【事例報告】 訪問したページをサムネイル画像で保存しないようにする方法について

[kiyo4_k]

この件、modestに「「新しいタブページ(New Tab Page)」のサムネイル画像表示がセキュリティ的にヤバイようです！」と投稿・公開しておいたのですが、modestな人に「レビュー待ち」の状態に変更されてしまって非公開な状態になってました。;_;

私は 当該のmodestの投稿は読んでいないのでどんな書き方や内容なのかを知らないのですが、モデレートにより非公開にした理由として中の人の考えとしては、
・個人ブログじゃないのだからもう少し書き方に気を配って欲しい
・modest に投稿するような案件ではない
また、以下の考えは複数の意見らしいですが、
・問題だと思うなら Bugzilla に報告すべき
というのを見かけました。
Mozillaとしては既に手当てをしているらしく、それ以上の問題が有るならBugzillaでディスカッションすべきだという考えなのでしょう。


私個人の考えですが、
＃どんな文章だったのかというのには興味は有りますが
当事者のバッキーさんにしたら、ヤバイから隠してしまったと思われるかもしれないですが、そんな雰囲気は無さそうです。
本当にヤバイという案件になるのなら、感情的にはならないようにして中の人に非公開に変更された理由の説明を求めてみるのも良いのかもしれません。
ただ、既に以下のような日本語の記事も有るようで、簡単に検索で見つけられるのにこれを見つけられなかったのかという考えも見かけました。
http://www.computerworld.jp/topics/605/204203

また、本当にセキュリティの問題が有る場合はMozilla製品に限ったことではなく、開発者に通知を行って一定期間の猶予を与えてから公開するのが一般的になっていると思います。この順序を間違えて悪用される事を防ぐのが目的とも言えるようですが、MSの脆弱性措置も他の製品の公表もそうなっていますよね。

[バッキー]

kiyo4_kさん、返信ありがとうございます。

私は 当該のmodestの投稿は読んでいないのでどんな書き方や内容なのかを知らないのですが、モデレートにより非公開にした理由として中の人の考えとしては、
・個人ブログじゃないのだからもう少し書き方に気を配って欲しい
・modest に投稿するような案件ではない
また、以下の考えは複数の意見らしいですが、
・問題だと思うなら Bugzilla に報告すべき
というのを見かけました。
Mozillaとしては既に手当てをしているらしく、それ以上の問題が有るならBugzillaでディスカッションすべきだという考えなのでしょう。

それなら、それでもいいんですが、こっそり非公開にするのではなく事後でもいいので一言連絡して欲しいと思います。

私個人の考えですが、
＃どんな文章だったのかというのには興味は有りますが
当事者のバッキーさんにしたら、ヤバイから隠してしまったと思われるかもしれないですが、そんな雰囲気は無さそうです。
本当にヤバイという案件になるのなら、感情的にはならないようにして中の人に非公開に変更された理由の説明を求めてみるのも良いのかもしれません。
ただ、既に以下のような日本語の記事も有るようで、簡単に検索で見つけられるのにこれを見つけられなかったのかという考えも見かけました。
http://www.computerworld.jp/topics/605/204203

セキュリティに関することですからヤバクないのであれば堂々と公開すべきでしょうし、ヤバイのであれば大々的に公開すべきだと思います。
それと、過去に日本語の記事はあったようですがセキュリティに関することですから mozilla.jpが正式にアナウンスして欲しいと思いますね。

尚、ご紹介してくださったhttp://www.computerworld.jp/topics/605/204203には

MozillaはPC Worldの取材に対し、「新しいバージョンでは、ユーザーのお気に入りサイトや最近アクセスしたサイトのサムネイルから、プライバシー関連情報を含む金融サイトやWebメールサイトを除外するようになった」と説明した。

