【翻訳】Firefox ダウンロード保護機能の拡張
この記事は、2016 年 8 月 1 日付で Mozilla Security Blog に投稿された Enhancing Download Protection in Firefox(筆者: Francois Marier)の翻訳です。この翻訳は公式なものではありません。詳しくはこちらをご覧ください。
悪意を持ったファイルのダウンロードを防御する機能は、Windows においては Firefox 31(参考:日本語訳)で、Mac と Linux では Firefox 39(参考:日本語訳)で追加されました。そして現在の Firefox 48 では、Google の Safe Browsing サービスが拡張されたため、これまでの防御機能が「望ましくない可能性のあるソフトウェア」と「見慣れないダウンロード」にも対応できるようになりました。
防御機能の拡張
前者の「望ましくない可能性のあるソフトウェア」とは、Google のポリシーにも説明されている内容と同じく、ユーザのコンピュータに予期せぬ変更を加えるソフトウェアのことを指しています。こういったソフトウェアは、(例えば)同意なしに個人情報を収集したり、削除させづらくする技術を用いることがあるため、利用を避けることが最も良い対応であると通常は考えられます。
後者の「見慣れないダウンロード」とは、悪意の無いものであったり、望ましいものではあっても、多くのユーザにはダウンロードされていないものを単に指しています。この警告を出すのは、ダウンロードしようとしているファイルが実は異なるものかもしれませんと、ユーザに注意してもらうためです。例えば、新しいバージョンの Firefox や、有名なソフトウェアパッケージである VLC をダウンロードしようとした際に、この警告が表示されたとしましょう。この場合、Google Safe Browsing サービスにはまだ登録されていないフィッシングサイトから、悪意のあるファイルをダウンロードさせられている可能性があります。そのため、ファイルをダウンロードしているサイトのアドレスを再確認することができ、注意を払ったうえで処理を進めることが可能となります。
ユーザインターフェイスの改善
新しく追加された防御対象をここまで説明してきましたが、これらへの警告にユーザが気付きやすく、かつ理解しやすくなるよう、ユーザインターフェイスについても改善を行いました。
次の図は、防御機能によって悪意のあるダウンロードが検知された際に、新しいダウンロードボタンがどのように表示されるかを示しています。
望ましくない可能性のある、または見慣れないダウンロードの場合
悪意のあるダウンロードの場合
デフォルトのアクションを示すボタンは、ファイルの種類に応じて「開く」と「削除」のどちらかに変わります。
望ましくない可能性のあるダウンロードの場合
見慣れないダウンロードの場合
悪意のあるダウンロードの場合
そして、ユーザが当該リスクを理解しやすくなるよう、以下の確認ダイアログを追加しました。
望ましくない可能性のあるダウンロードの場合
見慣れないダウンロードの場合
悪意のあるダウンロードの場合
警告が誤検知であるとユーザが確実に分かっている場合は、コンテキストメニューから警告を無視することも可能です。
ユーザにさらなる選択の自由を
ブラウジング保護機能が Firefox 3 で初めて導入されて以降、Firefox におけるセキュリティの設定項目が変更されていませんでした。次の図は Firefox 47 以前の様子です。
そして次の図に示されている通り、Firefox 48 からはダウンロードとブラウジングに関する保護機能について、ユーザがより細かく制御できるようになりました。
大多数のユーザは Safe Browsing の提供する保護機能をすべて有効にしておくと思いますが、Google のプライバシーポリシーに基づいた Safe Browsing サービスを一部無効にしたいユーザがいることも理解しています。今回新しく設定項目を追加したのは、プライバシーを考慮するユーザに必要な選択の自由を提供し、満足できる範囲で Safe Browsing サービスを有効にしてもらうためです。
新しい設定項目の意味は以下の通りです。
- 「危険な詐欺コンテンツをブロックする」 ― マルウェアや、見かけと異なるコンテンツを含むページへアクセスした際に警告を出します。Safe Browsing の他機能を利用する場合、この項目を有効にしておく必要があります。
- 「危険なファイルのダウンロードをブロックする」 ― ダウンロードに関する保護機能です。悪意のある実行ファイルを検知するため、外部のサーバを利用する場合があります。
- 「不要な危険ソフトウェアを警告する」 ― 望ましくない可能性のある、または見慣れないファイルのダウンロードに関しても警告を出すよう、ダウンロード保護機能を拡張します。
以上のユーザインターフェイスでは表示されない他の内部設定項目については、上級者が(個人の責任において)操作できるようになっています。
【翻訳】2016 年度 Mozilla Winter of Security のお知らせ
この記事は、2016 年 8 月 1 日付で Mozilla Security Blog に投稿された Announcing the 2016 edition of Mozilla Winter of Security(筆者: Francois Marier)の翻訳です。この翻訳は公式なものではありません。詳しくはこちらをご覧ください。
