「Firefox 88」を試す - クロスサイトプライバシーリーク保護など実装、FTPサポートは無効に
米Mozillaは、4月19日(現地時間)にFirefoxの新バージョンとなる「Firefox 88」をリリースした。Firefox 87から4週間でのバージョンアップである。この4週間に、マイナーアップデートはなく、87からのアップデートとなる。
○Firefox 88のインストール
すでに自動アップデートが可能な状況になっているが、ここでは手動でアップデートする方法を説明したい。Firefoxメニューの[ヘルプ]→[Firefoxについて]を開くと更新が自動的に開始される。[再起動してFirefoxを更新]をクリックする(図1)。
アップデート後のFirefox 88は、図2のようになる。
新規に、Firefox 88をインストールする場合、FirefoxのWebページからインストーラをダウンロードする(図3)。
[今すぐダウンロード]をクリックし、保存したファイルをダブルクリックして、インストールを開始する(図4)。
画面の指示に従い、インストールを進めてほしい。以下では、新機能や変更点のいくつかを具体的に見ていこう。
○Firefox 88の新機能
続いて、新機能であるが、今回のリリースでは、以下の新機能の追加、変更が行われた。
PDFフォームでは、PDFファイルに埋め込まれたJavaScriptをサポート。一部のPDFフォームにおいて、検証などのインタラクティブ機能にJavaScriptが利用可能に
印刷の更新:マージン単位でのローカライズをサポート
Linuxでタッチパッドを使用したスムーズなピンチズームをサポート
クロスサイトプライバシーリークから保護するために、window.nameプロパティを作成したWebサイトから分離
クロスサイトプライバシーリークの保護であるが、従来のwindow.nameプロパティはJavaScriptでウィンドウの名前の取得に使われていた。しかし、この機能を悪用すると、個人情報をドメインを超えて利用することが可能になる。そこで、別のWebサイトへ移動するときに、window.nameプロパティをクリアするというものだ。こうすることで、より個人情報が守られることになる。
また、Firefox 88では、FTPサポートが無効化された。FTPは、旧来のプロトコルであり、平文でデータがやりとりされる。パケットアナライザなどを使うことで、IDやパスワードなどの不正取得が不可能ではない。かねてより、FTPについては、廃止を求める声が少なくなかった。その一方で、anonymous ftpは、フリーソフトやソースコードの公開などで、重要な役割を担ってきた。しかし、最近では、GitHubといったサービスに移行しつつある。必然の流れともいえるかもしれない。
実際に、FTPサイトにアクセスすると、図5のようになる。
まずは、アクセスの許可の確認が行われる。さらに進むと、ftpリンクを開くためのプログラムの選択画面となる。
現在も、FTP用のクライアントソフトは、いくつか存在している。しかし、上述のようにFTPのセキュリティの問題点は解消されていないし、今後も解消されることは考えにくい(SSHやSCPなどを使うべきであろう)。もし、利用をしているのであれば、対応を考慮すべきであろう。Firefox 90では、機能の実装そのものが削除される予定である。
○セキュリティアップデート
同時に行われたセキュリティアップデートであるが、修正された脆弱性はCVE番号ベース
で13件である。深刻度の内訳は、4段階で上から2番目の「High」が5件、上から3番目の「Moderate」が6件、もっとも低い「Low」が2件となっている。
「High」では、
遅延初期化による範囲外の書き込み
レスポンシブデザインモードでのメモリ解放後使用
Webページビューポートの外部でコンテンツがレンダリングされる
フォントをキャッシュから解放する際のメモリ解放後使用
Firefox 88で修正されたメモリ安全性の問題
となっている。最高レベルの「Critical」はないが、早めのアップデートをすべきであろう。
○Firefox 88のインストール
すでに自動アップデートが可能な状況になっているが、ここでは手動でアップデートする方法を説明したい。Firefoxメニューの[ヘルプ]→[Firefoxについて]を開くと更新が自動的に開始される。[再起動してFirefoxを更新]をクリックする(図1)。
アップデート後のFirefox 88は、図2のようになる。
新規に、Firefox 88をインストールする場合、FirefoxのWebページからインストーラをダウンロードする(図3)。
[今すぐダウンロード]をクリックし、保存したファイルをダブルクリックして、インストールを開始する(図4)。
画面の指示に従い、インストールを進めてほしい。以下では、新機能や変更点のいくつかを具体的に見ていこう。
○Firefox 88の新機能
続いて、新機能であるが、今回のリリースでは、以下の新機能の追加、変更が行われた。
PDFフォームでは、PDFファイルに埋め込まれたJavaScriptをサポート。一部のPDFフォームにおいて、検証などのインタラクティブ機能にJavaScriptが利用可能に
印刷の更新:マージン単位でのローカライズをサポート
Linuxでタッチパッドを使用したスムーズなピンチズームをサポート
クロスサイトプライバシーリークから保護するために、window.nameプロパティを作成したWebサイトから分離
クロスサイトプライバシーリークの保護であるが、従来のwindow.nameプロパティはJavaScriptでウィンドウの名前の取得に使われていた。しかし、この機能を悪用すると、個人情報をドメインを超えて利用することが可能になる。そこで、別のWebサイトへ移動するときに、window.nameプロパティをクリアするというものだ。こうすることで、より個人情報が守られることになる。
また、Firefox 88では、FTPサポートが無効化された。FTPは、旧来のプロトコルであり、平文でデータがやりとりされる。パケットアナライザなどを使うことで、IDやパスワードなどの不正取得が不可能ではない。かねてより、FTPについては、廃止を求める声が少なくなかった。その一方で、anonymous ftpは、フリーソフトやソースコードの公開などで、重要な役割を担ってきた。しかし、最近では、GitHubといったサービスに移行しつつある。必然の流れともいえるかもしれない。
実際に、FTPサイトにアクセスすると、図5のようになる。
まずは、アクセスの許可の確認が行われる。さらに進むと、ftpリンクを開くためのプログラムの選択画面となる。
現在も、FTP用のクライアントソフトは、いくつか存在している。しかし、上述のようにFTPのセキュリティの問題点は解消されていないし、今後も解消されることは考えにくい(SSHやSCPなどを使うべきであろう)。もし、利用をしているのであれば、対応を考慮すべきであろう。Firefox 90では、機能の実装そのものが削除される予定である。
○セキュリティアップデート
同時に行われたセキュリティアップデートであるが、修正された脆弱性はCVE番号ベース
で13件である。深刻度の内訳は、4段階で上から2番目の「High」が5件、上から3番目の「Moderate」が6件、もっとも低い「Low」が2件となっている。
「High」では、
遅延初期化による範囲外の書き込み
レスポンシブデザインモードでのメモリ解放後使用
Webページビューポートの外部でコンテンツがレンダリングされる
フォントをキャッシュから解放する際のメモリ解放後使用
Firefox 88で修正されたメモリ安全性の問題
となっている。最高レベルの「Critical」はないが、早めのアップデートをすべきであろう。