では、このトピックは追加書き込み可能な状態で置いておきます。
サムネイル画像についての意見等が有りましたら書き込みお願いします。

[quote="kiyo4_k"][quote="バッキー"]えーっと、正直なところわりと簡単に読めちゃうと思いますよ。[/quote]読めてしまうんですか．．．私には読めないけど読める人には読めるということですね。（もちろん、先の投稿に書いたように元を知っている文字列なら私にも読めますよ）[/quote]まぁ、少し読み取りのコツはあるかもしれません。

[quote="kiyo4_k"]ところで、事例報告の内容は有り難くこのまま残しておきますが（編集して旬の問題にも置いておくとか）、このトピックどうしますか？　解決ではないのでマークしませんが、続けてもここでは進展はないのでこのまま置いておきますか。
危険だとか実際になにか有ったという人がレスを付けられるように．．．[/quote]ええ、他の方から書き込めるようにこのままがいいと思います。

[quote="バッキー"]えーっと、正直なところわりと簡単に読めちゃうと思いますよ。[/quote]読めてしまうんですか．．．私には読めないけど読める人には読めるということですね。（もちろん、先の投稿に書いたように元を知っている文字列なら私にも読めますよ）

[quote="バッキー"]とりあえず、先の投稿を編集して手順と画像を削除しました。
でも、サムネイル画像から簡単に情報を読み取ることができることに変わりは無いのと、Firefox13でサムネイル画像が保存されるようになってからずいぶん時間が経過してますので、私はかなり危険な状態だと考えてます。[/quote]了解です。
ところで、事例報告の内容は有り難くこのまま残しておきますが（編集して旬の問題にも置いておくとか）、このトピックどうしますか？　解決ではないのでマークしませんが、続けてもここでは進展はないのでこのまま置いておきますか。
危険だとか実際になにか有ったという人がレスを付けられるように．．．

[quote="kiyo4_k"]肉眼で読むだけでは私にはなかなか区別出来ない文字ですが、
これを、どれだけの人が読めちゃうかということですね。[/quote]
えーっと、正直なところわりと簡単に読めちゃうと思いますよ。


[quote="kiyo4_k"]詳しく書いちゃうと悪いことしたい人にはやり方を説明することになっちゃうのでやめましょう。[/quote]
とりあえず、先の投稿を編集して手順と画像を削除しました。
でも、サムネイル画像から簡単に情報を読み取ることができることに変わりは無いのと、Firefox13でサムネイル画像が保存されるようになってからずいぶん時間が経過してますので、私はかなり危険な状態だと考えてます。

[quote="バッキー"][quote="kiyo4_k"]サムネイルの縮小率やアルゴリズムが分かれば元の文字が分かるかもしれませんね。[/quote]
いえ、アルゴリズムは判らなくても以下の手順で元の文字は簡単に判ってしまうんですよ。[/quote]肉眼で読むだけでは私にはなかなか区別出来ない文字ですが、
これを、どれだけの人が読めちゃうかということですね。
詳しく書いちゃうと悪いことしたい人にはやり方を説明することになっちゃうのでやめましょう。


[quote="バッキー"]画像を添付したかったのですが、上手く動かなかったので画像のリンク先をご覧になってください。[/quote]インラインのボタンはまだダメかもしれません。下の添付欄からなら添付出来ます。

[quote="kiyo4_k"]サムネイルの縮小率やアルゴリズムが分かれば元の文字が分かるかもしれませんね。[/quote]
いえ、アルゴリズムは判らなくても以下の手順で元の文字は簡単に判ってしまうんですよ。

==============================================
悪用されるのを防ぐために手順を削除しました [2012/10/31 00:18]
==============================================


画像を添付したかったのですが、上手く動かなかったので画像のリンク先をご覧になってください。
[blockquote]==============================================
悪用されるのを防ぐために画像を削除しました [2012/10/31 00:18]
==============================================

[/blockquote]この例では小文字の o と q の区別が付きませんが、それ以外ははっきり判ります。
なので縮小されているサムネイル画像だからとって安心はできないと思います。


[quote="kiyo4_k"][quote=" バッキー"]＃ システムが変更になったせいか、mozillaZineが開かなかったりタイムアウトしたりでなかなか書き込めませんでした。。。[/quote]今日は サーバーのメンテナンスで18時過ぎまではサーバーが止まっていたはずです。また、新システムへの移行日はサーバーが動作している状態でしたが作業途中は 表示内容が不安定でした。お知らせのフォーラムにアナウンスが出ますから時々見てやって下さい。[/quote]
御意。

