こんにちは。


passe187
と申します。




FireFox
の
Ver3.6.16
を利用しているのですが、


対象の
FireFox
から
safebrowsing-cache.google.com
への


大量のアクセスが発生していました。


調べてみたところ、セーフブラウジングの機能で


urlclassifier3.sqlite
というファイルにブロックサイトの


リストを作成する通信の様ですが、大量の通信が


発生する契機があるのでしょうか？


また、発生契機があった場合、何が原因で


発生契機が発生するのでしょうか？




ご存じの方がいらしゃいましたら、


ご回答を宜しくお願いいたします。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.84 Safari/537.36

まず、最新版(通常版バージョン57.0.2、もしくは、ESR版バージョン52.5.2)に更新しましょう。
何故に危険すぎる古いバージョンをお使いなのでしょうか。


「本題」
大元となるリストが更新されれば、当然それを保存するファイルも更新されなければなりませんので、通信が発生します。
リストが更新されなければ、当然ファイルを更新する必要はありませんので、通信は発生しません。
更新があるか否かを問い合わせる通信もあるでしょう。


Windowsでもアップデートがあれば、更新のために通信が発生しますよね。
あるいは、アップデートがあるかないかを確認するための通信もあります。


難しいことではありません。

_________________
[Desktop] Windows 10 pro (64bit) / 16GB RAM

palさん
ご回答ありがとうございます。

＞まず、最新版(通常版バージョン57.0.2、もしくは、ESR版バージョン52.5.2)に更新しましょう。
＞何故に危険すぎる古いバージョンをお使いなのでしょうか。

社内システムにて、とある要件でどうしても本バージョンである必要があります。
(ローカルネットへの接続にのみ使用します)

＞大元となるリストが更新されれば、当然それを保存するファイルも更新されなければなりませんので、通信が発生します。
＞リストが更新されなければ、当然ファイルを更新する必要はありませんので、通信は発生しません。
＞更新があるか否かを問い合わせる通信もあるでしょう

11月中旬に、急に当該通信による帯域の使用量増加が発生していました。
(当該通信は日常的に発生していました。FireFox起動時、30分毎に行われている定期的な通信と思われます。)
そのため、急に通信量が増加した原因を調査中です。

急に通信量が増加した原因として、以下の二点を疑っています。
・リストの更新が大量に発生した。
・複数の端末にて同時にFireFoxを起動した。
上記の『リストの更新が大量に発生した』について、心当たり等ありませんでしょうか？
(リストの内容が大幅に変更された、リストファイルが削除されるトリガーがFireFox側に存在する、等)

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36

まず、社内システムへのアクセス専用に Firefox を利用しているはずが、実際には社外のインターネットに接続して通信していることを問題視すべきかと思います。
そして、社内LANにしかアクセスしないならセーフブラウジング機能は不要ですし、むしろ有効にすべきではありません。

下記を参考に社外アクセスを無効にする対策をおすすめします。

情報漏洩対策 | 技術的なよくある質問 | 法人向け情報 | Mozilla Japan コミュニティポータル

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0.1 Waterfox/56.0.1

遅ればせですが、横から失礼します。


ご事情はわかりました。
Firefox 3.6 系に絞った話ではありませんが、Firefox のセーフブラウジング機能に関連して経験的に知っていることを書きます。参考になる部分があれば活用してください。

（前提）
ご承知のように、Firefox のセーフブラウジング機能は、Google のセキュリティーサービスを利用しています。
これは、脅威となるサイトやプログラムなどの諸条件を定義したリストを定期的に更新することで、ブラウザ利用時にリアルタイムな安全対策をおこなう仕組みです。セキュリティ情報のリストを更新・提供するのは Google で、Firefox は定期的にこの情報を Google に確認しに行き、更新結果があればダウンロードします。
このサービス全体は、セキュリティ上の脅威の趨勢と有効性のある対策の在り様に応じて、Google 側でサービスが拡充・変更されているようですし、Firefox 側でもそれに対応してセーフブラウジング機能の実装状況が変化しています。

（現状）
現時点の最新バージョンである通常版の Firefox 57.0.x 系、ESR 版の Firefox 52.x 系では、すでに urlclassifier3.sqlite は使われていません。
古いバージョンから継続して同じプロファイルを使っていた場合は、昔の urlclassifier3.sqlite とその設定が残っていて、それなりに更新されている可能性はありますが、現役バージョンを新しいプロファイルで動作させても urlclassifier3.sqlite は生成されません。少なくとも、当方の環境ではそうなっています。

現役バージョンの Firefox では、マルウェア対策、フィッシング対策、ダウンロードに関するチェックなど、脅威となる項目ごとに複数のバイナリファイルに分けて、情報が保存・更新されています。
例えば当方の Windows 7 環境では、これらのデータは通常、
C:\Documents and Settings\<UserName>\Local Settings\Application Data\Mozilla\Firefox\Profiles\xxxxxxxx.default\safebrowsing\
に存在します。

