Mozilla の収入 [Firefox,Thunderbird]
9月27~28日に開催された THE NEW CONTEXT CONFERENCE 2006 でのお話し。 Mozilla Japan の瀧田さんのプレゼンテーションと Mozilla Corporation の Mithcel Baker さんのパネルディスカッションが行われました(といっても見に行ってないのだけど)
Mozilla Firefox の検索バーで Google を使って検索を行うと、Mozilla は Google から収入を得るという話は今年の初め頃にもありましたが、今回その額がおおよそ明らかになりました。
個人的な感覚では「すげーーー額」w 国内では Firefox のデフォルト検索エンジンは Yahoo! JAPAN だったと思うし、Google からだけでなく各パートナーからの総額だと思いますけど、しかし私の予想をはるかに上回る額ですわ。
Opera も同様の理屈で google から収入を得ているんですよね。 Opera の昔のバージョンはソフトウェアの表示領域に広告を表示させる無料バージョンがありましたけど、いまはそうではなくて「広告を見せる場を売る」のではなくて「トラフィックをサイトへ誘導する」事で収入を得る、と。 (あと、良いソフトをじゃんじゃん広く使ってもらう事で Opera ブランドの価値を高める、と)
あっと、金額の話しはさておき。(Mitchellさん、初来日おめw) 気になっているのはこちらのMozilla 商標の話し。
続々、FirefoxのIDN対応仕様とGoogle検索の組み合わせをバグと言われて [Firefox,Thunderbird]
Mozilla Firefox が HTMLコンテンツ内の a 要素の href属性の値に対しても、Google の I'm Feel を実行する振る舞いがあるのですが、それをアレンジした方法を検討している人がいらっしゃいました。
なるほど、そういう手がありましたか。
葉っぱ日記さんの所で対応策。 URLをキーワードとして処理する場合に Google の I'm feeling lucky に行かないように設定変更するというものなので、普通にアドレスバーへのキー入力による検索でも I'm feeling lucky には行かなくなります。 中野さんはkeyword.enabledを無効にする方法を提示されてます。
Thunderbird 迷惑メールフィルタで久しぶりの誤判定 [Firefox,Thunderbird]
Mozilla Thunderbird の迷惑メールフィルタで久しぶりの誤判定に遭遇した。 誤判定には
- 迷惑メールなのに、迷惑メールと判定されない
- 迷惑メールではないのに、迷惑メールと判定された
Thunderbird で添付ファイルの保存先を忘れてしまう [Firefox,Thunderbird]
メールに添付されているファイルを HDD 上などに保存した後、どこに保存したのか忘れて探してしまう事がたびたびある。 そして見つからず Google デスクトップ検索のお世話にw
単に私がうっかり屋さんなのがいけないのだけど、こういう時に Firefox のダウンロードマネージャみたいな機能が Thunderbird にもあればなぁと思う。 拡張機能でどこかにあるかな・・
続、FirefoxのIDN対応仕様とGoogle検索の組み合わせをバグと言われて [Firefox,Thunderbird]
そんな訳でちょっと考えてみた。
さて、件の blog だと
というシナリオを考えてみたようだけど、そのシナリオがどの程度の現実味を持っているのかという点を掘り下げていないのが残念かも。
- 攻撃者は自分で不正なサイトを作成し、Googleの検索で引っかかるようにしておく(この際に、どのクエリを入力すれば、そのサイトがトップで表示されるかまでを絞りこむ必要あり)。あとは、このリンクを含んだHTMLメールを攻撃対象のユーザにメールで送信する。
- URLでフィルタリングやブラックリスト制限をしているセキュリティソフトをくぐり抜けられるかも?(スパムなどの送信に有効?)