[quote="バッキー"]確かにパスワードは入力した文字が塗りつぶされているので読み取れません。
でも、それ以外の英数字・記号・ひらがな・カタカナは文字種が少ないので、それらを並べてWebページを作ると簡単にサムネイル画像を取得できます。
そして、縮小後の文字パターンから、元の文字を推測するのはそんなに難しい話ではありません。

ちなみに、サムネイル画像はだいたい1/3ぐらいに縮小されていて、縮小のアルゴリズムはバイキュービック(かバイリニア)+量子化という感じですね。[/quote]下の画像は1000%ぐらいに拡大した画像ですが、「ユーザー名」という見出しと「kiyo4_k」、「パスワード」という見出しとマスクされたパスワードが有ります。サムネイルの縮小率やアルゴリズムが分かれば元の文字が分かるかもしれませんね。
[attachment=0]2012-10-28_kiyo4_k.png[/attachment]

[quote="バッキー"]＃ システムが変更になったせいか、mozillaZineが開かなかったりタイムアウトしたりでなかなか書き込めませんでした。。。[/quote]今日はサーバーのメンテナンスで18時過ぎまではサーバーが止まっていたはずです。また、新システムへの移行日はサーバーが動作している状態でしたが作業途中は表示内容が不安定でした。お知らせのフォーラムにアナウンスが出ますから時々見てやって下さい。

[quote="kiyo4_k"]生成されたbasic認証のサムネイル画像はユーザIDなどは（知っていれば）想像出来るような画像かもしれませんがパスワードは黒丸に置き換えられたままなので読めませんでした。
表示側の解像度がいくら良くてもこの程度の解像度で保存された画像なら問題無さそうな気がします。[/quote]
画像処理アルゴリズムを研究開発していた経験から言わせていただくと、このサムネイル画像はかなり危険だと思いますよ。

確かにパスワードは入力した文字が塗りつぶされているので読み取れません。
でも、それ以外の英数字・記号・ひらがな・カタカナは文字種が少ないので、それらを並べてWebページを作ると簡単にサムネイル画像を取得できます。
そして、縮小後の文字パターンから、元の文字を推測するのはそんなに難しい話ではありません。

ちなみに、サムネイル画像はだいたい1/3ぐらいに縮小されていて、縮小のアルゴリズムはバイキュービック(かバイリニア)+量子化という感じですね。


＃ システムが変更になったせいか、mozillaZineが開かなかったりタイムアウトしたりでなかなか書き込めませんでした。。。

[quote="ytooyama"]該当する記事は見ましたが、「セキュリティの問題がある」と言う記述はあるものの、根拠となる証拠が提示されていないこと、記事タイトルがそぐわないこと（オブラードに包まないで言うと、変に釣る内容のタイトルであること）、以上から該当記事は保留扱いとなりました。[/quote]
なるほど、そういうことですか。

[quote="ytooyama"]記事についてはまあ、dev.mozilla.jpに置かれる記事ですから、該当バグのリンクと、パッチを当てる方法とか追加すると良かったかなと思います。[/quote]
そのあたり、投稿内容のガイドラインがあるといいのではないでしょうか？

サムネイル画像を保存する設定にして、普通に認証の画面でサムネイル画像をいくつか採取させて保存されたサムネイル画像を画像編集ソフトで開いてみましたが、私には書いてある文字は拡大してもCAPCHA画像よりも情けない絵になるので読めませんでした。
生成されたbasic認証のサムネイル画像はユーザIDなどは（知っていれば）想像出来るような画像かもしれませんがパスワードは黒丸に置き換えられたままなので読めませんでした。
表示側の解像度がいくら良くてもこの程度の解像度で保存された画像なら問題無さそうな気がします。

[quote="ytooyama"]該当する記事は見ましたが、「セキュリティの問題がある」と言う記述はあるものの、根拠となる証拠が提示されていないこと、記事タイトルがそぐわないこと（オブラードに包まないで言うと、変に釣る内容のタイトルであること）、以上から該当記事は保留扱いとなりました。

記事についてはまあ、dev.mozilla.jpに置かれる記事ですから、該当バグのリンクと、パッチを当てる方法とか追加すると良かったかなと思います。[/quote]ytooyamaさん、ありがとうございます。

