Firefox Quantum Extended Support Release 60.6.1esr (64-bit)の利用者です。

今回初めての投稿です。よろしくお願いします。色々と勉強不足の点も多々あるかと思いますが、お手柔らかにお願いします。

件名についてですが、私のバージョンのFFの設定ですと、デフォルトでfileプロトコルによるローカルファイルへのアクセスが有効になっていました。この状態ですと、セキュリティ上問題があるのではないかと考え、以下の手順により、file://ではじまるuriからのローカルファイルに対するアクセスを無効化しました。

1.1. about:configからの詳細設定画面の表示
1.2. fileuriで検索
1.3. browser.tabs.remote.separateFileUriProcessのValueをtrueからfalseへ変更
1.4. browser.tabs.remote.allowLinkedWebInFileUriProcessのValueをtrueからfalseへ変更

この操作についてお尋ねしたい点は3点

2.1. file://を接頭辞とするuriを入力してローカルファイルへアクセスすることを禁止するには1.3.の操作を行なえば良いことは分かったのですが、1.4.の操作が必要なのかどうか？というのが、手探りでやっているため、判然としないところです。表示されているPreference Nameから、これはウェブ上のリンクとして件のuriが表示されていた場合、そこからのアクセスを可能にするものと理解しているのですが、この点、合っていますでしょうか？また、上述の1.4.の操作を行うことに意味はありますか？
2.2. 基本的な話しかもしれませんがfile://によるローカルファイルへのアクセスが可能な状態におけるセキュリティ上の問題は具体的にはどのようなことが考えられるのでしょうか？個人的にJavascriptによる悪意のあるプログラムからの情報漏洩の可能性を懸念しているのですが、そのようなことは現実に考えられるでしょうか？
2.3. その他にFFを利用する上でセキュリティ上注意して、自分で設定しておくべき事項があるようでしたら併せてご教示いただけると幸いです。

よろしくお願いします。

https://bugzilla.mozilla.org/show_bug.cgi?id=1332703
より抜粋。

The browser.tabs.remote.separateFileUriProcess pref controls whether we have a separate process at all. It's not a security setting as such.

ということなので、1.3はセキュリティには関係ないようです。

_________________
[Desktop] Windows 10 pro (64bit) / 16GB RAM

palさんありがとうございます。取り急ぎお礼まで。

firefoxのサンドボックスのセキュリティレベルとの関係でbugzillaで言及があったのですね。

企業などでfirefoxを利用している場合、セキュリティポリシーによりfile://を利用したローカルファイルへのアクセスを無効にしているケースが多々あると聞くのですが、1.3.の操作については特にセキュリティ上の根拠はないということなのでしょうか...？

以下が言及のある外部リンクです。

qiita: Firefoxからローカルフォルダーをブラウザで開く方法(file://～)
https://qiita.com/lulucowcow/items/c29ca8255a149364e728

ムコの戯言帳: Firefoxからファイルリソース(file://～)にアクセスする方法
https://plumpliver.com/post-5296/

どうもオリジナルのfirefoxのソースコードだと、いずれのPreference Nameのパラメータもfalseらしいですね。

https://dxr.mozilla.org/mozilla-release ... SUtils.jsm

英語でも同様の質問をしたところ、以下のバクレポートを紹介されました。

Bug 1317921 - Handle nested file URIs with the file content process

確認しましたが、Firefox 66ではどちらもtrueが初期値です。
そのバグは54当時のものなので、その後に変更された可能性があります。

_________________
[Desktop] Windows 10 pro (64bit) / 16GB RAM

ありがとうございます。

まだバグレポート読み切れてないのですが（すみません...）、一先ず、ブラウザの入力欄でfile://を使ってローカルファイルへのアクセスを禁止したい場合は、前述の1.3.の値をfalseにすれば良いというのは間違いないのでしょうか？


今回palさんは添付ファイルで詳細設定画面における"fileuri"という検索語で実際に検索された結果を提示されてますが、これらはいずれも値をfalseにしておいてた方がよいのでしょうか？


これデフォルトのままだと不味いとかいうことは、ないですよね...ないとは思いますが...
度々申し訳ありません。よろしくお願い致します。

問題があるものが初期値にはならないと思うので、今のところは、trueで大丈夫だと思います。

_________________
[Desktop] Windows 10 pro (64bit) / 16GB RAM

うっ...そうですか。うーん。もう少し確固たる裏付けがほしいところですが...それを言い出すと究極的に「ネット使うな」になってしまいますね。ただ、企業などで、file://からのアクセスを禁止するセキュリティ上の理由というのが、よくわからないのです。

about:configの設定について体系的に説明しているドキュメントがあると本当はありがたいのですが、このあたりの解説を読んで自分で勉強するしかないのでしょうか...？

