| MozillaZine.jp フォーラム https://forums.mozillazine.jp/ |
|
| マスターパスワードが要求されない https://forums.mozillazine.jp/viewtopic.php?f=3&t=10600 |
ページ 1 / 1 |
| 作成者: | okie1jp [ 2010年9月02日(木) 11:57 ] |
| 記事の件名: | マスターパスワードが要求されない |
良くある、設定していないのにマスターパスワードを求められる、とは全く逆の現象です。 当方、マスターパスワードを設定していて、3.0の頃は普通に使えていたのですが、3.1.2にアップグレードしたところ、いきなりサーバのログイン・パスワードになってしまいます(以前は、マスターパスワード⇒サーバのログイン・パスワードの順)。 社内の規定で、マスターパスワードが無いとセキュリティのコンプライアンス上まずいので....。 いまさらBecky!なんか使いたくないですし。 OS:WinXP SP3 Thunderbird:3.1.2 |
|
| 作成者: | Cai [ 2010年9月02日(木) 12:25 ] |
| 記事の件名: | Re: マスターパスワードが要求されない |
okie1jp さんが書きました: 当方、マスターパスワードを設定していて、3.0の頃は普通に使えていたのですが、3.1.2にアップグレードしたところ、いきなりサーバのログイン・パスワードになってしまいます(以前は、マスターパスワード⇒サーバのログイン・パスワードの順)。
設定したはずのマスターパスワードが勝手に解除されるというのは考えにくいのですが、一度設定画面からマスターパスワードの使用を解除して再度使うように設定するといかがでしょうか? # 本来であればマスターパスワードの使用の有無の設定自体にもマスターパスワードが必要です # 無理やり外すこともできますが、記憶されている既存のパスワードを道連れにしないと外せません |
|
| 作成者: | okie1jp [ 2010年9月02日(木) 14:07 ] |
| 記事の件名: | Re: マスターパスワードが要求されない |
Cai さんが書きました: okie1jp さんが書きました: 当方、マスターパスワードを設定していて、3.0の頃は普通に使えていたのですが、3.1.2にアップグレードしたところ、いきなりサーバのログイン・パスワードになってしまいます(以前は、マスターパスワード⇒サーバのログイン・パスワードの順)。 設定したはずのマスターパスワードが勝手に解除されるというのは考えにくいのですが、一度設定画面からマスターパスワードの使用を解除して再度使うように設定するといかがでしょうか? # 本来であればマスターパスワードの使用の有無の設定自体にもマスターパスワードが必要です # 無理やり外すこともできますが、記憶されている既存のパスワードを道連れにしないと外せません Cai様 ありがとうございます。 マスターパスワードは設定されていますし、チェックボックスはチェックされたままです。再設定も何回かやってみました。 パスワード周りのレジストリが破損しているのでは? と疑っていますが、如何せん、そのあたりの情報は持ってませんので。 |
|
| 作成者: | kiki [ 2010年9月02日(木) 15:44 ] |
| 記事の件名: | Re: マスターパスワードが要求されない |
パスワード関連のファイルが壊れているか、書き込みや保存がうまくできない状態になっ ていると思われます。 以下のドキュメントを参照して「回避策」を試してみてください。 *ログインパスワードなどもリセットされるため送受信の際には再度パスワードの入力が 必要になると思います。 Mozilla Messaging / ナレッジベース / 設定していないのにマスターパスワードを求められる それでもだめな場合は新規プロファイルの作成とその適用です。 *最初からアカウント設定もやり直すという方法です。 もちろんアドオンを利用されていたら新たに入れ直しです。 *正常であることが確認できたらメッセージデータ、アドレス帳データの復元(移行コピー) 程度に留めておく方がいいでしょう。 [参照] Mozilla Messaging / ナレッジベース / 複数のプロファイルを使用する Mozilla Messaging / ナレッジベース / プロファイル Mozilla Thunderbird 3.1.2 リリースノート - トラブルシューティング |
