― MozillaZine.jp フォーラムは Mozilla 製品に関する情報交換の場です ―



All times are UTC + 9 hours

新しいトピックを投稿する トピックへ返信する  [ 14 件の記事 ] 
作成者 メッセージ
投稿記事Posted: 2010年9月02日(木) 11:57 
 良くある、設定していないのにマスターパスワードを求められる、とは全く逆の現象です。
 当方、マスターパスワードを設定していて、3.0の頃は普通に使えていたのですが、3.1.2にアップグレードしたところ、いきなりサーバのログイン・パスワードになってしまいます(以前は、マスターパスワード⇒サーバのログイン・パスワードの順)。
 社内の規定で、マスターパスワードが無いとセキュリティのコンプライアンス上まずいので....。
 いまさらBecky!なんか使いたくないですし。

OS:WinXP SP3
Thunderbird:3.1.2


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2010年9月02日(木) 12:25 
オフライン
Administrator

登録日時: 2005年6月23日(木) 23:29
記事: 2743
お住まい: 東京
okie1jp さんが書きました:
当方、マスターパスワードを設定していて、3.0の頃は普通に使えていたのですが、3.1.2にアップグレードしたところ、いきなりサーバのログイン・パスワードになってしまいます(以前は、マスターパスワード⇒サーバのログイン・パスワードの順)。

設定したはずのマスターパスワードが勝手に解除されるというのは考えにくいのですが、一度設定画面からマスターパスワードの使用を解除して再度使うように設定するといかがでしょうか?

# 本来であればマスターパスワードの使用の有無の設定自体にもマスターパスワードが必要です
# 無理やり外すこともできますが、記憶されている既存のパスワードを道連れにしないと外せません

_________________
[Desktop] Windows 10 Pro 22H2 (64bit) / Intel Core i7-2600 / Nvidia GeForce GTX 1650 GDDR6 / 32 GB Memory
[Laptop] Windows 10 Pro 22H2 (64bit) / Intel Core i5-520M vPro / Intel HD Graphics / 8 GB Memory
[Android] Android 13.0 (arm64) / Xperia 5 III (XQ-BQ42)
常用環境: Firefox ベータ版、リリース版 (Win64 x86-64, Android), Thunderbird ベータ版、リリース版 (Win64 x86-64)
テスト環境: Firefox (ESR, Nightly, Win64 x86-64, Android)

Cai/1.0 (Homo sapiens; N; Homo sapiens chemist; male; rv:0.0.4.2+)
-- いつまでたっても nightly


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2010年9月02日(木) 14:07 
Cai さんが書きました:
okie1jp さんが書きました:
当方、マスターパスワードを設定していて、3.0の頃は普通に使えていたのですが、3.1.2にアップグレードしたところ、いきなりサーバのログイン・パスワードになってしまいます(以前は、マスターパスワード⇒サーバのログイン・パスワードの順)。

設定したはずのマスターパスワードが勝手に解除されるというのは考えにくいのですが、一度設定画面からマスターパスワードの使用を解除して再度使うように設定するといかがでしょうか?

# 本来であればマスターパスワードの使用の有無の設定自体にもマスターパスワードが必要です
# 無理やり外すこともできますが、記憶されている既存のパスワードを道連れにしないと外せません


 Cai様

 ありがとうございます。
 マスターパスワードは設定されていますし、チェックボックスはチェックされたままです。再設定も何回かやってみました。
 パスワード周りのレジストリが破損しているのでは? と疑っていますが、如何せん、そのあたりの情報は持ってませんので。


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2010年9月02日(木) 15:44 
オフライン

登録日時: 2006年9月05日(火) 18:47
記事: 4207
 
パスワード関連のファイルが壊れているか、書き込みや保存がうまくできない状態になっ
ていると思われます。

以下のドキュメントを参照して「回避策」を試してみてください。
*ログインパスワードなどもリセットされるため送受信の際には再度パスワードの入力が
  必要になると思います。
Mozilla Messaging / ナレッジベース / 設定していないのにマスターパスワードを求められる

それでもだめな場合は新規プロファイルの作成とその適用です。
*最初からアカウント設定もやり直すという方法です。
  もちろんアドオンを利用されていたら新たに入れ直しです。
*正常であることが確認できたらメッセージデータ、アドレス帳データの復元(移行コピー)
  程度に留めておく方がいいでしょう。

