cles::blog

Firefox にゼロデイが出ていたようなのでメモ。
気がついたら FIrefox や Thunderbird のアップデート自体は自動的におこなわれていました。

Firefoxなどの複数製品に重大なゼロデイ脆弱性、早急にアップデートを | TECH+

米コンピュータ緊急事態対策チーム（US-CERT: United States Computer Emergency Readiness Team）は3月7日、「Mozilla Releases Security Updates for Multiple Products」において、Mozillaが提供しているWebブラウザ「Firefox」やメールクライアント「Thunderbird」などに、複数の致命的な脆弱性が報告されていると伝えた。

† 参考

• Security Vulnerabilities fixed in Firefox 97.0.2, Firefox ESR 91.6.1, Firefox for Android 97.3.0, and Focus 97.3.0 — Mozilla

Firefox が米国で DoH（DNS over HTTPS） を有効にしたことがニュースになっていたのでメモ。

HTTP については 2016 年に始まった Let's Encrypt のおかげで急速に HTTPS 化が進みましたが、DNS の暗号化については DNS over TLS と DNS over HTTPS のどちらが良いか^*1という解決が難しい問題もあり、すんなりとは行きそうにありません。

今回の Firefox の場合、クエリは初期設定の場合 Cloudflare に飛んでいくことになるので、Cloudflare にはユーザーがどのサイトに接続しようとしているのかが丸見えであることに注意が必要です。

Mozilla、「Firefox」の“DNS over HTTPS”をデフォルト有効化 ～米国で実施 - 窓の杜

「Firefox」の“DoH”機能は、米国でのみ既定で有効。米国外のユーザーも、オプション画面（about:preferences）の［一般］セクション最下部にあるネットワーク設定へアクセスし、［DNS over HTTPS を有効にする］というオプションを有効化すれば利用できる。初期設定のプロバイダーは“Cloudflare”になっているが、“NextDNS”などを指定することも可能だ。

• ^*1: The Fight Over Encrypted DNS: Explained - IEEE Spectrum

普段メーラーとして使っている Thunderbird は、プロバイダによって自動設定が効くところと効かないところがあるので、その仕様を調べてみたら自分が運用しているメールサーバでも対応できそうだったのでメモ。ちなみに一番簡単な対応方法は、設定ファイルを作ったりせず、メールサーバに対して imap.example.com, smtp.example.com のようなホスト名をつけておけば、設定を推測してくれるというものです。

Thunderbird のアカウント情報自動設定機能 - Mozilla | MDN

imap.<domain>, smtp.<domain>, mail.<domain> のように，一般的なサーバの名前を試し，サーバから応答があったら，そのサーバが SSL や STARTTLS, そして暗号化パスワード (CRAM-MD5) をサポートするかをチェックします．

† 参考

• Thunderbird のアカウント情報自動設定機能 - Mozilla | MDN
• Thunderbird:Autoconfiguration - MozillaWiki

Thunderbird が 60 → 68 に自動アップデートされたのですが、Firefox 57 の時と同じようにアドオンがあれこれ動かなくなってしまったので、結局 60 に旧戻しすることにしました。

特に Virtual Identity が使えないのが一番のネックで、公式サイトで対応の見込みを調べてみたのですが、作者はアドオンのアップデートを行なわずに アドオンの主要な機能を Thunderbird の本体にマージするとか言っています。よって、すぐに対応版が出るという見込みはなく、しばらくは現状を維持する必要が生じたというのが一番の理由です。

† 旧戻しにはコツが必要

Thunderbird のウェブページからは最新版しかダウンロードができないので、以下のアーカイブサイトから旧バージョンをダウンロードして上書きインストールします。

• Directory Listing: /pub/thunderbird/releases/

ここで、何も考えずに起動すると再度自動アップデートで 68 に戻ってしまうので、起動する前にプロファイル内の prefs.js に以下の行を追加しておきます。
これにより自動アップデートを強制的に無効化^*1することができます。

user_pref("app.update.auto", false);
user_pref("app.update.enabled", false);
user_pref("browser.search.update", false);