Mozilla のセキュリティエンジニアがする仕事は、単に Firefox ユーザのみならず、Web 全体にとって重要な仕事です。もし今までに OWASP Zed Attack Proxy を使ったことがあれば、SSH と TLS に関する私たちのガイドラインを読んだり、自分の web サイトを HTTP Observatory で検証してみてください。そうすれば、Mozilla セキュリティチームの成果から利益を得ることができることと思います。Web セキュリティに真価のある影響を与えたいと考え、かつこの分野において世界で最も才能のある方々を、私たちが必ず採用するようにしているのはこのためです。
Mozilla Winter of Security (MWoS) とはまさにそのための機会であり、学生に我々のエンジニアとタッグを組んでもらい、Mozilla のセキュリティプロジェクトに貢献してもらうものです。今日は、今年で第 3 回を数える MWoS の応募受付が始まったことことをお知らせします。
私たちは毎年、セキュリティに関して意義深い課題を含んだプロジェクトを選定しています。メンターの立場から見ると、MWoS とはプロジェクトを Mozilla のエコシステムから外部のコントリビュータへ公開し、まとまった時間をなかなか割けない箇所を手伝っていただける機会です。対して学生の立場から見ると、MWoS とはセキュリティにおけるオープンソースの世界への入口であり、現実世界の問題を解決できる機会でもあります。この相互に利益を得られる仕組みによって、この 2 年間で 33 人の学生に 16 のセキュリティプロジェクトでコードを書いていただけました。これらのプロジェクトの中には、Mozilla とインターネットを安全にするものとして完全に採用されているものもあります。例えばギリシャの Dimitris Bachtis (MWoS 2014) が開発した TLS Observatory は、サイトの適切な HTTPS 設定を支援するプラットフォームです。他の例として MIG Sandbox がありますが、これは Mozilla Investigator を安全にするべく Linux seccomp を実装した Go パッケージであり、ルーマニアの Teodora Băluță と Vladimir Diaconescu、Constantin-Alexandru Tudorică (MWoS 2015) が開発したものです。
今年の MWoS では Mozilla の Crypto チームにも範囲を拡大し、Firefox のネットワークセキュリティライブラリである NSS のうち 5 つのプロジェクトも対象となりました。暗号技術の他にも web とインフラのセキュリティなど、2016 年度の MWoS では様々な領域に渡る 12 個のプロジェクトを取り上げます。今回のプロジェクトは以下の通りです。
- MIG: A web interface for Mozilla Investigator
- ZAP: Field Enumeration
- ZAP: Form Handling
- ZAP: Automated authentication detection and configuration
- Plug'n'hack / ringleader: Support for e10s (and more)
- NSS: Demos
- NSS: Server integration
- NSS: SHA-3 Implementation
- NSS: Formal Verification
- NSS: TLS Interoperability
- ssh_scan: Improving Scalability and Feature Set
- Security Testing Workflow and Toolchain for Python Websites and Services
全プロジェクトの一覧と詳細は https://wiki.mozilla.org/Security/Automation/Winter_Of_Security_2016 から確認できます。
応募に際しては、チームとして大学の講義に必ず登録し、MWoS のプロジェクトによってチームに単位が与えられることを担当教員が必ず承認していることが必要です。これまでの経験から、この要件があることで学生の時間とプロジェクトへのモチベーションを確保することができ、参加者全員により良いメンタリングの機会を提供できると考えています。
応募受付は今日から始まり、9 月 15 日に締め切られます。あなたが教員であるのなら、ぜひ学生の方々に MWoS のことを伝えてあげてください。あなたが Web セキュリティに真価のある影響を与えたいと考えている学生ならば、メンバー集めを始めて 9 月 15 日までに応募フォームを記入してください。選考の結果は締切後 2 週間以内にチームへご連絡します。
MWoS プログラムやプロジェクトについて何か質問があれば、メールまたは Mozilla の #security IRC チャンネル でメンターに直接聞いてください。あなたの参加を待っています!