水無月ばけらのえび日記

つまりこういうことですね。

http://piro.sakura.ne.jp/latest/2004/res/12/how_can_i_trust_firefox.html

なんかMicrosoftの中の人が書いたせいか一部で【何処】FUD扱いされてたようですが【謎】。

>つまりこういうことですね。

>http://piro.sakura.ne.jp/latest/2004/res/12/how_can_i_trust_firefox.html

　そんな感じです。Firefox はインストールできるのにルート証明書はインストールできない、というのはどうなんだろうということで。

　まあ、どちらかと言うと私は Firefox もルート証明書も割とあっさりインストールしてしまう方なのですけれど。

で、さっそく Firefox 1.0.1 にはデジタル署名が付いたみたいです。

http://slashdot.jp/comments.pl?sid=242120&cid=699675

>で、さっそく Firefox 1.0.1 にはデジタル署名が付いたみたいです。

>http://slashdot.jp/comments.pl?sid=242120&cid=699675

　おお、これは朗報ですね。

　やっぱりこうでないと。

オレオレ、オレだよオレ【誰】、Mozilla Japan【謎】。さっき【何時】官公庁のほう【何処】から帰ってきたとこなんだけど【謎】、ISS X-Forceとかいうセキュリティゴロ【違】にメールを開いただけで任意のコードを実行される危険性があるとか絡まれちゃってさあ、バージョンアップが必要になっちゃったんだよ【謎】。

http://ftp.mozilla-japan.org/pub/mozilla.org/thunderbird/releases/1.0.2/win32/ja-JP/Thunderbird%20Setup%201.0.2.exe

から大至急インストールしてくれない? じゃ! 【謎】

悩みまくりました。

>悩みまくりました。

1.1系に移行するまでThunderbirdのローカライズ版に署名される見通しはないそうです。Mozilla Suiteは1.8系を出さないことが確定しましたからたぶんずっと署名されずじまいなのでしょう。

http://moz.skillup.jp/jlp/viewtopic.php?t=351&start=36

結局英語版をインストールしました。JLPの中身を確認して入れようかとも思ったのですがファイルが多すぎて断念。install.rdfとcontent.rdfだけ確認して2つのhtmlに変なスクリプトが書かれていないことを確認すればよさげな気もしますが。

>>悩みまくりました。

うぅぅ。丁寧な説明をありがとうございます＞えむけい様

私は同じリンクを踏んでいるのに（踏むって何？）セキュリティーセンターのアイコンが赤くなくて黄色いのです。それで悩みました。ふと思ったのですが、私はUS-enなFirefox1.0.2をインストールしているせいなのかと思ったのですがそれも不可思議な気がして思い余っています。余ったので最悪ハードディスクから初期化しようかなぁと夢の中で思いました。

>私は同じリンクを踏んでいるのに（踏むって何？）セキュリティーセンターのアイコンが赤くなくて黄色いのです。それで悩みました。ふと思ったのですが、私はUS-enなFirefox1.0.2をインストールしているせいなのかと思ったのですがそれも不可思議な気がして思い余っています。

いやその、だから私も

>結局英語版をインストールしました。

と書いたわけですが。Thunderbird 1.0.xの「ローカライズ版に」署名される見通しはありませんが、英語版は(少なくとも1.0.2は)署名されています。

ていうかリンク先【何処】でも何で英語版は署名されてるのに日本語版には署名がないねんと質問しているわけですが。

http://moz.skillup.jp/jlp/viewtopic.php?t=351&start=33

からリンクした方がよかったでしょうか。

もしかして

>>私は同じリンクを踏んでいるのに

ってことは日本語版なのにセキュリティセンターのアイコンが黄色いということでしょうか。それが本当なら確かに不可解ですが、ひょっとしてリンクを踏んだ直後のダイアログ(以下に添付)と混同していませんか。

このダイアログで「実行」を押すか、(ファイルシステムがNTFSなら)「保存」してダブルクリックで実行すると、ちゃんと[No.2698]みたいな赤いアイコンのダイアログが出るはずです。そのへんの流れは[No.2607]のリンク先でもptorrさん【誰】が説明しています。

>このダイアログで「実行」を押すか、(ファイルシステムがNTFSなら)「保存」してダブルクリックで実行すると、ちゃんと[No.2698]みたいな赤いアイコンのダイアログが出るはずです。そのへんの流れは[No.2607]のリンク先でもptorrさん【誰】が説明しています。

丁寧な解説を本当にありがとうございます。当方ちょっと徹夜が続いていてボケているようです。しかも、今ダウンロードすると必ず33％でとまってしまっています。泣きっ面に鉢です。鉢で叩かれています。もっと泣きます。あえてtypoですのでお許しを。