|
| 作成者: | okie1jp [ 2010年9月02日(木) 15:56 ] |
| 記事の件名: | Re: マスターパスワードが要求されない |
kiki様 試してみましたが、ダメでした。 それどころか、ログインパスワードもリセットされません。 再インストールしてもダメでしたので、やっぱり、どこか壊れてるんでしょうね。 |
|
| 作成者: | okie1jp [ 2010年9月02日(木) 16:13 ] |
| 記事の件名: | Re: マスターパスワードが要求されない |
Cai様、Kiki様 ありがとうございます。 結論から行きますと、使えるようになりました、が、動作的にこれで正しいのか....。 (先のKiki様へのレスポンスは勘違いでした) 3.0.xの頃は、マスターパスワードでThunderbirdにログインしてから、さらにサーバにログインする手順だったのですが、3.1.2はサーバへのログインが先に来て、そこでサーバへのパスワードを入力すると、マスターパスワードを無視してしまうようです。 ログインパスワードをパスワードマネージャに登録したところ、マスターパスワードの入力ダイヤログ・ボックスが出てきました。 でも、これって、振る舞い的に正しいとは思えないんですが....。 動作的には、起動時にマスターパスワードを入力し、サーバへ最初にアクセスするときにログイン・パスワードを要求される(登録していればすっ飛ばしてもかまわない)、という手順が正しいと思うんですが....。 ちなみに、弊社では上記に2段階ログイン(アプリケーション→サーバーの順に都度パスワードを入力)が推奨されているので、ちょっと困ってます。 |
|
| 作成者: | kiki [ 2010年9月02日(木) 16:31 ] |
| 記事の件名: | Re: マスターパスワードが要求されない |
新規プロファイルでも再インストールでも改善されないのでしたら問題は Thunderbird 以外に あると思われます。 OS の状態が不安定になっているケースでしょうか。 あるいは何か他のアプリケーションが影響を与えているケースでしょうか。 他のアプリケーションでメールソフトのパスワード関連を管理するもので思い当たるものはあり ませんか? セキュリティ対策ソフトなどにもパスワード保護や制御をおこなうものがありますが・・・・。 また社内的に Thunderbird がどのように管理されているかでも影響を受ける可能性もあるで しょう。 ローカルマシンでもクライアントサーバとの接続の関係でプロキシがあるとか・・・・。 Thunderbird の仕様と社内のサーバや接続の仕様がマッチしていないとか・・・・。 社内環境は通常の個人の自宅環境とはまったく同じではないことがあるのでこれ以上はわか りませんね。 |
|
| 作成者: | okie1jp [ 2010年9月02日(木) 16:37 ] |
| 記事の件名: | Re: マスターパスワードが要求されない |
kiki様 レスのタイミングで内容がかみ合わなくなってしまいましたが、結論からいうと、Thunderbirdもシステムも機能的には問題ありませんでした。わたし的には仕様に問題はありますが。 3.0.xから3.1.xにバージョンアップした再にパスワード・ハンドリングの順番が何故逆になったのかが理解できませんが、この振る舞いの差で勘違いしてしまったのが原因です。 先のレスでも書いてますが、パスワード・ハンドリングの振る舞いとしては順番が間違っているような気がします。 |
|
| 作成者: | kiki [ 2010年9月02日(木) 18:00 ] |
| 記事の件名: | Re: マスターパスワードが要求されない |