と書かれていますが、実際にはCaiさんが

ログイン画面やフォーム入力画面のサムネイル (いろいろ入力済み) があってゾッとしました。

ということなので、この記事の内容では安心できないと思います。

ちなみに、私がmodestに投稿した内容は、非公開になる前にGoogleがクロールしてますので Google検索のキャッシュに入っているようですよ。

また、本当にセキュリティの問題が有る場合はMozilla製品に限ったことではなく、開発者に通知を行って一定期間の猶予を与えてから公開するのが一般的になっていると思います。この順序を間違えて悪用される事を防ぐのが目的とも言えるようですが、MSの脆弱性措置も他の製品の公表もそうなっていますよね。

それは分かりますが、Firefox13がリリースされてから4ヶ月は過ぎてますし、海外ではリリース直後からセキュリティリスクが議論(公開)されてますから、ちょっとのんき過ぎるような気がします。

セキュリティの対策が完了するまで、一時的にサムネイルの保存と表示を止めて New Tabの機能を Firefox12のレベルに戻すことがそんなに難しいことなんでしょうかねぇ？

[kiyo4_k]

MozillaはPC Worldの取材に対し、「新しいバージョンでは、ユーザーのお気に入りサイトや最近アクセスしたサイトのサムネイルから、プライバシー関連情報を含む金融サイトやWebメールサイトを除外するようになった」と説明した。

と書かれていますが、実際にはCaiさんが

ログイン画面やフォーム入力画面のサムネイル (いろいろ入力済み) があってゾッとしました。

ということなので、この記事の内容では安心できないと思います。

確かにCaiさんのところでゾッとするような内容が表示されたってことなので不思議だとは思ったんですけど。
あの、「プライバシー関連情報を含む金融サイトやWebメールサイトを除外するようになった」というのはどういう仕組みでやってるのかが気になってきますね。
単にhttpsというプロトコルで判断するのか、サイト登録なのか．．．サイト登録なら日本では誰がどんな仕組みで登録するのかっていうのは気になる人は居るかもです。
あの記事の結びには

新しいタブページでのセキュリティ・ホールは修正されたが、それでもFirefoxユーザーは、ブラウザの終了時には履歴やキャッシュを消去する設定にしておいたほうがより安全だ。またプライベートな情報を入力する必要があった場合には、作業が終わった段階で閲覧データを消去することが望ましい。

と書かれていますが、公式なアナウンスとしてはこの措置と必要な理由は書かれていないような気がします。

ちなみに、私がmodestに投稿した内容は、非公開になる前にGoogleがクロールしてますので Google検索のキャッシュに入っているようですよ。

残念ながらキャッシュは無かったです。


それと、先の記事を訂正します。

ただ、既に以下のような日本語の記事も有るようで、簡単に検索で見つけられるのにこれを見つけられなかったのかという考えも見かけました。
http://www.computerworld.jp/topics/605/204203

ごめんなさい、表現が違ってました。
「ちょっと調べれば日本語の記事も出てくるんですけどね」という程度の表現でした。

他にも
・何が問題なのか抽象的・説明が無い
・出典を「海外のフォーラム」という場所に投げた上、該当へのリンクが無い
＃ 発言の流用は先の記事も含めて全て無許可で、ただ見えるところに流れていた発言から拾っただけなので意味をねじ曲げている危険性が有るかもしれませんが．．．
というのも見かけましたけど。これの後に先の記事に書いた内容だったのでBugzillaでやって欲しいという感じなんでしょうかね。
Bugzillaでやるとしたら、サムネイルを保存しない指示の仕組みがどうなっているかとか、ユーザが管理出来るのかどうか、というものだと思います。
その仕組みが利用しているサイト（や日本での事情など）に合わなくてサムネイルを保存してしまう（今はこの状態なんですね）のなら、当面は保存しないような設定を行うことを公表すべきだと思います。

[aides]

オフトピですが同等の機能を有してる以下のアドオンでも、此の問題は再現するのでしょうかね？
* Speed Dial | Firefox アドオン | Mozilla Japan の公式アドオン紹介サイト
全く検証して無いので判りませんが。
newtab自体の存在意義が最近良く解らない（汗
本当に必要なのか…