http://kb.mozillazine.org/About:config_entries

お手を煩わせてしまって申し訳ありません。

ありがとうございます。


少し技術寄りの話はBugzillaの投稿をグーグルで「site:」検索することによって確認するというのが良いようですね。勉強になりました。

当初の私の疑問点が曖昧になってしまったので、ここで以下に三つの質問内容を再掲しますね。

2.1. file://を接頭辞とするuriを入力してローカルファイルへアクセスすることを禁止するには1.3.の操作を行なえば良いことは分かったのですが、1.4.の操作が必要なのかどうか？というのが、手探りでやっているため、判然としないところです。表示されているPreference Nameから、これはウェブ上のリンクとして件のuriが表示されていた場合、そこからのアクセスを可能にするものと理解しているのですが、この点、合っていますでしょうか？また、上述の1.4.の操作を行うことに意味はありますか？
2.2. 基本的な話しかもしれませんがfile://によるローカルファイルへのアクセスが可能な状態におけるセキュリティ上の問題は具体的にはどのようなことが考えられるのでしょうか？個人的にJavascriptによる悪意のあるプログラムからの情報漏洩の可能性を懸念しているのですが、そのようなことは現実に考えられるでしょうか？
2.3. その他にFFを利用する上でセキュリティ上注意して、自分で設定しておくべき事項があるようでしたら併せてご教示いただけると幸いです。

横から失礼します。
ぼく自身は技術者でもなんでもない一介のエンドユーザーに過ぎませんが、自身のネット利用の中で把握していることを書いてみます。


ユーザーが、ローカル（例えば、自分の PC の C ドライブ）に置かれている HTML ドキュメントを、Firefox の [ファイルを開く] から読み込みことは普通にできます。
このとき、アドレスバー（ロケーションバー／URL バー）には、file：///C:/ で始まる URL が表示されます。この URL をブックマークすれば、その後はブックマークからそのファイルを簡単に開けるようになります。


セキュリティ―上の制約については、"ローカルにあるファイルへのリンク（file：// URLs ）を Web コンテンツからたどること" が初期値で制約されているという話だと、ぼくは理解しています。
例えば、資料調べの中であるサイトのページを [名前を付けてページを保存] し、あとでオフラインで読もうとしても、ローカルに保存した HTML ドキュメントが読み込めないのでは困りますし、保存の意味がありません。
一方、Web 上のコンテンツからローカルのファイルへリンクが通り、インターネット経由で簡単に開けてしまうのは、いろんな意味で心配です。
（参考）
・Links to local pages do not work - MozillaZine Knowledge Base
kb.mozillazine.org/Links_to_local_pages_do_not_work

・Security Policies - MozillaZine Knowledge Base
kb.mozillazine.org/Security_Policies


この項目は、file：// URLs のアクセスを、別プロセスで実行するかどうかの選択項目で、初期値は有効（＝別プロセスで実行する）、というものだったと思います。
Firefox 60.x 系は、初期状態でマルチプロセスが有効化されていますから、この設定値を false にして無効化すると、別プロセスでのアクセスが停止されるため、file：// URLs のアクセスができなくなる、というだけの話ではないかと思います。

ちなみに、browser.tabs.remote.autostart を false に変更してマルチプロセス自体を無効化すると（要再起動）、browser.tabs.remote.separateFileUriProcess が false でもローカルファイルへのアクセスはできるようになります（マルチプロセス化以前の旧仕様にもどるだけ？）。

ご質問にあるもう一つの項目も、マルチプロセス化の文脈で、別プロセスで処理するかどうかの選択だと思います。別プロセスのサンドボックス強度などは、考慮されていると思いますが...。（具体的な典拠は思いつきません）

ただ、そのあたりを承知のうえでアクセスを遮断したいのなら、ご提示の２つの項目に一定の効果は期待できるかもしれません。


例示されているサイトは２つとも、file：// URLs のアクセスを可能にする方法が書かれています。
ぼく個人は、どちらかというと、「ローカルファイルへのアクセスを無効にしているケース」よりは、イントラネット内で file：// URLs を通したいといった意味で、"アクセスできるようにしたい" というニーズのほうをよく聞きます。

セキュリティポリシー（CAPS）については、経過があるようです。
ぼくが知っている範囲でいえば、次のようなページの記述を追っていくと、現状がどうなっているか分かるんじゃないかと思います。
（参考）
・ドメイン別設定可能セキュリティポリシーは利用できなくなりました (影響あり) | Firefox サイト互換性情報
www.fxsitecompat.com/ja/docs/2014/per-domain-configurable-security-policies-are-no-longer-available/

・Firefox 29で削除されたセキュリティポリシー機能と、その代替手段 - ククログ(2015-06-12)
www.clear-code.com/blog/2015/6/12.html