[参照] 
Mozilla Messaging / ナレッジベース / 複数のプロファイルを使用する
Mozilla Messaging / ナレッジベース / プロファイル
Mozilla Thunderbird 3.1.2 リリースノート - トラブルシューティング  
 


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2010年9月02日(木) 15:56 
 kiki様

 試してみましたが、ダメでした。
 それどころか、ログインパスワードもリセットされません。
 再インストールしてもダメでしたので、やっぱり、どこか壊れてるんでしょうね。


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2010年9月02日(木) 16:13 
 Cai様、Kiki様

 ありがとうございます。
 結論から行きますと、使えるようになりました、が、動作的にこれで正しいのか....。
(先のKiki様へのレスポンスは勘違いでした)

 3.0.xの頃は、マスターパスワードでThunderbirdにログインしてから、さらにサーバにログインする手順だったのですが、3.1.2はサーバへのログインが先に来て、そこでサーバへのパスワードを入力すると、マスターパスワードを無視してしまうようです。
 ログインパスワードをパスワードマネージャに登録したところ、マスターパスワードの入力ダイヤログ・ボックスが出てきました。

 でも、これって、振る舞い的に正しいとは思えないんですが....。
 動作的には、起動時にマスターパスワードを入力し、サーバへ最初にアクセスするときにログイン・パスワードを要求される(登録していればすっ飛ばしてもかまわない)、という手順が正しいと思うんですが....。
 ちなみに、弊社では上記に2段階ログイン(アプリケーション→サーバーの順に都度パスワードを入力)が推奨されているので、ちょっと困ってます。


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2010年9月02日(木) 16:31 
オフライン

登録日時: 2006年9月05日(火) 18:47
記事: 4207
  
新規プロファイルでも再インストールでも改善されないのでしたら問題は Thunderbird 以外に
あると思われます。

OS の状態が不安定になっているケースでしょうか。
あるいは何か他のアプリケーションが影響を与えているケースでしょうか。
他のアプリケーションでメールソフトのパスワード関連を管理するもので思い当たるものはあり
ませんか?
セキュリティ対策ソフトなどにもパスワード保護や制御をおこなうものがありますが・・・・。
 
また社内的に Thunderbird がどのように管理されているかでも影響を受ける可能性もあるで
しょう。
ローカルマシンでもクライアントサーバとの接続の関係でプロキシがあるとか・・・・。
Thunderbird の仕様と社内のサーバや接続の仕様がマッチしていないとか・・・・。
 
社内環境は通常の個人の自宅環境とはまったく同じではないことがあるのでこれ以上はわか
りませんね。
 


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2010年9月02日(木) 16:37 
 kiki様

 レスのタイミングで内容がかみ合わなくなってしまいましたが、結論からいうと、Thunderbirdもシステムも機能的には問題ありませんでした。わたし的には仕様に問題はありますが。
 3.0.xから3.1.xにバージョンアップした再にパスワード・ハンドリングの順番が何故逆になったのかが理解できませんが、この振る舞いの差で勘違いしてしまったのが原因です。

 先のレスでも書いてますが、パスワード・ハンドリングの振る舞いとしては順番が間違っているような気がします。


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2010年9月02日(木) 18:00 
オフライン

登録日時: 2006年9月05日(火) 18:47
記事: 4207
 
マスターパスワードについては以下のドキュメントを参照してください。
Thunderbird サポート - 使い方ガイド - プライバシーとセキュリティ - マスターパスワード
Master password - MozillaZine Knowledge Base(英語)
 
次に起動時にマスターパスワードを求められるのはアカウント設定内で「新着メッセージがないか
起動時に確認する」にチェックがあるかどうかで挙動が変わります。
必ずしも起動時にパスワードを求める機能ではありません。

そしてサーバへのアクセス時に最初にマスターパスワードの入力が求められずにサーバへのログ
インパスワード入力が求められるのはログインパスワードがまだ保存されていない状態の場合の
ようです。
一旦ログインパスワードが保存されると次回のサーバへのアクセス時にはマスターパスワードの入
力を最初に求められるようになります。
 
ログインパスワードが保存された後はアカウント設定内で「新着メッセージがないか起動時に確認
する」にチェックが入っていなくともアクセス時にはマスターパスワードの入力を求められるかと思い
ます。
つまりサーバへのアクセス時(セッション時)にはマスターパスワードが必要になります。