現実味を持たせられる設定をいまパッと思いつけないので、今夜ヒマだったら考えてみよう。
シナリオの構成要素は3つに分けられると思う。
このシナリオでは、(1,2) と (3) は独立した話しじゃないかな。 連携させることによって初めて実現する仕組み、あるいは連携させることによって攻撃の難易度を下げられる、そういったメリットが無いし。
<a href="http://ブッシュ">小泉</a>という HTMLコードのリンクにマウスポインタを重ねたとき、Firefox は "http://xn--xckxa0d2c" というPunycode表記で表示するけども、それがFirefox ユーザの安全性を下げる原因となりえるのかな。
これ、ならないよね。 だって、HTML のリンク記述として <a href="http://URL">表示文字列</a> があるとき、URLやURLが指し示す先の内容と表示文字列が意味する内容が一致する保障なんてまったくないから、Firefox が Punycode表記する事はなんら関係がない。 "http://ブッシュ" と表示されないので見て判断できないなんて理由も通らない。 URL がコンテンツの内容を類推できる文字列である保障なんてないのだから。
IDN が Punycode表記されることによって安全性が低下する度合いというのは、あまり考えにくい。 せいぜい、Punycode表記からは文字列が意味する語を読んで理解できない、その程度だと思う。(例えば "http://xn--vckfdb7e3c7hma3m9657c16c.jp/" を見て "http://日本レジストリサービス.jp" だと理解できる人はそう多くないだろうw) でも、日本レジストリサービス(JPRS)が管理するものなら Unicode表示されるから見て理解できるだろうし、"http://ブッシュ" みたいな内容で Punycode表記されたとしても、リンク先を見て安全性を評価するような人ならば "http://xn--xckxa0d2c"を見てトップレベルドメインがない事に気づくんじゃないかなぁ・・
まぁ、いずれにせよ前述したようにHTML のリンク記述においては、URLやURLが指し示す先の内容と表示文字列が意味する内容が一致する保障なんてまったくないのだから 「小泉」をクリックすると「ブッシュ」が表示されるFirefoxのバグと言うのは正確とは言いがたいなぁ。 それをバグというならば、Firefox ではなくて HTML 仕様のバグという方がまだ理解できる。 (当然、同意できないけどw) という訳で、(3) は問題なしかと。
(1,2)は・・・ これが安全性低下に繋がるかなぁ・・・ いまいち成立しそうな設定を思いつけないんだけど。 (Google の"I'm Feeling Lucky"で勝手にページを同定して表示してしまい、そのような処理を行っている事を操作しているユーザに提示しないというのは、その仕様を知らないユーザにとっては予期せぬ振る舞いだとは思うけど)
確かに本当の偽装サイトURLをメールで送りつけるよりは、Google の"I'm Feeling Lucky"を経由できるような検索文字列をURLに書いた内容の方がチェックをすり抜けられる可能性はある、とは言える。
だけど、そんなチェックをする仕組みを導入している環境なら、そのリンクをクリックして Google の"I'm Feeling Lucky" から HTTP/1.x 302 Found が返って来て Location:フィールドの内容でもって目標サイトへアクセスしにいく時点でフィルタリングやブラックリスト制限に引っかかるだろうから、Google の"I'm Feeling Lucky"を経由したからといって回避できるとは考えにくい。(googleから「探しているサイトの URLはこれだよ」という返答があり、それを見て Webブラウザが自動的に再アクセスしているのだから、普通にリンクをクリックする行為と違いがない)
ま、またヒマな時にでも考えてみよう。
FirefoxのIDN対応仕様とGoogle検索の組み合わせをバグと言われて [Firefox,Thunderbird]
んと・・
<a href="http://ブッシュ">小泉</a>という HTML を Mozilla Firefox で表示させると、表示される文字は「小泉」だけどもリンクをクリックすると Wikipedia のブッシュ大統領のページが表示されるという話。
ま、その仕組みは上記blog内で説明されている。(Firefoxが "ブッシュ" で Googleの "I'm Feeling Lucky" 検索を実行する) だけど、blog で問題視しているのは、そのリンクへマウスポインタを重ねた時にブラウザが表示する URL が "http://ブッシュ" になっていなくて、 そしてこの一連の現象のセット。
URL の表示内容が "http://ブッシュ" でなく "http://xn--xckxa0d2c" になるのは、国際化ドメイン名 (IDN) をPunycode表記した状態で表示しているからで、その理由は見た目に似ているが異なる文字を使った偽装(同形異義語偽装問題)への対策。
この同形異義語偽装問題へは、最初は暫定対処としてIDN を無効にし、生の Punycode を表示するようにしていた。 これは Firefox 1.0.1 以降。
その後、Firefox 1.5 から IDN対応仕様を変更した形で復活させた。 例えば http://日本語.jp/ のようにトップレベルドメインが jp ならば Unicode 形式で表示(つまり http://日本語.jp/)、そうでない場合は Punycode形式。
どのトップレベルドメインの場合に Unicode 形式で表示されるかはポリシーとしてまとまっている。
日本レジストリサービス(JPRS)も同形異義語偽装問題は認識していて、それなりの対応を行なっている。
さて、件の blog だと
というシナリオを考えてみたようだけど、そのシナリオがどの程度の現実味を持っているのかという点を掘り下げていないのが残念かも。
- 攻撃者は自分で不正なサイトを作成し、Googleの検索で引っかかるようにしておく(この際に、どのクエリを入力すれば、そのサイトがトップで表示されるかまでを絞りこむ必要あり)。あとは、このリンクを含んだHTMLメールを攻撃対象のユーザにメールで送信する。
- URLでフィルタリングやブラックリスト制限をしているセキュリティソフトをくぐり抜けられるかも?(スパムなどの送信に有効?)
