2005年3月28日(月)

Mozilla Firefox 1.0.2を導入してみました(notメインブラウザ)

エントリーID:1365 [ インターネット ] インターネット/サイト関係

ちょっと色んな作業が押してる(作業量たくさん。家事もある……)んだけども、「Mozilla Firefox 1.0.2」を導入してみました。IEのセキュリティホール対策にブラウザを変更するって訳でも無いし、メインブラウザにはなりそう気はしませんケド……

「楽画喜堂」さんちを読んでたら3/24の日記(読んでインストールとかスクリーンショットとか撮ってたら過去ログに……「楽画喜堂　過去ログ2005/3/21～3/27 - 3/24」)にある画像のFirefoxのHTMLレンダリング部分表示があまりにもIEに似てるのでその場でダウンロードを。

「楽画喜堂」さんちではWindowsXPSP2のIE6SP2がしょっちゅう固まるのでFirefoxを導入したとかって話を見たような。
IE6SP2が固まるのはうちが勝手に呼んでる「クッキー落ち」だと思います……ブラウザにクッキーが送られてきてる途中で別のページを表示したりすると、ページをアクセスして最初にクッキーを送ってくるページを次に見た時に延々と読み込み状態になることが(ページの最初ではなく、画像やインナーフレーム部分でクッキーを送ってくる場合はその部分が表示されない)
うちの場合は再現方法があって、クッキーの設定を「詳細設定」にしてファーストパーティ、サードパーティのクッキー共に「ダイアログを表示する」の状態でWindowsUpdateのサイトのクッキーをサイトとして許可も拒否もしてない状態で、WindowsUpdateをすると右に自動更新の状態とWindowsXPのサポート状態がインナーフレーム？で表示されるけども、その両方でクッキーのダイアログが出るんだけども両方のどちらでも良いからクッキーの受付/拒否のダイアログが出る前に「更新の確認」のリンクをクリックするとタイミング次第でその次のページを表示するときにクッキーを送ってくるところで延々と読み込み状態に……IE4の頃からこの症状があるんだけど、MSも使ってる側も誰も気が付かないんでしょーか……

なんかその日記で紹介されている記事「コレに決定！　ニシノ式ネット生活快適レシピ - タブブラウザで快適ブラウジング！」(ImpressBB)では「Sleipnir」を大きく取り扱ってるけども、事故だか事件だか(当初は開発に使ってたパソコン類その他が空き巣に持っていかれたとか書いてたそうで……)で開発中止して、次期ブラウザを開発準備してるってのには全然触れてないのはなぜだろー？
記事で使われてるのが「Sleipnir」の最終バージョンなんだけども……うちもインストールしてほんの30分ほど使ってみたことはあるんだけども「お気に入り」(ブックマーク)がIEと共有では無い(初期起動時にインポートは出来る)のがそれだけでダメだったよーな。あとアイコンの意味とメニューの内容や、IEコンポーネントの上に乗ってる部分が何が出来るのかが良く理解できなかったよーな。

ちなみに初期は「Sleipnir」「マウスジェスチャー」(現在Sleipnirに内蔵)「PictBear」をそれぞれ別の場所で公開してたけども、同一人物であるということを隠してたっぽいのがちょっと……
そういえばImpressの紹介記事を書いてるのはTE……(げほげほげほ)とか。

FirefoxでのGoogleトップの表示画像(既にかなりカスタマイズが進んでる状態。ちなみにモニタ画面サイズ1280x960でDnutRaptを初起動したときに設定されるウィンドウサイズ970x674にぴったり合わせました。そして50%縮小)

Googleデスクトップ検索日本語版βも対応済みのようで赤丸のところに「デスクトップ」の文字が……
あと検索文字列入力フォームがちんまい＆それ以上に入力した文字がちんまい……(>_<)

関連記事：
「窓の杜 - 【特集】:「Firefox」プラグイン特集 - 「Firefox」を便利にするさまざまなプラグインを一挙紹介」(窓の杜)
※個人作成配布の拡張機能プラグインで記事では設定画面が開けるようなものでも、うちがFirefox 1.0.2でインストールしたモノでは設定画面が開けないものもありました。設定画面を出す部分がFirefox 1.0.2に対応していないか、記事公開後に個人作成配布の機能拡張プラグインの仕様が変わった可能性があります。