もしそれが無いとしたら先にコメントしたとおりです。
 


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2010年9月03日(金) 08:26 
 kiki様

 現状の仕様に関しては理解しました。しかしながら、なぜわざわざ3.0.xから振る舞いを変えたのかは疑問ですといわざるを得ませんね。
 企業の情報セキュリティの観点からはメール・クライアント・アプリケーション起動時のパスワードは必須です。
 そういう意味ではThunderbirdのパスワード・ハンドリングは残念な仕様といわざるを得ないですね。

 この問題と、添付ファイルとしてのショートカットの問題の残念な仕様(インターネットではありえませんが、イントラネットではショートカットを添付するのは極当たり前の使用方法で、メールサーバのストレージ圧迫の回避策として推奨されています)が改善されればもっと普及させることが出来ると思うんですが。


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2010年9月03日(金) 11:03 
オフライン
Administrator

登録日時: 2005年6月23日(木) 23:29
記事: 2743
お住まい: 東京
okie1jp さんが書きました:
 現状の仕様に関しては理解しました。しかしながら、なぜわざわざ3.0.xから振る舞いを変えたのかは疑問ですといわざるを得ませんね。
 企業の情報セキュリティの観点からはメール・クライアント・アプリケーション起動時のパスワードは必須です。
 そういう意味ではThunderbirdのパスワード・ハンドリングは残念な仕様といわざるを得ないですね。

もともとマスターパスワードは保管されているアカウント情報保護のためのものですので。
起動時パスワードについてはアドオンがあります。
3.1への対応不明かつ気休め程度ですが(セーフモードで回避可能)


okie1jp さんが書きました:
 この問題と、添付ファイルとしてのショートカットの問題の残念な仕様(インターネットではありえませんが、イントラネットではショートカットを添付するのは極当たり前の使用方法で、メールサーバのストレージ圧迫の回避策として推奨されています)が改善されればもっと普及させることが出来ると思うんですが。

旧バージョンでは可能でしたがセキュリティ上の理由で不可能にされたものです。
「改善」はないでしょうね。

_________________
[Desktop] Windows 10 Pro 22H2 (64bit) / Intel Core i7-2600 / Nvidia GeForce GTX 1650 GDDR6 / 32 GB Memory
[Laptop] Windows 10 Pro 22H2 (64bit) / Intel Core i5-520M vPro / Intel HD Graphics / 8 GB Memory
[Android] Android 13.0 (arm64) / Xperia 5 III (XQ-BQ42)
常用環境: Firefox ベータ版、リリース版 (Win64 x86-64, Android), Thunderbird ベータ版、リリース版 (Win64 x86-64)
テスト環境: Firefox (ESR, Nightly, Win64 x86-64, Android)

Cai/1.0 (Homo sapiens; N; Homo sapiens chemist; male; rv:0.0.4.2+)
-- いつまでたっても nightly


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2010年9月03日(金) 14:02 
オフライン

登録日時: 2006年9月05日(火) 18:47
記事: 4207
 
okie1jp さんが書きました:
 現状の仕様に関しては理解しました。しかしながら、なぜわざわざ3.0.xから振る舞いを変えたのかは疑問ですといわざるを得ませんね。

私もなぜ挙動が変更されたのかまではわかりません。
が先に紹介したようにアカウント設定で「新着メッセージがないか起動時に確認する」にチェックを
入れておくことでとりあえずご希望の挙動になります。

先に Cai さんから補足がありましたが、3.0 系までの仕様はおまけ的なものだったと考えています。
それは起動時にパスワードを保護する目的ではないからです。
たまたま起動時に機能していたと云えば乱暴かも知れませんが・・・・。

okie1jp さんが書きました:
 企業の情報セキュリティの観点からはメール・クライアント・アプリケーション起動時のパスワードは必須です。
 そういう意味ではThunderbirdのパスワード・ハンドリングは残念な仕様といわざるを得ないですね。

とはいうものの特に企業内で使用する際は起動時にパスワードの入力を必要とする機能はセキュリティ上
好ましいことに間違いありませんよね。
Thunderbird が選ばれる理由のひとつになっているとしたら大きな痛手かも知れません。

