― MozillaZine.jp フォーラムは Mozilla 製品に関する情報交換の場です ―



All times are UTC + 9 hours

返信する
ユーザー名:
件名:
オプション:
BBCode: ON
[img]: ON
[flash]: OFF
[url]: ON
スマイリー: ON
BBCode を無効にする
フォントサイズ:
フォントカラー
スマイリーを無効にする
URL を自動的にパースしない
ユーザエージェントを表示する
認証コード
KCaptcha by Nikita_Sp
   

トピックのレビュー - 【レポート】 Firefox 23.0 の新機能「混合コンテンツのブロック」について
作成者 メッセージ
  記事の件名:  Re: 【レポート】 Firefox 23.0 の新機能「混合コンテンツのブロック」について  引用付きで返信する
Ryo さん、mar さん、フォローありがとうございます。

Ryo さんが書きました:
そのスクリーンショットのURLバーに表示されている以下のURLを Firefox 23 のURLバーに入力してみると、
手っ取り早く、「混合コンテンツのブロック」を体験する事が出来ました^_^; 。

サンプルページの例示、ありがとうございます。
スクリーンショットの URL までは気が回りませんでした。

mar さんが書きました:
「混合コンテンツ」ではなく、「混在コンテンツ」です。
リリースノートの誤訳ですね。

気にはなっていましたが、そういうことでしたか。
Firefox 内部の表示は「混在」だし、どう表記したらいいものか迷ったのですが、とりあえず最初に出たリリースノートの表記に従ったしだいです。

(余談)
少なくともこの投稿の時点では......
例えば、次の URL にアクセスすると、
http://support.mozillamessaging.com/ja/kb/profiles
自動的に
https://support.mozillamessaging.com/ja/kb/profiles
に切り替えられます。

このとき、Firefox の JavaScript が有効か無効かで、ロケーションバーの [サイト認証ボタン](アイコン)の状態に差がでます。
ロケーションバーの [サイト認証ボタン] は、
(A)JavaScript が有効のとき、[灰色の錠前アイコン] になります。
(B)JavaScript が無効のとき、[灰色の地球アイコン] になります。→ 混在コンテンツを示唆

[開発ツール] のコンソールを観察すると、
(A')JavaScript が有効のとき、混在コンテンツは何も表示されません。
  SSL な JavaScript の実行に基づいて読み込まれている表示系コンテンツ(アクセス分析用 Web ビーコン?)でしょうか。
(B')JavaScript が無効のとき、表示系の混在コンテンツの存在が表示されます。
  HTML の <noscript> タグに記された非 SSL な URL から読み込まれている表示系コンテンツ(アクセス分析用 Web ビーコン?)でしょうか。

A 、B どちらのケースでも、同じページを表示してコンテンツはブロックされていないという点では、実質的にユーザーが受ける結果に違いはなさそうです。

・[サイト認証ボタン] は HTTPS か HTTP かといったコネクションのルールについてだけ判断しているようなので、ブラウザ側の JavaScript の有効・無効を加味した総合的な「安全性」を示しているわけではありません。
・結局はサイト側のつくりの問題で、(B')の HTML を SSL な URL になるよう修正すればいい話ですし、ユーザーは小難しいことを考えなくても安全性が最大限発揮されるようブラウザが自動的に対処するというのが「混在コンテンツのブロック」機能だと思います。
・[JavaScript を有効にする] の設定項目が削除され、デフォルトの有効状態がほぼ固定されたことを考え合わせると、ユーザーが意識的に JavaScript を無効にした状態は例外的なのかもしれません。

それでも、HTTPS なページにおいて Firefox の JavaScript が有効か無効かによって [サイト認証ボタン] の状態に差が出ることは、ユーザーに対して「安全性」についての誤解ないしは油断を与えてしまう可能性があるのではないか、という一抹の不安は残ります。
上記はあくまで表示系の混在コンテンツであって、ブロック対象となる Mixed Active Content に敷衍して述べるべきではないのかもしれませんが、ブラウザの JavaScript が無効なら、たとえ問題のあるスクリプトを読み込んだとしても実行されることはないので、ただちに被害に合うことはないと考えられますから。(キャッシュまわりのことも考慮したほうがいいのかもしれませんが、力が及びません...。)

我ながら気にしすぎかなと思いますが、ブラウザの自動化に依存しすぎてユーザー(人間)の判断力が衰えないようにはしたいと思います。


【おことわり】
ゲスト(未登録)ユーザーで投稿しようとした場合、本文にフル URL や [url] タグで設定されたリンクがあるとスパム判定されるケースがあります。
今回もその制約に引っかかって投稿できなかったので、「URL を自動的にパースしない」の設定で投稿しています。ご容赦ください。
投稿記事 Posted: 2013年8月14日(水) 09:05
  記事の件名:  Re: 【レポート】 Firefox 23.0 の新機能「混合コンテンツのブロック」について  引用付きで返信する
偶然的通行人 さんが書きました:
Firefox 23.0 で、[混合コンテンツのブロック] 機能が搭載されました。
詳しいことは、リリースノートとそのリンク先、あるいは下記の記事などを参考にしてください。
http://www.mozilla.jp/firefox/23.0/releasenotes/
https://developer.mozilla.org/ja/docs/S ... 26_Privacy