記事に掲載されていない個人作成配布の拡張機能プラグイン：
「Tab Mix」(記事紹介のものと違って設定画面が日本語表示ではないので注意。設定画面の簡単な英語をよく読むか、適当に弄ってれば使い方は判るかと。あ、設定画面日本語表示版を公開してるBlogへのリンクが「About localization」にあった……入れ替えとこうっと……)

続きは使ってみた感想と「ちはろぐ」を表示して気が付いたことや雑談～

インストールして使ってみた感触：
良い感触：メニュー部分が特にInternetExplorer似。HTMLレンダリングはOpera以上にIEに近い(Operaの初期のしか触ったことないけども、縦に空白が空くはずが無いところで妙に縦に空白が空くことがあったり、フォント指定が細かすぎたり(サイズ別にって……))
嫌な感触：HTMLレンダリング表示部分をクリックするとその部分に文字カーソルが点滅して出っぱなしになる……
標準でタブブラウザ機能を持ってるけども、別のタブで表示して欲しいような時やSHIFT+でリンクを開いた時に別のFirefoxが起動して別ウィンドウになる(CTRL+で新しいタブ)。JavaScriptなどのポップアップもタブにはならず、別ウインドウ(Operaもほぼ同じ。これはこれでIEコンポーネントなブラウザではポップアップウィンドウがタブになって困ることがあったので良いことでもあるけども、DonutRaptでは「Movable Type」の再構築ウインドウがタブ化されて結構便利なんだけど……)。3/29追記：個人作成の追加機能プラグインのいくつかで可能になるようです。
あとFORM関連の入力エリアやボタン類はIEではHTML表示部分の文字サイズに影響されないけども、Firefoxは影響される。うちがIE類に設定してるのは「最小」で、Firefoxで近いと思って設定した文字サイズ12pt.ではフォーム内の文字までかなり小さくそしてボタンも……特に後で画像を出すGoogleの検索フォームとか。
あと、DunutRaptみたいに「お気に入りグループ」を作ってまとめて開く機能はどっかに無いんかなぁ……「楽画喜堂」さんちのFirefoxの画像と一緒に書いてる文章では出来そうなんだけど(3/29追記：標準の機能で「お気に入り」内のフォルダをまとめてタブで開く機能がありました)……そして「お気に入り」がフォルダ/URL登録(サイトと書くのもアレなんで)の区別なくソートされるのが(インポートされてた「お気に入り」がすごいことに！)……フォルダを先頭に持ってきた上でソートする機能があれば……
最後に書くと、オプションで設定できる項目が妙に少ない。「表示」→「ツールバー」のカスタマイズでメニューバーに置けるアイコンが少ない＆意味がイマイチ……(ヘルプ読んで納得したけども)
インストール後の事故：上に書いているインポートされた「お気に入り」がフォルダ/ファイル(URL)を区別せずソートされていた「お気に入り」の整理中に不正な処理で落ちた。タイミングが良い事に再度起動してみると、整理していた状態が保存されてたのは間違ってソートするよりちょっと前の状態(らっきー)
インストール時に事故にならないように常駐ソフトのほとんどを終了させてたので、Firefoxインストール後にうちが嫌いなSunJavaランタイム環境(JRE15.0.2)をインストールして、常駐ソフトを復旧させるのにOSからユーザーのログオフをして、ログインしなおしたら「重大なエラーから復旧しました」が2連続表示……

TARGET="_blank"が指定されているリンク新しいタブでは無く別のFirefoxのウィンドウが開くのと(3/29追記：個人作成配布の拡張機能プラグインのいくつかで解決できるようです)、ポップアップがタブにならないのと(3/29追記：個人作成配布の拡張機能プラグインのいくつかで解決できるようです)、お気に入り関連(ソートとグループ化)が実現すれば(3/29追記：グループ化は標準機能でありました)、IEというかDonutRaptから乗り換えても良いくらいの操作性はあるかも。HTMLレンダリングはちょっと反応が遅い感じがあるけど。