一方でどんなアプリケーションもすべて起動時や何かの操作をおこなう際にパスワードを必要とするものば
かりではありません。
「企業の情報セキュリティの観点からはメール・クライアント・アプリケーション起動時のパスワードは必須」と
のことですが、何もメールクライアントだけに限らず情報セキュリティでいえばブラウザなど多くのアプリケー
ションが該当します。

ここはひとつ前向きに捉えてこれを機会にセキュリティについて再考するのもいいかも知れません。

例えば企業内で利用するアプリケーションのすべてについて(クライアントマシンでも)起動時や特定の操作
をおこなう際にはパスワード入力が必須にできるシステムを考えてみるなどです。
つまりアプリケーション固有の機能に依存しないという志向です。

もちろんコストとの兼ね合いなど多種の問題をクリアしなければならないでしょうが個人ができるセキュリティ
という枠から企業内・職場内のセキュリティという枠に置き換えればいいかと感じます。
簡単にいえば企業内の情報セキュリティはルールを設けるだけではなく、また同時に個人まかせにしないと
いうことですね。


【余談】
okie1jp さんが書きました:
 この問題と、添付ファイルとしてのショートカットの問題の残念な仕様(インターネットではありえませんが、イントラネットではショートカットを添付するのは極当たり前の使用方法で、メールサーバのストレージ圧迫の回避策として推奨されています)が改善されればもっと普及させることが出来ると思うんですが。

当たり前の使用方法にセキュリティ上のリスクがあるとしたらどう思います?
それでも使い勝手を優先しますか?
イントラネット内でも侵入者や攻撃者が絶対存在しないと言い切れますか?
セキュリティ上のリスクがあればそれを回避・修正するべきでそれまでの「当たり前」を変更することが当たり
前にならないと「企業の情報セキュリティの観点」でもよろしくないのでは?
 
私が過去のセキュリティ修正で記憶に残っているもので以下があります。
MFSA 2005-21: .lnk ファイルを 2 回ダウンロードすることで任意のファイルが上書きされる
[参照]
Mozilla Foundation セキュリティアドバイザリ
  


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2010年9月03日(金) 16:47 
 kiki様

 弊社の場合、メール・クライアント起動までにはBIOSパスワード、PCへのログインパスワード(この2件は普通だと思いますが)、アプリケーション起動パスワード、メールサーバのパスワード(省略してもいいけど、推奨はされていない)となります。
 イントラのWebベースのアプリもイントラに一度ログインしないと使えません。
 最初の頃はうざったかったんですが、慣れると逆にこのプロセスを通過しないと不安になりますね。

 余談のほうですが、コストも重要なファクターになりますよね。
 ストレージを増やし、イントラネットのバンド幅を広くすることが出来ればそうしたいですが、簡単に投資出来るようなものでは無いですし。
 セキュリティ・リスクに対するコストと利便性確保のコストとは常に天秤になると思います(もっとも、弊社の場合、イントラ内での攻撃はかなり難しいですけどね)。
 でも、他の似たようなアプリが使える機能が選択も出来ないのはマイナス・ファクターだと思いますよ(わたしは適当にごまかしてでかいファイルを送ってますけど)。

 機能としては実装して、使用環境に合わせて選択できる(リスクは利用者が理解した上で被る)のが一番望ましいと思います、が、そういう意識を持った人ばかりじゃないという大問題があるのも事実ですし。
 悩ましいところです。


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2010年9月04日(土) 13:16 
オフライン

登録日時: 2005年12月19日(月) 23:05
記事: 105
#オフトピです。
ショートカットの添付についてですが、本文中に該当ファイル/ディレクトリのアドレスを書くのではダメなのでしょうか?


通報する
ページトップ
 プロフィール  
引用付きで返信する  
期間内表示:  ソート  
新しいトピックを投稿する トピックへ返信する  [ 14 件の記事 ] 

All times are UTC + 9 hours


オンラインデータ

このフォーラムを閲覧中のユーザー: Majestic-12 [Bot] & ゲスト[96人]


トピック投稿:  可
返信投稿:  可
記事編集: 不可
記事削除: 不可
ファイル添付: 不可

検索:
ページ移動:  
Powered by MozillaZine.jp® Forum Software © phpBB Group , Almsamim WYSIWYG
Japanese translation principally by ocean