「混合コンテンツ」ではなく、「混在コンテンツ」です。
リリースノートの誤訳ですね。

安全でないコンテンツがセキュリティに及ぼす影響 | Firefox ヘルプ
投稿記事 Posted: 2013年8月10日(土) 00:47
  記事の件名:  Re: 【レポート】 Firefox 23.0 の新機能「混合コンテンツのブロック」について  引用付きで返信する
偶然的通行人 さんが書きました:
一般のエンドユーザーでも比較的簡単に、個々の [混合コンテンツ] の状態を確認するには、次のような方法があります。

有益な情報、有り難う御座います(^^)。

なお、偶然的通行人 さん の紹介されている以下の記事内のスクリーンショットで 混合コンテンツのブロックの様子が示されています。
https://developer.mozilla.org/ja/docs/S ... 26_Privacy

そのスクリーンショットのURLバーに表示されている以下のURLを Firefox 23 のURLバーに入力してみると、
手っ取り早く、「混合コンテンツのブロック」を体験する事が出来ました^_^; 。
https://people.mozilla.com/~tvyas/mixedcontent.html

併せて、偶然的通行人 さんの 教えて頂いた方法で、何をブロックしているのかも判りますね。
投稿記事 Posted: 2013年8月09日(金) 03:03
  記事の件名:  【レポート】 Firefox 23.0 の新機能「混合コンテンツのブロック」について  引用付きで返信する
Firefox 23.0 で、[混合コンテンツのブロック] 機能が搭載されました。
詳しいことは、リリースノートとそのリンク先、あるいは下記の記事などを参考にしてください。
http://www.mozilla.jp/firefox/23.0/releasenotes/
https://developer.mozilla.org/ja/docs/Site_Compatibility_for_Firefox_23#Security_.26_Privacy

いろいろなところで解説が出ていると思いますが、ロケーションバーの [サイト認証ボタン](アイコン)の状態はサイトの全体的な構成に関する情報で、個々にどのような [混合コンテンツ] が含まれていて、何がフロックされ、何がスルーされているのかまではわかりません。
もちろん、いちいち知る必要性を感じないならそれでもいいのですが、気になる人もあろうかと思います。
一般のエンドユーザーでも比較的簡単に、個々の [混合コンテンツ] の状態を確認するには、次のような方法があります。

(1)[Web 開発] -> [開発ツールを表示] で、[開発ツール] を表示します。
(2)そのツールボックスから [コンソール] を選択し、最低でも下段の [セキュリティ] が有効になっているのを確認します。
  ([混合コンテンツ] の状態だけを見たいなら、[ネットワーク] 、[CSS] 、[JS] 、[ロギング] の項目は一時的に無効にしておくと見やすくなると思います。)
(3)そのタブ内に確認したい HTTPS なページを読み込みます。(通常の HTTP なページでは意味はありません。)
(4)下の出力欄に状態がレポートされます。もし、SSL なページに 非 SSL な [混合コンテンツ] が含まれていれば、その旨の表示があります。

単純な画像データ(*.jpg や *gif など)である表示系の混合コンテンツ(Mixed Passive Content / Mixed Display Content)は、[混合コンテンツ] である旨の警告表示はありますが、ブラウザはそれらをブロックせず、読み込んで表示しているのがわかります。
(security.mixed_content.block_display_content からブロックすることは可能。)

一方、JavaScript とかの Mixed Active Content(*.js など)が含まれている場合は、「混合アクティブコンテンツ "URL" の読み込みをブロックしました」の表示がコンソールに表示され、ブロックしたことを示します。(URL は、*.js などの読み込み元が表示されますが、プロトコル部分が http:// ~になっているのがわかります。)
(security.mixed_content.block_active_content からブロックを解除することは可能。【非推奨。テスト目的に限り自己責任で】)

サイトの作りによっては、JavaScript の有効・無効の違いなどブラウザ側の設定条件によって投げてくるコンテンツが異なるものがあり、[混合コンテンツ] の扱いも機械的にはいかなさそうです。

(参考)
SeaMonkey 2.19 以降、設定ウィンドウの [プライバシーーとセキュリティ] -> [SSL] に [SSL 混合コンテンツ] の項目が新設され、GUI で設定の有効・無効を切り替えられるようになっています。(SeaMonkey の初期状態で、2.19 では [無効] 、2.20 では [有効])
SeaMonkey にはまた、これに関わる警告メッセージの表示・非表示を設定する項目があります。

とりあえず以上です。記述ミスや誤った認識を述べている事柄があれば、忌憚なくご指摘いただけるとありがたいです。追加・修正情報も歓迎します。

【おことわり】
ゲスト(未登録)ユーザーで投稿しようとした場合、本文にフル URL や [url] タグで設定されたリンクがあるとスパム判定されるケースがあります。
今回もその制約に引っかかって投稿できなかったので、「URL を自動的にパースしない」の設定で投稿しています。ご容赦ください。
投稿記事 Posted: 2013年8月07日(水) 20:36

All times are UTC + 9 hours


ページ移動:  
Powered by MozillaZine.jp® Forum Software © phpBB Group , Almsamim WYSIWYG
Japanese translation principally by ocean