>丁寧な解説を本当にありがとうございます。当方ちょっと徹夜が続いていてボケているようです。しかも、今ダウンロードすると必ず33％でとまってしまっています。泣きっ面に鉢です。鉢で叩かれています。もっと泣きます。あえてtypoですのでお許しを。

ちなみに1個目のダイアログのことにすぐ気付かなかったのは、リンクをFirefox + Zone Identifier Extensionで踏んでいて全然違うダイアログが出ていたからでした。

http://www.misuzilla.org/dist/extensions/zoneid/

これはとても小さな拡張なので、ソースを自分で確認すれば署名されていなくてもだいたいあんしんです【謎】。

●Firefox + Zone Identifier Extension

http://www.misuzilla.org/dist/extensions/zoneid/

おお、よさげですね。ボク【誰】はスクリプトやプログラムの読み方がわかりそうにもありませんがソースを開いて見ることにします。

なにしろJavaScriptのブックマークレットはソースを読んで理解できない限り【使うな】ということを公言してしまったツライ過去がありますので、立場上。つらいなぁ（笑）。そうだ。信頼できる署名付きでブックマークレットを配信してもらえばいいや。そうだそうだ。で、Zone Identifier Extension もそうしてもらおう。なんだか自己言及ぽい話になってきました。

「ソフトウェアの更新」の機能でFirefoxの更新をすると、httpなサーバからxpiをダウンロードして、中のinstall.jsを自動実行して、install.jsが中のインストーラexeを自動実行するようなのですが、この間署名の検証は一度も行われません。ていうかupdate.xpiは署名すらされてませんし。

話にならないので、手動でダウンロードして署名を確認してインストールしました。

ご参考【謎】:

http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/memo/2002.07/msg00181.html

>「ソフトウェアの更新」の機能でFirefoxの更新をすると、httpなサーバからxpiをダウンロードして、中のinstall.jsを自動実行して、install.jsが中のインストーラexeを自動実行するようなのですが、この間署名の検証は一度も行われません。ていうかupdate.xpiは署名すらされてませんし。

　うーむ。

　最近 DNS の毒入れが流行っているようですし、Windows Update の偽サイトも出てきていますから、その手の攻撃が行われるようになるのも時間の問題のような気がしますね。

正確に言うと、署名後xpiが改竄されている場合だけはチェックするようですが、署名されていなくてもインストールを受け付けますし、オレオレ署名でも署名されていない場合と同等に扱うので、チェックしていないも同然です。

>　最近 DNS の毒入れが流行っているようですし、Windows Update の偽サイトも出てきていますから、その手の攻撃が行われるようになるのも時間の問題のような気がしますね。

PoCを作ってみました。DNS偽装をシミュレートするため、hostsに

202.181.97.84 download.mozilla.org

と追加してからFirefox 1.0.1をインストールして、「ツール」-「オプション」-「詳細」-「ソフトウェアの更新」-「今すぐ確認」で体験できます。

Firefoxのインストーラをローカルに保存済みだったのでうっかりしていましたが、

>hostsに

>202.181.97.84 download.mozilla.org

>と追加してからFirefox 1.0.1をインストールして、

順番逆にしないと偽ホストに繋ぎに行ってしまってFirefoxがインストールできないかも。

話を全然すりかえてしまいますけれどお許し下さい。ぶらさげる場所も意味不明ですけれどお許し下さい。

ダウンロードさせる（させたい）オブジェクトそのものにデジタル署名がしていなくて、オブジェクトのURIがhttpsスキームのURL になっていて、それをhttpスキームで開いたページのanchor要素で記述してあったらどうなるのでしょう。なおSSLサーバ証明書はまっとうなものを用意してあるものとし、framesetなど変なのは使っていないサイトであるとします。

拡張やプラグインで開く場合、ローカルにあるブラウザとは無関係なアプリケーションで開く場合。OSが開くことになっている場合、など多種ありそうですが、利用者がローカルに保存しにいくケースとナニゲにブラウザの一時ファイルフォルダ（何？）にあるうちに開く場合とがありますし。さて、SSLサーバ証明書には意味が出てきますでしょうか？

RFCながめていてもよくわからなかったので何卒ご意見を賜りたく。

※PDFを自己解答書庫にしてダウンロードさせているサイトがあったこともあり、ちょっと自分の勉強不足を痛感しました。サーバ側で指定するmedia type まで考えると何が一番正しい姿だったのかちょっと不明な気分です。ダウンロードさせるのはなんでもかんでも

Content-type: application/octet-stream で Content-Disposition: attachment って何か腑に落ちないですし。あうあう。