表示比較～

IEコンポーネントのHTMLエンジンを使ったDonutRaptでの「ちはろぐ」を表示。

Firefoxで「ちはろぐ」を表示してみた。

すごく似てるのになぜかメインコンテンツ部分にスクロールバーが！どうもスタイルシートを設定してもIEコンポーネントHTMLレンダリングエンジンが反応しなかった部分(他のときに反応するのかと残しておいた)のがFirefoxのHTMLレンダリングエンジンでは対応してて反応したっぽく(IE6では未対応のスタイルシート指定だった模様)

スタイルシートを直して再表示。

ほとんど一緒だけども、タイトル部分と本体部分に段差が……これはIEでも本当は出るんだけどなんかスタイルシートか、「Movable Type」のテンプレートHTMLで無理やり解決してたよーな……
……あれ？メモ部分のTABLEが左寄り……

オマケ：

タブの文字数を30→26に減らしてHTMLレンダリング表示部分をちょっとだけ広げてみたり……
ちなみに3グループ+1ページ(MyYahoo!)を表示してたり。ほとんどがうちのローカルファイルや、サイト管理ページだったりするけど……(苦笑)
あと縮小してもタブの文字が読めそうで、読まれると微妙に都合が悪い部分は消しました。

2005年3月28日のこの話題だけを読む/Permlink | [ インターネット ] インターネット/サイト関係 | とらっくばっく(0) |

「元京大研究員に有罪判決」が出た恐怖

エントリーID:1366 [ セキュリティ ] インターネット->セキュリティ

セキュリティに詳しくて影響力の大きいヒトが既に24日以降に扱ってると思うんだけどもうちも触れときます(扱ってたのを確認したそれなりに影響力のあるヒト達：「高木浩光＠自宅の日記 - 不正アクセス禁止法 私はこう考える」や「TOTORO(トトロ)の自堕落　日記 - 判決の日」)

こんな判決と記事がでてまして。
「ACCSの個人情報漏洩事件で、元京大研究員に有罪判決～東京地裁」(ImpressInternet:2005/3/25)
「元研究員に有罪判決　ACCS不正アクセス事件」(ITmediaニュース：2005/3/25)
「「不正アクセス」の司法判断とは――ACCS裁判」(ITmediaニュース：2005/3/28)
そしてITmediaのこれまでのこの訴訟の記事一覧：
「トピックス：ACCS裁判を追う」(ITmediaニュース)

この有罪判決が出たヒトのサイトは、昔と言えるくらい前にセキュリティ情報収集のついでに見てたけども血の気の多いヒトでした。
でも、「不正でもなんでもないアクセス」(とうちは断言します)で拾ったデータを、セキュリティ関連の公演の時のセキュリティーホールの実演として、個人名や住所や電話番号などにモザイクや消しを入れずに公開したのはかなり問題のある行為でそこは有罪になっても変ではないけども(でも罰則を出来る法律あるんかなぁ……？)、「不正でもなんでもないアクセス」が有罪になるのが不思議。

ほぼ一日の間、トップページ(メイン)に「ちはろぐ」を読んでくれているヒトに確認して欲しい実験を置いてましたけど、続きのほうに持っていきました。誰も実験を確認してくれてないかも知れないケド……

うちが用意した例。何も危ないものは仕込んでないので興味があるヒトは開いてみてみてくださいな～
http://chihalog.tomo-net.org/test/test.cgi?26-01.jpg
http://chihalog.tomo-net.org/test/test.cgi?test1.txt
http://chihalog.tomo-net.org/test/test.cgi?test2.txt
http://chihalog.tomo-net.org/test/test.cgi?test3.txt
上記のようなサーバー内の実際はブラウザではアクセスできない範囲にあるファイルを表示できるCGIスクリプトがあったとして、全く変な位置(フォルダ)やファイルを指定されることを考慮してないスクリプトであったりすると……

サーバールートのブラウザではアクセスできない /home/anq_data/0001.txt にアンケートの回答結果とかがあったりすると http://chihalog.tomo-net.org/test/test.cgi?/home/anq_data/0001.txt で取り出せたりすることもあります。他にはアクセス制限をかけているフォルダのファイルでも読めたりすることもあります。

うちが例にだした例を見せるために作ったCGIスクリプトは、渡されたパラメーターからFreeBSD/Linuxなどで危険そうな記号(イマイチたりないかも)を排除して、さらに英語で文章に使えない文字と数字と拡張子のための「.」以外を消しすという2重に前処理をしてます(大げさに言うほどでも無いことだけど)