現実味を持たせられる設定をいまパッと思いつけないので、今夜ヒマだったら考えてみよう。
そんな訳で少しだけ考えてみた。 →「続、FirefoxのIDN対応仕様とGoogle検索の組み合わせをバグと言われて」
Mozilla Thunderbird を FileMon でモニタ [Firefox,Thunderbird]
sysinternals の FileMon でモニタしながら Mozilla Thunderbird を起動してみた。
フォルダペインの開閉状態に関わらず、存在する全ての unix mbox ファイルと付随する *.msf を open して close して・・・を行なう、と。 これは私がディスク領域最適化オプションの設定を on にしているから、かな。 確かに起動してから初めてローカルフォルダ以下のフォルダをクリックするタイミングで、(最適化する余地があれば)最適化が実行されるし。
%USERPROFILE%\Application Data\Talkback\MozillaOrg\Thunderbird15\Win32\2006071912
むむ、以前に何かの拍子でクラッシュした時の Talkback のデータが残ってて、それにアクセスしてるな・・・って・・・ FileMon の表示の読み方を間違えていなければ、talkback.ini を 1バイトずつ read しているような気が。
C:\Program Files\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\master.ini
も 1バイトずつ read してない?
popstate.dat はやはり常に全上書きっぽい。 つか、popstate.dat を一体何回読み書きしてるんだろうw popサーバに残す設定はしてないのに、何度も書いては frush して・・・ んでも面白い。
また気が向いたら FileMon で監視してみよう。
迷惑メールフィルタ教育のために [Firefox,Thunderbird]
何かの事情で Mozilla Thunderbird プロファイルを初期化なんかしちゃって・・・とかいう理由で迷惑メールフィルタを再教育しなければならなくなった時のために迷惑メールを削除せずに保存してたんだけど、会社のPCにインストールしてあるGoogle デスクトップ検索にそいつらが乗ってしまっているので大変困っている。
昔のメールを検索すると、あーんなメールやこーんなメールがヒットしまくりんぐ。 もう、あっはんうっふん☆の嵐ですがな。
こりゃマズイと思って迷惑メールを全て削除したものの、Google デスクトップ検索に乗っているものは消えない訳で。 また Google デスクトップ検索を再インストールしようにも「検索可能アイテムの合計数 449,913」という状況なので無理。 インデックス作成に2週間かかったし。 メールのインデックスだけ削除して再処理ってできないかな・・
つか、プロファイル内の training.dat を持っていれば再教育しなくてもいいんだよな・・・ orz あぁでも Thunderbird 2.0 ではベイズのコードが変更されるらしいし、乗り換えの際には再教育した方がいいのかな・・・ んー。
Firefox , Thunderbird のログ [Firefox,Thunderbird]
Mozilla Thunderbird で ITmedia の RSS フィードを見てるんだけど、受信済みの記事を何度も受信してしまう現象に遭遇していて。 Thunderbird へ登録しなおしたりサマリファイル(*.msf)を消したり、Thunderbird の RSSフィードアカウントを初期化してみたりもしたけど、状況変わらずで。
もうちょっと詳しい内部動作状況を知りたいなと思って、とりあえず仕組みだけ準備し始めた。 要は、Mozilla の NSPRモジュールのログ出力機能を使ってログを出して・・って事なんだけど。 ついでにメモリリークのチェックスクリプトも組み合わせてみたりなんか。
Thunderbird のインストール場所が C:\Program Files\Mozilla Thunderbird
だとして、処理スクリプト等は C:\Program Files\Mozilla
に、メモリリークチェックで使う perlスクリプト leak-gauge.plも同じ場所に。
Mozilla Thunderbird 起動用バッチプログラム Startup_Thunderbird.bat がこれ。
@echo off
REM set NSPR_LOG_MODULES=ALL:5
REM set NSPR_LOG_MODULES=POP3:5,SMTP:5
set NSPR_LOG_MODULES=nsHttp:5
set NSPR_LOG_FILE=thunderbird.log
c:
cd "\Program Files\Mozilla Thunderbird"
if exist %NSPR_LOG_FILE% del %NSPR_LOG_FILE%
start /wait thunderbird.exe
if not exist %NSPR_LOG_FILE% exit
copy %NSPR_LOG_FILE% "C:\Program Files\mozilla"
cd "\Program Files\mozilla"
start run_leak-gauge.bat %NSPR_LOG_FILE%
exit
マイクロソフトが Firefox の開発で協力できること [Firefox,Thunderbird]
MSDN Wiki を Firefox からでも閲覧できるよう作業したというニュースもあったけど。
原文は
なので、Firefox と Thunderbird が対象・・と。I am the Director of the Open Source Software Lab at Microsoft, and I'm
writing to see if you are open to some 1:1 support in getting Firefox
and Thunderbird to run on Vista.