（考察）
セーフブラウジング機能に関するアクセス先 URL の設定値は about:config から確認できますが、現役バージョンには safebrowsing-cache.google.com のドメイン名を含む項目は存在しません。Firefox 3.6 系ではどうだったか記憶していませんが、おそらくリダイレクト先のひとつだと思われます。
通常でも状況に応じたリダイレクトはありえますが、Firefox 3.6 系では初期値で存在するアクセス先 URL のほとんどが http ベースで指定されていたと思うので、セーフブラウジング関連の Google ドメインに http でアクセスするたび、https の別 URL にリダイレクトされるなど、現役バージョンより通信の経過が複雑になっている（それなりに通信量が増えている）可能性が考えられそうです。【下記（補足）参照】
（現役バージョンでは、URL 情報の初期値が原則的に https で指定されています。）

合わせて、Google のセキュリティーサービスに拡張や変更があれば、新しいバージョンの Firefox ではそれに対応したセーフブラウジング機能に改良されていきますが、Firefox 3.6 系は古い仕様のままで Google にアクセスしていることも考えられます。
仮に、Google 側が旧仕様への経過的な対応を終了したような事情があれば、現仕様から外れた Firefox 3.6 系 の要求とかみ合わなくなり、通常では起こらない余分な通信が発生している可能性も疑われます。


これは、一過的ではなく継続してそのような状況にあるということでしょうか。
仮に Firefox 3.6 の旧仕様での動作を前提にしたとき、ロ―カルに保存されていた urlclassifier3.sqlite が何らかの損傷を受けるか削除された場合、Firefox は定期確認のときに最新の全リストを丸ごとダウンロードすることになり、そのときは帯域の負荷が増す可能性はありえます。
しかし、urlclassifier3.sqlite が正常に戻れば、以降の定期確認では新たに更新された差分情報のみをダウンロードするはずなので、くり返し高負荷がかかることは考えにくいと思います。

Firefox 3.6 系は、すでに更新が止まったサポート対象外の製品なので、Firefox 3.6 自体に新たな変更がもたらされることはありえません。
「ローカルネットへの接続にのみ使用します」の意味に左右されると思いますが、Firefox 3.6 が定期確認のリクエストを発しても、ファイア―ウォールなどでインターネットへのアクセスが遮断されているのなら、Google のサービスの更新確認自体ができないので、全リストをダウンロードすることはできないように思います。つまり、通常の定期確認の通信で止まるだけでしょう。
Firefox 3.6 の使用条件が「ローカルネットへの接続にのみ使用します」であったとしても、実際にはインターネットへのアクセスが可能なら、旧バージョンゆえの制約により、上述のように現状の仕様から逸脱した不本意な通信が発生しているのかもしれません。


Firefox がクラッシュしたときなどに、urlclassifier3.sqlite が破損することはあったとしても、Firefox 自身が配下の urlclassifier3.sqlite を自発的に「削除」することはありえないと思います。
ただ、urlclassifier3.sqlite はデータベース形式なので、保存済みデータの読み出しや再利用に有利な点はありましたが、更新のくり返しによってファイルの肥大化を招きやすく、ディスクアクセスの頻度が上昇するというデメリットがありました。
長年の蓄積と、現行の Google のセキュリティーサービスとの乖離が組み合わさった結果、urlclassifier3.sqlite が頻繁に破損する可能性はありうるかもしれません。
また、ウィルス対策ソフトなど外部のプログラムが、肥大化したり、何らかの不具合を抱えた urlclassifier3.sqlite に干渉しているのかもしれません。

passe187 さんの管理下にある Firefox の現状がよくわかりませんが、urlclassifier3.sqlite の実情を確認してみれば、いまよりま見えてくることもあるのではないでしょうか。
urlclassifier3.sqlite がゼロバイトということはないと思いますが、極端に小さいサイズだとか、そもそも urlclassifier3.sqlite がどこにもなかったということになれば、定期的な更新確認のたびに Google から全リストをダウンロードするような事態が起こっていることも考えられそうです。

（補足）
「ローカルネットへの接続にのみ使用します」であっても、実際はインターネットへのアクセスがおこなわれているのであれば、次のような点にも十分な注意を払うことをお勧めしておきます。
Firefox 3.6 系では、https 通信をおこなう際、安全性の高い TLS の新しいバージョンが実装されておらず、深刻な脆弱性を持つことが分かっている SSL3 が初期状態で有効のはずで、既定のルート証明書と検証器まわりも古いまま（2012 年当時の実装？）だったと思います。
通常、不正利用が発覚した証明書があれば、アップデートの際に失効化の処理がおこなわれますが、サポートが終了して久しい Firefox 3.6 系をそのまま使い続けている状況では、こうした対応は自動的にはおこなわれず、すでに悪用されている不正な証明書を昔のまま信用した状態が起りえます。
このため、現役バージョンではブロックされるか警告が出る場面でも、Firefox 3.6 は危険性の高いウェブサーバーとの通信を警告なしで普通に確立できてしまったり、逆に安全性の高い接続を要求するサイトを利用できないケースが多くなると思います。

当方は実際に Firefox 3.6 を使っているわけではないので、記憶の域を出ない話もあると思います。そのあたりは割り引いてお考えください。
でも結論としては、Firefox 3.6 系の使用を前提とするのなら EarlgreyTea さんのアドバイスが最も現実的だと、ぼくも思います。

とりあえず以上です。的外れな話になっていたらすみません。
間違ったことを書いていたら、どなたか訂正のツッコミをお願いいたします。

（おことわり）
現在、健康上の制約により不定期な書き込みしかできなくなっています。すぐに応答できない場面がかなり多くなりますことを、ご容赦ください。

_________________
Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:57.0) Gecko/20100101 Firefox/57.0