あとは普段通り Thunderbird 60 を使い続けることができます。

• ^*1: 自動アップデート | 技術的なよくある質問 | 法人向け情報 | Mozilla Japan コミュニティポータル

Firefox 70 と Thunderbird 68.2 がリリースされました。

Thunderbird 68 は Thunderbird 60.x を使っているユーザーに対しても自動アップデートによって配信されますが、Firefox 57 の時と同じように、WebExtension 以外のアドオンが動かなくなるなど、ユーザーに対して大きな影響があるリリースであることに注意が必要です。いろいろとアドオンが動かなくなる可能性が高いので、早急にプロファイルのバックアップを取っておく方が良いでしょう。

• MozillaZine.jp » Blog Archive » Firefox 70 がリリースされた
• Firefox 70.0, See All New Features, Updates and Fixes
• MozillaZine.jp » Blog Archive » Thunderbird 68.2.0 がリリースされた
• Thunderbird — Release Notes (68.2.0) — Mozilla

Mailvelope というブラウザ上で PGP 暗号化/復号化ができるアドオンを見つけたのでメモ。
中身は OpenPGP.jsを使って作られているようです。

GnuPG から鍵を Export して使ってみたところ、Outlook Web 上暗号化されたメッセージが復号できました。
ただ、送信時は PGP Inline 形式になるので、日本語を含んだメッセージを署名だけしようとすると検証できなくなるという問題があります。

Mailvelope

The browser extension Mailvelope provides end-to-end encryption for your existing email address. Encrypt your mails without having to change your email provider! Encryption and decryption takes place exclusively on the end devices. This means that your private data will never leave your device unencrypted.

Firefox や Chrome のプラグインは以下から導入が可能です。

• Mailvelope – 🦊 Firefox (ja) 向け拡張機能を入手
• Mailvelope - Chrome ウェブストア

Thunderbird 60 の次のバージョン Thunderbird 68 がリリースされました。

約１年ぶりのメジャーリリースとなり、前回と同じくバージョン番号は 8 ほど上がっています。
おそらく互換性の問題があるからでしょうが、60 のユーザーには自動的に配布されないようです。

Mozilla、「Thunderbird 68.0」リリース | OSDN Magazine

外観ではApp Menuが新しくなり、アイコンがついた単一のペインにすることで容易にナビゲーションできるようにした。これまでダイアログ形式だったオプションと設定がタブ形式となり、一貫性のあるルック＆フィールとコンテンツを組織的に表示するようになった。

† 参考

• MozillaZine.jp » Blog Archive » Thunderbird 68.0 がリリースされた

Twitter はウェブの UI が大幅な変更が行なわれましたが、これを元に戻してしまうアドオンが公開されてたのでメモ。
最近のウェブがスマホ重視なのはしょうがないのですが、PC で見ると余白が大きくなりすぎてしまって使い辛いんですよね。

• GoodTwitter - Chrome ウェブストア
• GoodTwitter – Get this Extension for 🦊 Firefox (en-US)

PC版Twitterの新デザインに戸惑う人に朗報　インストールするだけで旧式に戻せるブラウザ拡張が登場 - ねとらぼ

使い方は各バージョンのページを開き、「Chromeに追加」や「Add to Firefox」をクリックし適用するだけ。導入以降にTwitterを開くと、自動的に旧デザインで表示されます。

AJAX を利用するウェブサイトを使っていると、たまに CORS に関するエラー^*1に遭遇して動かないことがありますが、これは基本的に開発者が対処すべき問題^*2なので、利用者としては利用をあきらめるくらいしかできないので困っていましたが、Allow CORS というアドオンを使うとこのエラーを無理やり回避できることが分かったのでメモ。

これを常用するのは危険ですが、どうしても利用したいサイトがある場合には有効な打開策になります。

Allow CORS: Access-Control-Allow-Origin – 🦊 Firefox (ja) 向け拡張機能を入手

Simply activate the add-on and perform the request. CORS or Cross Origin Resource Sharing is blocked in modern browsers by default (in JavaScript APIs). Installing this add-on will allow you to unblock this feature. Please note that, when the add-on is added to your browser, it is in-active by default (toolbar icon is grey C letter). If you want to activate the add-on, please press on the toolbar icon once. The icon will turn to orange C letter.

• ^*1: CORS のエラー - HTTP | MDN
• ^*2: Origin null is not allowed by Access-Control-Allow-Origin. というエラーが出るときは

Thunderbird の IMAP で Yahoo メールを受信しているのですが、以下のような見慣れないエラーが。

メールを受信するときにフォルダにメールが溜まりすぎていると、このようなエラーが出るようです。
新しいフォルダを作って INBOX から移動させるとエラーを解消できました。