[バッキー]

kiyo4_kさん、どうも。
お互いに夜更かし虫ですね。

確かにCaiさんのところでゾッとするような内容が表示されたってことなので不思議だとは思ったんですけど。
あの、「プライバシー関連情報を含む金融サイトやWebメールサイトを除外するようになった」というのはどういう仕組みでやってるのかが気になってきますね。

確かに、気になりますね。

あの記事の結びには

新しいタブページでのセキュリティ・ホールは修正されたが、それでもFirefoxユーザーは、ブラウザの終了時には履歴やキャッシュを消去する設定にしておいたほうがより安全だ。またプライベートな情報を入力する必要があった場合には、作業が終わった段階で閲覧データを消去することが望ましい。

と書かれていますが、公式なアナウンスとしてはこの措置と必要な理由は書かれていないような気がします。

記者さんは修正が完璧では無いと疑っていたのではないでしょうか。
あるいは、Mozillに婉曲に不満をぶつけたか、読者に婉曲にリスクを訴えたとか。

残念ながらキャッシュは無かったです。

そうでしたか。

それと、先の記事を訂正します。

ただ、既に以下のような日本語の記事も有るようで、簡単に検索で見つけられるのにこれを見つけられなかったのかという考えも見かけました。
http://www.computerworld.jp/topics/605/204203

ごめんなさい、表現が違ってました。
「ちょっと調べれば日本語の記事も出てくるんですけどね」という程度の表現でした。

いや、この記事ですけど、現象が分かっていないと見つけられないと思いますよ。
それと、

1. サムネイル画像が保存されていることを明記していない
2. 表面上は脆弱性が修正されたことになっている

ので、やはり現状と合っていないと思います。

他にも
・何が問題なのか抽象的・説明が無い
・出典を「海外のフォーラム」という場所に投げた上、該当へのリンクが無い

概要を紹介して、このスレッドへのリンクを貼ったのですが、個人のブログのように少し砕けた書き方が悪かったのかも知れません。

その仕組みが利用しているサイト（や日本での事情など）に合わなくてサムネイルを保存してしまう（今はこの状態なんですね）のなら、当面は保存しないような設定を行うことを公表すべきだと思います。

ええ、私もそう思います。

[kiyo4_k]

＃ オフトピ

オフトピですが同等の機能を有してる以下のアドオンでも、此の問題は再現するのでしょうかね？
* Speed Dial | Firefox アドオン | Mozilla Japan の公式アドオン紹介サイト
全く検証して無いので判りませんが。
newtab自体の存在意義が最近良く解らない（汗
本当に必要なのか…

元々Operaユーザの私はSpeed Dialを利用しているのでnewtabは早いうちに無効にしました。
サムネイル画像自体はユーザがコントロール出来るので問題にはならないかと思います。
サムネイルの保存内容を見てもログイン時の入力項目を表示したままのサムネイルは生成していません。

でも、newtabにしてもSpeed Dialにしても、自動ログイン機能とか自動パスワード入力しちゃえば同じだと思いますけどね。私はそういう危ない使い方をしていますが (^^;)
それと、Speed Dialのほうがサムネイルが綺麗なんですよ。

[kiyo4_k]

kiyo4_kさん、どうも。
お互いに夜更かし虫ですね。

最近はこんなに夜更かしは珍しいですけど、もう寝ます。

概要を紹介して、このスレッドへのリンクを貼ったのですが、個人のブログのように少し砕けた書き方が悪かったのかも知れません。

なるほど、砕けた書き方だと残しておけないと思う人が居るのかもしれません。そういうところって多いかもしれませんね。
パッと文章を見て表現が自分の気に食わなければ中身を読まない人も多いですし、書き方には注意が必要だとは思います。


この先はサムネイル画像を残さない判断方法や指示方法、コントロール可能かどうかということを調べて、何が問題でユーザにどのような不利益が発生しそうか、というようなことをBugzillaでやれということなのでしょうかね。