上に挙げた MozillaZine Knowledge Base のページ、とくに Security Policies の Overview あたりからたどっていくと、いまある懸念も具体的に理解できるのではないかと思います。


個人または法人が、どのような水準のセキュリティーを維持したいのかによって、アドバイスの内容は変わってくると思います。
無条件にセキュリティーをガチガチに固めれば安全性は増すかもしれませんが、利便性は極端に低下しますから、そんなブラウザは実用面で使い物にならないと思います。
個人の経験の範囲でざっくりした印象を申し上げると、自分で明確に判断できない設定項目は、Firefox のデフォルトで使うのが一番安定していて、セキュリティーと実用性のバランスが取れているように思います。

とりあえず以上です。見当違いなことを書いていたらすみません。


（おことわり）
現在、健康上の制約により不定期な書き込みしかできなくなっています。すぐに応答できない場面がかなり多くなりますことを、ご容赦ください。

_________________
Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:66.0) Gecko/20100101 Firefox/66.0

偶然的通行人さん

こんにちは。

返信が遅くなり申し訳ありません。丁寧なご説明、どうもありがとうございます。
セキュリティポリシー関連の情報大変助かります。もう少し読み込む必要があるとは思いますが、現状、纏められる範囲を簡単にですがまとめてみました。御指摘などありましたら、何なりと...

A）Firefoxを使ったローカルファイルの閲覧について
1. Firefoxは、デフォルトでローカル上にあるHTMLドキュメント等をブラウザから開くことができる。
2. Firefoxで、ローカルのファイルを読み込んだ場合、ブラウザ上から指定したファイルの閲覧ができる。この場合、file://を接頭辞とするURIがアドレスバーに表示される。また、アドレスバー上で、ローカルのファイルのパスを、file://URLsという形で指定した場合でも、同様に指定したファイルの閲覧ができる。
3. 現在のマルチプロセスFirefoxでは、file://URLsのアクセスを別プロセスで実行する設定が既定で有効になっていることから、このような仕様になっている。

B）メリットとデメリット
1. メリット
⇒ 資料調べの中であるサイトのページを [名前を付けてページを保存] し、あとでオフラインで読むなどの用途で、ローカルに保存した HTML ドキュメントが読み込める。
⇒ ドキュメントブラウザを複数立ち上げるのではなく、Firefoxのタブ上で、種々のファイルを閲覧することができる。
2. デメリット
⇒ WEB上のコンテンツからローカルのファイルへリンクが通り、インターネット経由で簡単に開ける点について、セキュリティ上の懸念がある。
⇒悪意のあるプログラムによる情報漏洩の懸念がある...?[要確認]

C）Firefoxからローカルファイルへのアクセスを禁止する方法
1. about:configからの詳細設定画面の表示
2. fileuriで検索
3. browser.tabs.remote.separateFileUriProcessのValueをtrueからfalseへ変更
⇒ マルチプロセスFirefoxにおいて、この値をfalseにすると別プロセスからのアクセスが停止されるので、file://URLsによるローカルファイルへのアクセスができなくなる？[要確認]
4. browser.tabs.remote.allowLinkedWebInFileUriProcessのValueをtrueからfalseへ変更
⇒ ウェブ上のリンクとしてローカルのURIが表示されていた場合、そこからのアクセスを可能にするもの？[要確認]
⇒ 3.同様、マルチプロセス化の文脈で、別プロセスで処理するかどうかの選択？この場合、別プロセスのサンドボックス強度を考慮することが必要か？[要確認]

D）C)の操作を行うことの注意点
1. C)の操作を行っていたとしてもbrowser.tabs.remote.autostartの値がfalseになっていた場合、ローカルファイルへのアクセスが可能になる。
2. Firefoxを利用する上で、アプリケーションを利用する主体が、個人か法人かで、求められるセキュリティの水準は異る。セキュリティの強度と利便性はトレードオフの関係になっており、セキュリティの強度を高めれば、安全性は向上するが、利便性は損なわれる。個人利用の場合、自分で明確に判断できない設定項目は、Firefoxのデフォルトで使うことが一番安定している。

palさん、偶然的通行人さんありがとうございました。偶然的通行人さんにおかれましては、お身体お大事になさってください。

またご指摘、補足事項、修正事項などありましたら、よろしくお願い致します。引き続き私の方でも色々と調べてみますね。

素早い応答ができなくてすみません。
現状のまとめ、ありがとうございました。＞ mosso さん

技術的な話はあまり自信がないので、詳しい仕様をご存知の方、別の情報をお持ちの方から、フォローいただけると幸いです。


Firefox の [ファイルを開く] 、[名前を付けてページを保存] のメニュー項目はマルチプロセスになる前のバージョンから存在しており、ローカルにある HTML ドキュメントを開くことができました。マルチプロセス化されたからそうなったわけではありません。