マスターパスワードについては以下のドキュメントを参照してください。 Thunderbird サポート - 使い方ガイド - プライバシーとセキュリティ - マスターパスワード Master password - MozillaZine Knowledge Base(英語) 次に起動時にマスターパスワードを求められるのはアカウント設定内で「新着メッセージがないか 起動時に確認する」にチェックがあるかどうかで挙動が変わります。 必ずしも起動時にパスワードを求める機能ではありません。 そしてサーバへのアクセス時に最初にマスターパスワードの入力が求められずにサーバへのログ インパスワード入力が求められるのはログインパスワードがまだ保存されていない状態の場合の ようです。 一旦ログインパスワードが保存されると次回のサーバへのアクセス時にはマスターパスワードの入 力を最初に求められるようになります。 ログインパスワードが保存された後はアカウント設定内で「新着メッセージがないか起動時に確認 する」にチェックが入っていなくともアクセス時にはマスターパスワードの入力を求められるかと思い ます。 つまりサーバへのアクセス時(セッション時)にはマスターパスワードが必要になります。 もしそれが無いとしたら先にコメントしたとおりです。 |
|
| 作成者: | okie1jp [ 2010年9月03日(金) 08:26 ] |
| 記事の件名: | Re: マスターパスワードが要求されない |
kiki様 現状の仕様に関しては理解しました。しかしながら、なぜわざわざ3.0.xから振る舞いを変えたのかは疑問ですといわざるを得ませんね。 企業の情報セキュリティの観点からはメール・クライアント・アプリケーション起動時のパスワードは必須です。 そういう意味ではThunderbirdのパスワード・ハンドリングは残念な仕様といわざるを得ないですね。 この問題と、添付ファイルとしてのショートカットの問題の残念な仕様(インターネットではありえませんが、イントラネットではショートカットを添付するのは極当たり前の使用方法で、メールサーバのストレージ圧迫の回避策として推奨されています)が改善されればもっと普及させることが出来ると思うんですが。 |
|
| 作成者: | Cai [ 2010年9月03日(金) 11:03 ] |
| 記事の件名: | Re: マスターパスワードが要求されない |
okie1jp さんが書きました: 現状の仕様に関しては理解しました。しかしながら、なぜわざわざ3.0.xから振る舞いを変えたのかは疑問ですといわざるを得ませんね。 企業の情報セキュリティの観点からはメール・クライアント・アプリケーション起動時のパスワードは必須です。 そういう意味ではThunderbirdのパスワード・ハンドリングは残念な仕様といわざるを得ないですね。 もともとマスターパスワードは保管されているアカウント情報保護のためのものですので。 起動時パスワードについてはアドオンがあります。 3.1への対応不明かつ気休め程度ですが(セーフモードで回避可能) okie1jp さんが書きました: この問題と、添付ファイルとしてのショートカットの問題の残念な仕様(インターネットではありえませんが、イントラネットではショートカットを添付するのは極当たり前の使用方法で、メールサーバのストレージ圧迫の回避策として推奨されています)が改善されればもっと普及させることが出来ると思うんですが。
旧バージョンでは可能でしたがセキュリティ上の理由で不可能にされたものです。 「改善」はないでしょうね。 |
|
| 作成者: | kiki [ 2010年9月03日(金) 14:02 ] |
| 記事の件名: | Re: マスターパスワードが要求されない |
okie1jp さんが書きました: 現状の仕様に関しては理解しました。しかしながら、なぜわざわざ3.0.xから振る舞いを変えたのかは疑問ですといわざるを得ませんね。 私もなぜ挙動が変更されたのかまではわかりません。 が先に紹介したようにアカウント設定で「新着メッセージがないか起動時に確認する」にチェックを 入れておくことでとりあえずご希望の挙動になります。 先に Cai さんから補足がありましたが、3.0 系までの仕様はおまけ的なものだったと考えています。 それは起動時にパスワードを保護する目的ではないからです。 たまたま起動時に機能していたと云えば乱暴かも知れませんが・・・・。 okie1jp さんが書きました: 企業の情報セキュリティの観点からはメール・クライアント・アプリケーション起動時のパスワードは必須です。 そういう意味ではThunderbirdのパスワード・ハンドリングは残念な仕様といわざるを得ないですね。 とはいうものの特に企業内で使用する際は起動時にパスワードの入力を必要とする機能はセキュリティ上 好ましいことに間違いありませんよね。 