ひとつのポストでごった煮に質問を混ぜるのを本当の意味でのマルチポストと言うのではないかとも、たった今思いました。

解凍のtypoです…

>ダウンロードさせる（させたい）オブジェクトそのものにデジタル署名がしていなくて、オブジェクトのURIがhttpsスキームのURL になっていて、それをhttpスキームで開いたページのanchor要素で記述してあったらどうなるのでしょう。なおSSLサーバ証明書はまっとうなものを用意してあるものとし、framesetなど変なのは使っていないサイトであるとします。

なにがどうなのかよくわかりませんが、とりあえずFirefoxの.xpiの場合、Refererが送られなければダウンロードするリソースのURIをもとに情報バーを出すかどうか判定して、Refererが送られればリンク元のページのURIを元に判定します。はっきり言ってホゥルだと思うのですが。

「Webサイトによるソフトウェアのインストールを許可する」の許可リストもhttpsに限定するオプションがありません。

>拡張やプラグインで開く場合、ローカルにあるブラウザとは無関係なアプリケーションで開く場合。OSが開くことになっている場合、など多種ありそうですが、利用者がローカルに保存しにいくケースとナニゲにブラウザの一時ファイルフォルダ（何？）にあるうちに開く場合とがありますし。さて、SSLサーバ証明書には意味が出てきますでしょうか？

すり替えはできないけどステータスバーやアドレスバーから証明書が確認できない系ですか。そもそも信頼できないサイトのリンクは踏まないことが鉄則ですから前提自体にあまり意味がないと思います。

>RFCながめていてもよくわからなかったので何卒ご意見を賜りたく。

>※PDFを自己解答書庫にしてダウンロードさせているサイトがあったこともあり、ちょっと自分の勉強不足を痛感しました。サーバ側で指定するmedia type まで考えると何が一番正しい姿だったのかちょっと不明な気分です。ダウンロードさせるのはなんでもかんでも

>Content-type: application/octet-stream で Content-Disposition: attachment って何か腑に落ちないですし。あうあう。

>ひとつのポストでごった煮に質問を混ぜるのを本当の意味でのマルチポストと言うのではないかとも、たった今思いました。

もしFirefox以外の話がしたいのであれば新たにスレ立て【謎】を希望します。

>なにがどうなのかよくわかりませんが、とりあえずFirefoxの.xpiの場合、Refererが送られなければダウンロードするリソースのURIをもとに情報バーを出すかどうか判定して、Refererが送られればリンク元のページのURIを元に判定します。はっきり言ってホゥルだと思うのですが。

うぅぅうぅ。

>「Webサイトによるソフトウェアのインストールを許可する」の許可リストもhttpsに限定するオプションがありません。

うぅぅうぅ。

>すり替えはできないけどステータスバーやアドレスバーから証明書が確認できない系ですか。そもそも信頼できないサイトのリンクは踏まないことが鉄則ですから前提自体にあまり意味がないと思います。

SSL利用可能なサーバサイド運営側としてはhttpsなページからダウンロードさせるのが真っ当だとあらためて思いました。なので、庶民は信頼できるさきさまのサイトのhttps://なアドレスをもつオブジェクトへのリンクを作るときにはあらかじめよく考えておきましょうということになります。

>もしFirefox以外の話がしたいのであれば新たにスレ立て【謎】を希望します。

は～い♪

>は～い♪

ちょっとくだけすぎました。くだけるのは私の頭だけでよいのです。反省しました。えむけいさん、いろいろありがとうございました。

Firefox 1.5では、httpsなチャネルで別途定めるハッシュ値と比較をしているようです。改竄不可能なことの検証まではしていませんが。

で、Thunderbird 1.5 日本語版のインストーラには晴れて署名とタイムスタンプが付きました。めでたしめでたし【謎】

http://slashdot.jp/comments.pl?sid=314285&cid=932666

> Firefoxの「ソフトウェアの更新を確認」機能は、HTTPで更新をダウンロードした後、xpiに署名がされていない場合でも自動的にインストーラが実行されるようです。

それはFirefox 1.0.x時代の話です。

Firefox 1.5からはhttpsな経路で取得したSHA1ハッシュと照合を行うので、まず心配ないと思われます。

例:https://aus2.mozilla.org/update/1/Firefox/1.5.0.1/2006011112/WINNT_x86-msvc/ja/release/update.xml

って書いてる間に訂正が入ってますね。まあこだわりませんが。

>Firefoxのインストーラをローカルに保存済みだったのでうっかりしていましたが、

>>hostsに

>>202.181.97.84 download.mozilla.org

>>と追加してからFirefox 1.0.1をインストールして、

>順番逆にしないと偽ホストに繋ぎに行ってしまってFirefoxがインストールできないかも。

自分で仕掛けた罠に自分で引っかかりました【謎】。

とりあえずFirefox 1.5はちゃんとエラーにしてくれることも確認できました。