これが標準では制限されていて、ニーズがあって有効化したい場合はセキュリティポリシー（CAPS）で許可設定をおこなうことができる、ということだと思います。（CAPS の機能は Firefox 29.0 以降で大半が削除されていますが、本件に関するものはまだ残されいるみたいです。）
mosso さんご自身が「以下が言及のある外部リンクです」として例示しておられるサイトでも、禁止ではなく許可する方法が紹介されています。


ご提示の設定項目は２つとも、「Firefoxからローカルファイルへのアクセスを禁止する」ことを目的に設けられたものではなく、FileUri 関連の動作を別プロセスで実行するか否かを指定することが目的の項目です。
現在の Firefox がマルチプロセスで動作していることをふまえて、初期値は別プロセスで実行する設定になっています。別プロセスでの実行はサンドボックスで保護されます。

　browser.tabs.remote.allowLinkedWebInFileUriProcess のほうは、"ローカルにあるファイルへのリンク（file：// URLs ）を Web コンテンツからたどること" が制限されている既定状態では実質的な意味はなく、ユーザーが望んで CAPS によりそれを有効化したとき、そのアクセスが別プロセスで実行されるのが初期値になっている、ということだと思うのですが...。

[ファイルを開く] からローカルにある HTML ドキュメントを開くこと自体を絶対的に禁止したい（Microsoft Edge のように？）という目的に対して、browser.tabs.remote.separateFileUriProcess の設定値を変更する方法を使いたいというお話だとしたら、ぼくには前便で書いたこと以上の良し悪しを述べることはできません。


ぼくの前便の書き方がそのように受け取れる内容だったならお詫びしますが、単純に「法人」対「個人」を比較したつもりはありませんでしたし、「トレードオフ」という言葉を安易に使うのは避けたつもりでした。

法人という集団単位と、単立の個人ユーザーでは、ブラウザの運用ニーズに傾向としての違いがあるのはたしかですが、そこだけで終わる話ではなく、数ある法人の中にもセキュリティーに対する考え方や要求水準に違いはありますし、大勢いる個人の中でも同様のことがいえます。
それだけ多様なので、mosso さんご自身の要求水準がどんなものかによって、寄せられるアドバイスの内容も変わってくるでしょう、と言いたかったのです。
そこを具体的に示さないまま、「その他にFFを利用する上でセキュリティ上注意して、自分で設定しておくべき事項」と漠然と問われても、なかなか応答しにくいと思います。「〇〇の結果を望む」のなら「□□の設定を aaa に変更を」という回答もあるでしょうし、「▲▲の結果を望む」のであれば「□□の設定はそのままで△△を bbb に」といった回答が寄せられることもあるでしょう、という話です。

傾向はそうかもしれませんが、単純にトレードオフの一言で片づけられないのは、例えば企業内のブラウザに最高のセキュリティ―制限を設けたとします。しかし、その使い勝手に不満を持った複数のユーザーが自前で別のブラウザを使ったり、裏技的な回避策に走るようになると、逆にヒューマン・セキュリティーホールが拡大しかねません。セキュリティー上の制約が複雑過ぎて、極めて操作性の悪い状態で固定してしまうと、ユーザーの操作ミスが増え、そこからセキュリティ―的なほころびや生産性の大幅な低下を招く懸念が生じます。
そのブラウザだけを見ればセキュリティーは間違いなく強化されていても、それを利用する環境全体のセキュリティーが向上しているかと問われれば、はなはだ疑問...というような状態が現出する可能性があるわけです。利便性の低下を受け入れれば、確実にセキュリティー強度が上がる、とは限らないので「トレードオフ」という言い方を避け、ただ現実の一端を示唆したつもりでした。

「セキュリティ―」という概念そのものが難しいと思います。
あるソフトウェアのセキュリティー設定を最高レベルに上げました。一方、そのソフトウェアと連携して動作する別のソフトウェアのセキュリティー設定は最低レベルになっています。それらが稼働するシステム全体のセキュリティ―の状態はどう判断すればいいのでしょうか......みたいな。
（現実には、そのシステムを使うユーザー＝人間の行動が加わってきて、ますます複雑になりますし...。）

mosso さんご自身が思い描くセキュリティ―の目標（理想？）に照らして、Firefox にローカルのファイルを開かせないようにすることで、何を達成したいとお考えなのでしょうか。
そういったこと（上記「〇〇の結果を望む」のようなこと）をきちんとお示しいただければ、他のユーザーさんたちからのご助言が寄せられやすくなるのではないかと思います。

いろいろ申し上げましたが以上です。おかしなことを書いていたらすみません。


（おことわり）
現在、健康上の制約により不定期な書き込みしかできなくなっています。すぐに応答できない場面がかなり多くなりますことを、ご容赦ください。

_________________
Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:66.0) Gecko/20100101 Firefox/66.0