＃ 面倒臭いので現状と回避方法だけを大っぴらに公表してしまえば良いというような気が．．．．．．．．．思わず選んでしまう「運用で回避」

[バッキー]

概要を紹介して、このスレッドへのリンクを貼ったのですが、個人のブログのように少し砕けた書き方が悪かったのかも知れません。

なるほど、砕けた書き方だと残しておけないと思う人が居るのかもしれません。そういうところって多いかもしれませんね。
パッと文章を見て表現が自分の気に食わなければ中身を読まない人も多いですし、書き方には注意が必要だとは思います。

仮にそうだとしても、非公開にするならば一言メッセージがあってもいいんじゃないかなぁ。。。


それはさておき、ちょっと 手元にある16.0 のソースコードを調べてみました。

サムネイル作成に関する処理は

firefox-16.0.source\mozilla-release\browser\base\content\browser-thumbnails.js

に書かれていて、サムネイルを作成するかどうかの判断は

_shouldCapture: function Thumbnails_shouldCapture(aBrowser)

でやっているようです。

でと、http://www.computerworld.jp/topics/605/204203で述べられている「プライバシー関連情報を含む金融サイトやWebメールサイトを除外するようになった」なんですが、

コード: 全て選択

// Cache-Control: no-store.
if (httpChannel.isNoStoreResponse())
    return false;

// Don't capture HTTPS pages unless the user explicitly enabled it.
if (uri.schemeIs("https") && !this._sslDiskCacheEnabled)
    return false;

と、no-storeレスポンスが付いているか、httpsリクエストでかつbrowser.cache.disk_cache_sslがfalseの場合のみのようです。

no-cacheは調べなくていいのかな？ と気になるところですが、
重要なのは、browser.cache.disk_cache_sslはデフォルトが true なので、httpsリクエストでもサムネイルが作成されちゃってますね。

もしかすると他で弾いているのかもしれないけど、なんか、ますます危険度が増していて本当にこの件、非公開でいいのかなぁ？ と思えるようになってきました。

[バッキー]

オフトピですが同等の機能を有してる以下のアドオンでも、此の問題は再現するのでしょうかね？
* Speed Dial | Firefox アドオン | Mozilla Japan の公式アドオン紹介サイト

ソースコードを覗いてみましたが、けっこうなボリュームがあるので同じような問題があるのか簡単には突き止められませんでした。

ただ、Speed Dial自体は 2007年4月にリリースが開始されたものなので、サムネイル作成もサムネイル保存(しているのかな?)も独自にやっていると思います。

[pal]

この種のことは、そこの趣旨にはあっていないと思います。

よかったら、palさんは何があっていないと 思われているのか具体的に教えていただけますか？

言葉足らずでした。
私の考えは、kiyo4_kさんが触れている「Bugzillaで～」ということです。

「あのサムネイルって画像として直に保存されてるのかー」と開いてみたらログイン画面やフォーム入力画面のサムネイル (いろいろ入力済み) があってゾッとしました。

これは、サムネイルの日付をみればより確実なのですが、古いものが残っていただけのように思います。
kiyo4_kさんがリンクしてくれたサイトでは14.0.1で修正されたようですので。
これが正しければ、(古いものを削除後は)新たにサムネイル化はされないはずです。

あの、「プライバシー関連情報を含む金融サイトやWebメールサイトを除外するようになった」というのはどういう仕組みでやってるのかが気になってきますね。
単にhttpsというプロトコルで判断するのか、サイト登録なのか．．．サイト登録なら日本では誰がどんな仕組みで登録するのかっていうのは気になる人は居るかもです。

これは、caiさんがリンクしているバグのDepends onにある、このバグです。
修正内容(手法)はcomment22のパッチ内容をご覧ください。

[kiyo4_k]

