新生鳩丸掲示板♯

テスト。

>atba.comは絶賛販売中ですね【謎】。

　おおっと。

　修正しました。

Firefoxのインストーラをローカルに保存済みだったのでうっかりしていましたが、

>hostsに

>202.181.97.84 download.mozilla.org

>と追加してからFirefox 1.0.1をインストールして、

順番逆にしないと偽ホストに繋ぎに行ってしまってFirefoxがインストールできないかも。

正確に言うと、署名後xpiが改竄されている場合だけはチェックするようですが、署名されていなくてもインストールを受け付けますし、オレオレ署名でも署名されていない場合と同等に扱うので、チェックしていないも同然です。

>　最近 DNS の毒入れが流行っているようですし、Windows Update の偽サイトも出てきていますから、その手の攻撃が行われるようになるのも時間の問題のような気がしますね。

PoCを作ってみました。DNS偽装をシミュレートするため、hostsに

202.181.97.84 download.mozilla.org

と追加してからFirefox 1.0.1をインストールして、「ツール」-「オプション」-「詳細」-「ソフトウェアの更新」-「今すぐ確認」で体験できます。

atba.comは絶賛販売中ですね【謎】。

>「ソフトウェアの更新」の機能でFirefoxの更新をすると、httpなサーバからxpiをダウンロードして、中のinstall.jsを自動実行して、install.jsが中のインストーラexeを自動実行するようなのですが、この間署名の検証は一度も行われません。ていうかupdate.xpiは署名すらされてませんし。

　うーむ。

　最近 DNS の毒入れが流行っているようですし、Windows Update の偽サイトも出てきていますから、その手の攻撃が行われるようになるのも時間の問題のような気がしますね。

>ごめんなさい、sambar server のメールサーバ機能は、よくよく見たら有料オプションでした。(T_T)

　補足ありがとうございます。

>XMail なら GNU GPL です。XMailCFG というよくできた UI もフリーで配布されています。

>http://www.xmailserver.jp/documentation/

　おお、これはなかなか良さそうですね。

　特に日本語のドキュメントがあるのがありがたいです。:-)

「ソフトウェアの更新」の機能でFirefoxの更新をすると、httpなサーバからxpiをダウンロードして、中のinstall.jsを自動実行して、install.jsが中のインストーラexeを自動実行するようなのですが、この間署名の検証は一度も行われません。ていうかupdate.xpiは署名すらされてませんし。

話にならないので、手動でダウンロードして署名を確認してインストールしました。

ご参考【謎】:

http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/memo/2002.07/msg00181.html

>よく見てください。チェックが付いた状態でグレーアウトしています。正しくは「チェックを外せない」です。

　御意。

>改めてそのダイアログをWindows Update側で出すので、今【何時】再起動は強制的にできないようにしているのです。

　それは分かったのですが、メッセージがわかりにくすぎると思いました。

チェックを外せないなら「後で再起動するには……」とかいうメッセージをもう少し何とかして欲しい感じです。

>>あのー、「今再起動しない」がチェックできないんですけど……。

よく見てください。チェックが付いた状態でグレーアウトしています。正しくは「チェックを外せない」です。

>　でも改めてこんなの出るし。

>　何がなんだか。

改めてそのダイアログをWindows Update側で出すので、今【何時】再起動は強制的にできないようにしているのです。

Windows Updateを使わず、手動でWindows Server 2003 SP1のインストーラを実行した場合は、チェックボックスが選択できるようになっているはずです。

ごめんなさい、sambar server のメールサーバ機能は、よくよく見たら有料オプションでした。(T_T)

XMail なら GNU GPL です。XMailCFG というよくできた UI もフリーで配布されています。

http://www.xmailserver.jp/documentation/

>あのー、「今再起動しない」がチェックできないんですけど……。

　でも改めてこんなの出るし。

　何がなんだか。

あのー、「今再起動しない」がチェックできないんですけど……。

Windows Update したら出てました。

極論すれば死んでも問題ないマシンなので :-) 速攻インストールですよ。

現在ちくちくダウンロード中。

>>　フィンガープリント値をメモって渡せば OK?

>証明書そのものでもかまいませんがその場合メディアが必要になりますね。一度フィンガープリントを照合しつつ証明書をインストールするのも体験しておいてよさげなのでフィンガープリントでいいです。

フィンガープリントってMD5のとSHA1のがあるのでメモとしては両方を受け渡すとよさげな気がします。

http://www.cacert.org/index.php?id=3

だとSHA1の方はMSIE用っぽく書いてますが、Firefoxだと両方表示されるようです。

>気が向いたら【謎】Bugzillaに投稿しておきます。

投稿するまでもなく既出でした。

https://bugzilla.mozilla.org/show_bug.cgi?id=125166

>　と言われても、Firefox の問題なのでは。

ちょー御意。

>　サーバ側で何かできることがありますか?

いろいろ試してみたところ、どうもapplication/xhtml+xmlだと消滅するみたいです。全く同じファイルでもtext/htmlだと消滅しません。本気でFirefoxの不具合っぽいですね。

気が向いたら【謎】Bugzillaに投稿しておきます。

>Firefoxで何か書きかけて別のページに移動すると、戻ってきたときに書きかけの内容が全て消滅します。

>非常にユーザビリティを損ねている感じなのですが何とかなりませんか。

　と言われても、Firefox の問題なのでは。

　サーバ側で何かできることがありますか?

Firefoxで何か書きかけて別のページに移動すると、戻ってきたときに書きかけの内容が全て消滅します。

非常にユーザビリティを損ねている感じなのですが何とかなりませんか。タブを開けばいいので致命的ではないのですが、たとえば気合を入れて長文を書いてるときにコメント元の引用をしたくなったときにうっかりタブを開き忘れたりするとそれはもう残念な思いをします【謎】。

>　フィンガープリント値をメモって渡せば OK?

証明書そのものでもかまいませんがその場合メディアが必要になりますね。一度フィンガープリントを照合しつつ証明書をインストールするのも体験しておいてよさげなのでフィンガープリントでいいです。

>　できれば花粉シーズン終了後が希望ですが。

よくわからないのでばけらさんのほうで日時は指定してください。

土日ならたいてい空いてます。