[quote="バッキー"][quote="pal"]この種のことは、[url=https://dev.mozilla.jp/about/]そこの趣旨[/url]にはあっていないと思います。[/quote]
よかったら、palさんは何があっていないと 思われているのか具体的に教えていただけますか？

palさんが示された[url=https://dev.mozilla.jp/about/]そこの趣旨[/url]には
[list]modestで出来ること:
[list]トピック（Blog投稿）でタイムリーな情報を発信、閲覧すること[/list]
トピック(投稿):
[list]あるいは単に気になることなどが書かれた投稿です。
サイトにログインすれば誰でも自分 の名前で modest に投稿できますので、みんなで共有したいことや聞いてみたいことなどがあれば遠慮なく書き込んでください[/list]
Blog — タイムリーな情報を発信する:[list]あなたが今知らせたい情報をタイムリーに発信することで、オープンでスピード感 のあるProject 運営が可能となります[/list][/list]
と書かれており、これらはまさしく私がやりたいことですし、セキュリティに関する情報を発信していはいけないとは書かれていませんが？[/quote]

横から失礼します。
該当する記事は見ましたが、「セキュリティの問題がある」と言う記述はあるものの、根拠となる証拠が提示されていないこと、記事タイトルがそぐわないこと（オブラードに包まないで言うと、変に釣る内容のタイトルであること）、以上から該当記事は保留扱いとなりました。

記事についてはまあ、dev.mozilla.jpに置かれる記事ですから、該当バグのリンクと、パッチを当てる方法とか追加すると良かったかなと思います。

[quote="バッキー"]仮にそうだとしても、非公開にするならば一言メッセージがあってもいいんじゃないかなぁ。。。[/quote]一言有る方が少ないと思いますけど。まぁ、こっちに関してはそれほど悪意に取らなくて良いと思います。

[quote="バッキー"]と、no-storeレスポンスが付いているか、httpsリクエストでかつbrowser.cache.disk_cache_sslがfalseの場合のみのようです。

no-cacheは調べなくていいのかな？ と気になるところですが、
重要なのは、browser.cache.disk_cache_sslはデフォルトが true なので、httpsリクエストでもサムネイルが作成されちゃってますね。[/quote]palさんに提示していただいたcomment22以下を辿ったり（英語もソースも完全には読めないんですけどね）して眺めてみたんですが、
2カ所のcapturing_disabledを判定してreturnしているところにno-cacheの判定も必要なんじゃないかなぁと思いました。

見える範囲（と読める範囲）では、このままではhttpsじゃないbasic認証の画面のキャッシュは避けられないような気がするので、サイト側からの情報だけでなくユーザがコントロール出来る必要が有るような気がするんですが。（401レスポンスがno-storeの条件に含まれているなら良いですけど）

[quote="バッキー"][quote="pal"]この種のことは、[url=https://dev.mozilla.jp/about/]そこの趣旨[/url]にはあっていないと思います。[/quote]
よかったら、palさんは何があっていないと 思われているのか具体的に教えていただけますか？[/quote]
言葉足らずでした。
私の考えは、kiyo4_kさんが触れている「Bugzillaで～」ということです。


[quote="Cai"]
「あのサムネイルって画像として直に保存されてるのかー」と開いてみたらログイン画面やフォーム入力画面のサムネイル (いろいろ入力済み) があってゾッとしました。[/quote]
これは、サムネイルの日付をみればより確実なのですが、古いものが残っていただけのように思います。
kiyo4_kさんがリンクしてくれた[url=http://www.computerworld.jp/topics/605/204203]サイト[/url]では14.0.1で修正されたようですので。
これが正しければ、(古いものを削除後は)新たにサムネイル化はされないはずです。


[quote="kiyo4_k"]
あの、「プライバシー関連情報を含む金融サイトやWebメールサイトを除外するようになった」というのはどういう仕組みでやってるのかが気になってきますね。
単にhttpsというプロトコルで判断するのか、サイト登録なのか．．．サイト登録なら日本では誰がどんな仕組みで登録するのかっていうのは気になる人は居るかもです。[/quote]
これは、caiさんがリンクしている[url=https://bugzilla.mozilla.org/show_bug.cgi?id=755996]バグ[/url]のDepends onにある、この[url=https://bugzilla.mozilla.org/show_bug.cgi?id=754608]バグ[/url]です。
修正内容(手法)はcomment22のパッチ内容をご覧ください。

[quote="aides"]オフトピですが同等の機能を有してる以下のアドオンでも、此の問題は再現するのでしょうかね？
* [url=https://addons.mozilla.jp/firefox/details/4810]Speed Dial | Firefox アドオン | Mozilla Japan の公式アドオン紹介サイト[/url][/quote]
ソースコードを覗いてみましたが、けっこうなボリュームがあるので同じような問題があるのか簡単には突き止められませんでした。

ただ、Speed Dial自体は 2007年4月にリリースが開始されたものなので、サムネイル作成もサムネイル保存(しているのかな?)も独自にやっていると思います。