仮にそうだとしても、非公開にするならば一言メッセージがあってもいいんじゃないかなぁ。。。

一言有る方が少ないと思いますけど。まぁ、こっちに関してはそれほど悪意に取らなくて良いと思います。

と、no-storeレスポンスが付いているか、httpsリクエストでかつbrowser.cache.disk_cache_sslがfalseの場合のみのようです。

no-cacheは調べなくていいのかな？ と気になるところですが、
重要なのは、browser.cache.disk_cache_sslはデフォルトが true なので、httpsリクエストでもサムネイルが作成されちゃってますね。

palさんに提示していただいたcomment22以下を辿ったり（英語もソースも完全には読めないんですけどね）して眺めてみたんですが、
2カ所のcapturing_disabledを判定してreturnしているところにno-cacheの判定も必要なんじゃないかなぁと思いました。

見える範囲（と読める範囲）では、このままではhttpsじゃないbasic認証の画面のキャッシュは避けられないような気がするので、サイト側からの情報だけでなくユーザがコントロール出来る必要が有るような気がするんですが。（401レスポンスがno-storeの条件に含まれているなら良いですけど）

[ytooyama]

この種のことは、そこの趣旨にはあっていないと思います。

よかったら、palさんは何があっていないと 思われているのか具体的に教えていただけますか？

palさんが示されたそこの趣旨には

modestで出来ること:

トピック（Blog投稿）でタイムリーな情報を発信、閲覧すること
トピック(投稿):

あるいは単に気になることなどが書かれた投稿です。
サイトにログインすれば誰でも自分 の名前で modest に投稿できますので、みんなで共有したいことや聞いてみたいことなどがあれば遠慮なく書き込んでください
Blog — タイムリーな情報を発信する:
あなたが今知らせたい情報をタイムリーに発信することで、オープンでスピード感 のあるProject 運営が可能となります

と書かれており、これらはまさしく私がやりたいことですし、セキュリティに関する情報を発信していはいけないとは書かれていませんが？

横から失礼します。
該当する記事は見ましたが、「セキュリティの問題がある」と言う記述はあるものの、根拠となる証拠が提示されていないこと、記事タイトルがそぐわないこと（オブラードに包まないで言うと、変に釣る内容のタイトルであること）、以上から該当記事は保留扱いとなりました。

記事についてはまあ、dev.mozilla.jpに置かれる記事ですから、該当バグのリンクと、パッチを当てる方法とか追加すると良かったかなと思います。

[kiyo4_k]

該当する記事は見ましたが、「セキュリティの問題がある」と言う記述はあるものの、根拠となる証拠が提示されていないこと、記事タイトルがそぐわないこと（オブラードに包まないで言うと、変に釣る内容のタイトルであること）、以上から該当記事は保留扱いとなりました。

記事についてはまあ、dev.mozilla.jpに置かれる記事ですから、該当バグのリンクと、パッチを当てる方法とか追加すると良かったかなと思います。

ytooyamaさん、ありがとうございます。

[kiyo4_k]

サムネイル画像を保存する設定にして、普通に認証の画面でサムネイル画像をいくつか採取させて保存されたサムネイル画像を画像編集ソフトで開いてみましたが、私には書いてある文字は拡大してもCAPCHA画像よりも情けない絵になるので読めませんでした。
生成されたbasic認証のサムネイル画像はユーザIDなどは（知っていれば）想像出来るような画像かもしれませんがパスワードは黒丸に置き換えられたままなので読めませんでした。
表示側の解像度がいくら良くてもこの程度の解像度で保存された画像なら問題無さそうな気がします。

[バッキー]

該当する記事は見ましたが、「セキュリティの問題がある」と言う記述はあるものの、根拠となる証拠が提示されていないこと、記事タイトルがそぐわないこと（オブラードに包まないで言うと、変に釣る内容のタイトルであること）、以上から該当記事は保留扱いとなりました。

なるほど、そういうことですか。

記事についてはまあ、dev.mozilla.jpに置かれる記事ですから、該当バグのリンクと、パッチを当てる方法とか追加すると良かったかなと思います。

そのあたり、投稿内容のガイドラインがあるといいのではないでしょうか？