Thunderbird が選ばれる理由のひとつになっているとしたら大きな痛手かも知れません。 一方でどんなアプリケーションもすべて起動時や何かの操作をおこなう際にパスワードを必要とするものば かりではありません。 「企業の情報セキュリティの観点からはメール・クライアント・アプリケーション起動時のパスワードは必須」と のことですが、何もメールクライアントだけに限らず情報セキュリティでいえばブラウザなど多くのアプリケー ションが該当します。 ここはひとつ前向きに捉えてこれを機会にセキュリティについて再考するのもいいかも知れません。 例えば企業内で利用するアプリケーションのすべてについて(クライアントマシンでも)起動時や特定の操作 をおこなう際にはパスワード入力が必須にできるシステムを考えてみるなどです。 つまりアプリケーション固有の機能に依存しないという志向です。 もちろんコストとの兼ね合いなど多種の問題をクリアしなければならないでしょうが個人ができるセキュリティ という枠から企業内・職場内のセキュリティという枠に置き換えればいいかと感じます。 簡単にいえば企業内の情報セキュリティはルールを設けるだけではなく、また同時に個人まかせにしないと いうことですね。 【余談】 okie1jp さんが書きました: この問題と、添付ファイルとしてのショートカットの問題の残念な仕様(インターネットではありえませんが、イントラネットではショートカットを添付するのは極当たり前の使用方法で、メールサーバのストレージ圧迫の回避策として推奨されています)が改善されればもっと普及させることが出来ると思うんですが。
当たり前の使用方法にセキュリティ上のリスクがあるとしたらどう思います? それでも使い勝手を優先しますか? イントラネット内でも侵入者や攻撃者が絶対存在しないと言い切れますか? セキュリティ上のリスクがあればそれを回避・修正するべきでそれまでの「当たり前」を変更することが当たり 前にならないと「企業の情報セキュリティの観点」でもよろしくないのでは? 私が過去のセキュリティ修正で記憶に残っているもので以下があります。 MFSA 2005-21: .lnk ファイルを 2 回ダウンロードすることで任意のファイルが上書きされる [参照] Mozilla Foundation セキュリティアドバイザリ |
|
| 作成者: | okie1jp [ 2010年9月03日(金) 16:47 ] |
| 記事の件名: | Re: マスターパスワードが要求されない |
kiki様 弊社の場合、メール・クライアント起動までにはBIOSパスワード、PCへのログインパスワード(この2件は普通だと思いますが)、アプリケーション起動パスワード、メールサーバのパスワード(省略してもいいけど、推奨はされていない)となります。 イントラのWebベースのアプリもイントラに一度ログインしないと使えません。 最初の頃はうざったかったんですが、慣れると逆にこのプロセスを通過しないと不安になりますね。 余談のほうですが、コストも重要なファクターになりますよね。 ストレージを増やし、イントラネットのバンド幅を広くすることが出来ればそうしたいですが、簡単に投資出来るようなものでは無いですし。 セキュリティ・リスクに対するコストと利便性確保のコストとは常に天秤になると思います(もっとも、弊社の場合、イントラ内での攻撃はかなり難しいですけどね)。 でも、他の似たようなアプリが使える機能が選択も出来ないのはマイナス・ファクターだと思いますよ(わたしは適当にごまかしてでかいファイルを送ってますけど)。 機能としては実装して、使用環境に合わせて選択できる(リスクは利用者が理解した上で被る)のが一番望ましいと思います、が、そういう意識を持った人ばかりじゃないという大問題があるのも事実ですし。 悩ましいところです。 |
|
| 作成者: | Sakuraya [ 2010年9月04日(土) 13:16 ] |
| 記事の件名: | Re: マスターパスワードが要求されない |
#オフトピです。 ショートカットの添付についてですが、本文中に該当ファイル/ディレクトリのアドレスを書くのではダメなのでしょうか? |
|
| ページ 1 / 1 | All times are UTC + 9 hours |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|