのは Opera だけだ。
Re:もはやわけが分からない (スコア:1)
何に苛立っているのか解らない。
Re:もはやわけが分からない (スコア:1)
脆弱性があったという話は悪口だと思ってるんでしょ。
Re:もはやわけが分からない (スコア:1)
脆弱性は1件だろうが100件だろうが変わらないんだよ
一括りにするのもどうかと思うけどそんなちっぽけなことでキレてどうすんのよあんた
Re:もはやわけが分からない (スコア:1)
水を差してすまないが
さすがに100件は変わる
Re:もはやわけが分からない (スコア:1)
危険性高いやつならたれ込まれてもいいだろ。なにいってんだこいつ
Re:もはやわけが分からない (スコア:1)
あれっ?「おもおか」が付いてないぞ
Re:もはやわけが分からない (スコア:1)
アレゲ警察
Re:もはやわけが分からない (スコア:1)
いいよ。タレコミには特に制限はない。
それは編集者の判断。掲載されるかもしれないしされないかもしれないし、ひょっとしたら複数のタレコミが一記事にまとめられるかもしれない。
今回みたいに深刻度の高い脆弱性なら採用率は高いだろうね。
Re:もはやわけが分からない (スコア:1)
むしろタレコミは熱烈歓迎だろうなあ。
アプリの脆弱性が集まって確認できるサイトなんてのができたら相当に有用だもの
Re:もはやわけが分からない (スコア:1)
>アプリの脆弱性が集まって確認できるサイト
かつては Secunia Advisories [secunia.com] が便利だったんだけどな。
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
文章の意味がよくわからなかったが,ただのAppleアンチか,納得した
例えばこれがSafariの脆弱性の記事だったら何も言わなかったんだろうな…FirefoxとSafariのシェアはさほど変わらないのに
Re: (スコア:0, 興味深い)
まあでも、このコメ沈めたら 0/14 になってしまうという現状もあれだね。
いまのスラドって大部分がケチ付けたり揚げ足とったりしに来てるだけだし。
Re: (スコア:0)
このオフトピックに対するツッコミ群がもれなくプラスモデされてるあたり、
ここのニーズというかトレンドがありありと現れてますね。
アレゲがどうとか技術的な話題を語る気はさらさら無くて、
共通の切り口を定めてベタな皮肉でサンドバッグにするという
今時のまとめサイト的な気質に支配されてるなあという印象。
だからこの記事みたいに企業なりソフトなりの名称が1個だけ出てくると
本件そっちのけでしょうもないレスバトルが毎回蒸し返される。
どうせここからまたいつもの罵り合いになるんだろと先走った
元コメ#2901566のイライラ感も多少はわかる気がします。
モデレートに「テンプレ反応」とか「陣営厨」とか作ったらどうですかね?
Re: (スコア:0)
何を言いたいのかよく分かりませんが、あなたが何をタレこむのも自由です。
iOSアプリの脆弱性1件1件について全部タレこんでください。
期待していますよ。
Re: (スコア:0)
最低限、編集者が「これはアレゲかな?」と思うくらいのネタである必要はありますが(でないと採用されないし)、
採用されれば「これはアレゲである」と思う人が多ければ盛り上がるし、少なければスルーされるだけのことです。
#本筋から脱線した方で盛り上がることもありますが
別に誰も貴方に全ストーリーを読めとか強制したりしませんので、「嫌なら見るな(嫌だから見ない)」で対応することをお勧めします。
どうしても自分の好みの方向にもっていきたければ、編集者に立候補して採用されて日々編集活動に勤しんで他の編集者を働かなくさせるしかないのではないかと思います。
頑張ってください。
Re: (スコア:0)
盛り上がったものが目立てばいいというエコシステムでやるなら、
タレコミ全部採用してストーリー自体モデレーションの対象にすればいいんだよな。
毎日標準10個ぐらいみたいな基準も要らない。
多分そこに何らかの不満あっての編集者が採用するシステムになっているのだろうけど、
その編集者のセンスがニーズに応えられるものになっているかと言うと
…このストーリーのコメントの付き方を見れば中々に微妙な所で、#2901566の主張は数理程度はあると思う。
イのイチでそれを指摘して、ストーリーへの他のコメントは一切付いてないって現状ね。
スラドのシステムを設計したのは今の編集者勢ではないわけだし、もし現状の体制が万全でない事を
編集者自身感じている所があるとすれば、昔ながらのやり方に拘る必要は無いと思うのだがな。
もう本家の存在とか考えなくていい訳だしさ。
Re: (スコア:0)
タレコミ全部採用してストーリー自体モデレーションの対象に
に近いのがFirehoseだと思うのだが(採用後のモデレートじゃなくて採用の基準となる投票だけど)
Re: (スコア:0)
このバカはクロスオリジンリソース共有の制限を迂回する問題がどういうものか分かってない可能性が大きいな。
でなければ「WindowsとAndroidに関するなにかに脆弱性が」なんてマヌケな戯言書くわけないし。
Re: (スコア:0)
Windows支持者としては「アンチAppleなんて所詮この程度」と思われるほうがむしろ困るんだけど。
>「やるなら平等にやるでいいんだよね?」
信者だけでまとまって完結してる(ゆえに平和な)コミュニティと違って、
テクノロジー・コンシャス的な傾向を持ちつつも、複数のユーザーがそれぞれ持つネジレた視点から
それなりに対立があって、そこそこに荒れるココは、比較的平等にやってる方だろ。
これまでだって「あ、こいつ○○信者だわ」ってなコメントは、だいたい誰も触らずに干されてる。
アンチにとっては狂信者に触ったところでメリットがないし、
ファンにとってはただの「迷惑な味方」だからな。
Re:もはやわけが分からない (スコア:1)
> テクノロジー・コンシャス的な傾向を持ちつつも、複数のユーザーがそれぞれ持つネジレた視点から
> それなりに対立があって、そこそこに荒れるココは、比較的平等にやってる方だろ。
Apple信者だけがモデホーダイ振りかざしてる現状ではまったく平等でもなんでもない
むしろ都合の悪いコメをApple信者だけが都合よく沈められる時点で某掲示板よりよっぽど不平等だな
Re: (スコア:0)
はい、味方に迷惑な狂信者のサンプル提供ありがとうございました