スクリプトの内容

>#!/usr/local/bin/perl

> 

> $PATH='./';

> 

> $buf = $ENV{'QUERY_STRING'};

> $buf =~ s/[\/\|\&\'\"\`]//g;

> $buf =~ s/[^\w\d\.\-]//g;

> 

> $buf =~ /\.([a-zA-Z0-9]+)$/;

> $ext = $1;

> $ext =~ tr/a-z/A-Z/;

> 

> if($buf ne '' && $ext ne '' && (-e $PATH . $buf)){

> 	if($ext eq 'JPG'){

> 		print "Content-type: image/jpeg\n\n";

> 	}else{

> 		print "Content-type: text/plain\n\n";

> 	}

> 

> 	open(FHAND,$PATH . $buf);

> 	print <FHAND>;

> 	exit;

> }

> 

> print "Content-type: text/html\n\n";

実際はこんなスクリプトで、読み込んで表示するファイルはブラウザでアクセスできないトコに置いている訳でも該当ファイルのパーミッションを読み込み禁止にしてるわけでもないので、以下のURLで読めるけど。でも他の場所にあるファイルは指定できません。
http://chihalog.tomo-net.org/test/26-01.jpg
http://chihalog.tomo-net.org/test/test1.txt
http://chihalog.tomo-net.org/test/test2.txt
http://chihalog.tomo-net.org/test/test3.txt
……CGIを経由して表示されるモノと、ブラウザで直接表示されるモノが同じとは限らないけども。前者はサンプルとして提示しているスクリプトと違って本当は別の場所からファイルを読ませている可能性もあるし、後者はWebサーバーの機能で内部的にURLが加工されてる可能性もあるし(うちのサーバーでは2005/4/6までは出来ないけど。その日に追加される機能以外にも他の手法があったかな？)

で、原告側のACCSは「ASKACCS」というサイトで、ユーザーからの権利相談なんかの投稿のデータを「不正でもなんでもないアクセス」でファイルを取り出せるCGIスクリプトを使って掲示板類の自動設置をサービスしてたレンタルサーバー会社(「ファーストサーバ」って会社らしい)にサーバーを借りて(それも他のユーザーと共有だったよーな)、自分たちでセキュリティチェックもせずに運用してたと言うんだから凄いナァー……
/cgi-bin/に蓋をせずそこにアンケート結果データを置いたりしたりしたとこもあって大騒動されりしたけども、そんなのより酷いです。
読まれることを想定されてない位置にあるファイルを読めそうなCGIスクリプトがあったら、うちでさえ試してみちゃうけど。

うちの中では、CGIスクリプトで読み書きするファイル名をブラウザからのパラメーターとして受け渡しをする場合は、サーバー上でコマンドを実行されたり意図しない位置にあるファイルを指定できる危険な記号は取り除くのが、うちがPerlを覚え始めた7年以上前から常識なんだけども……
なのでうちが作るブラウザでファイルをアップロードできたり、表示するファイルをブラウザから指定できるスクリプトは大抵の場合危険な記号が使えないどころか、漢字さえ使えずa-zA-Z0-9と「.」「-」「_」くらいしか使えません(判定が面倒だから手を抜くためもあったり……)

正直言って「不正でもなんでもないアクセス」で有罪判決がでたりすると、迷惑と言うか……
CGIスクリプト類を作る時にセキュリティを全く配慮してないモノを置いといて、取り出されたら取り出したほうが今回のような判決を受けるデータを取り出せるようにして、引っかかったヒトをぜーんぶ訴訟して有罪にしてくださいって感じもしないでもなく。

前にも色々なヒトが話題にしてたけども、Winnyでの逮捕ではP2Pソフトの開発をびびってるひと、今回の件ではセキュリティホールを見つけても連絡をしない/怖くて出来ないと言う風潮も広がりつつあるそうで……とくに後者は親切で危険な部分を通知してあげたら、忘れた頃に強制的に黒い服を着たヒトたちが家のドアを勝手に開けて上がってきて、証拠物として家の中のモノを持ってかれた上に自分まで連れて行かれるという可能性が……

2005年3月28日のこの話題だけを読む/Permlink | [ セキュリティ ] インターネットセキュリティ |