cles::blog

Firefox にゼロデイが出ていたようなのでメモ。
気がついたら FIrefox や Thunderbird のアップデート自体は自動的におこなわれていました。

Firefoxなどの複数製品に重大なゼロデイ脆弱性、早急にアップデートを | TECH+

米コンピュータ緊急事態対策チーム（US-CERT: United States Computer Emergency Readiness Team）は3月7日、「Mozilla Releases Security Updates for Multiple Products」において、Mozillaが提供しているWebブラウザ「Firefox」やメールクライアント「Thunderbird」などに、複数の致命的な脆弱性が報告されていると伝えた。

† 参考

• Security Vulnerabilities fixed in Firefox 97.0.2, Firefox ESR 91.6.1, Firefox for Android 97.3.0, and Focus 97.3.0 — Mozilla

AWS がライセンスの問題により Elasticsearch と Kibana をフォークした^*1ことがニュースになっていたのでメモ。

先日、Elastic が Elasticsearch と Kibana のライセンスを Apache License 2.0 から Server Side Public License（SSPL）と Elastic License のデュアルライセンスに変更することを公表^*2していたので、これに対する AWS の対抗措置ということになります。これは一足先に SSPL にライセンス変更をしている MongoDBと同じ展開ですね。

AWSがElasticとKibanaをフォークへ | OSDN Magazine

AWSの動きの背景には、ElasticsearchとKibanaを開発するオランダElasticの方針変更がある。Elasticは1月15日、これまでApache License 2の下で公開していたElasticsearchとKibanaについて、ライセンス方針を変更し、独自ライセンスのElastic LicenseとSSPL（Server Side Public License）のデュアルライセンスにすることを発表した。理由について、クラウド事業者が貢献せずにオープンソース技術を活用していると説明していた。

ただ、SSPL は OSS ライセンスとしては認められていない^*3という大きな問題があるので、ソースコードは手に入りますが OSS ではないというちょっと特殊な状態になります。具体的には RedHat を始めとする主要なディストリビューションがサポートすることがないということになります。過去に MongoDB が AWS 等のクラウドベンダーを非難していた内容は以下の通りですが、それからだいぶ時間が経ったものの AWS は頑なに歩み寄らないですね。一時は MS や Oracle が OSS の敵のような感じでしたが、最近はすっかり AWS が悪者のようです。

MongoDB now released under the Server Side Public License | MongoDB

The reality, however, is that once an open source project becomes interesting, it is too easy for large cloud vendors to capture most of the value while contributing little or nothing back to the community.

• ^*1: Elastic 社による Elasticsearch および Kibana のライセンス変更にともなう AWS の対応方針のご案内 | Amazon Web Services ブログ
• ^*2: オープンへの新たなる挑戦、パート2 | Elastic Blog
• ^*3: The SSPL is Not an Open Source License | Open Source Initiative

普段メーラーとして使っている Thunderbird は、プロバイダによって自動設定が効くところと効かないところがあるので、その仕様を調べてみたら自分が運用しているメールサーバでも対応できそうだったのでメモ。ちなみに一番簡単な対応方法は、設定ファイルを作ったりせず、メールサーバに対して imap.example.com, smtp.example.com のようなホスト名をつけておけば、設定を推測してくれるというものです。

Thunderbird のアカウント情報自動設定機能 - Mozilla | MDN

imap.<domain>, smtp.<domain>, mail.<domain> のように，一般的なサーバの名前を試し，サーバから応答があったら，そのサーバが SSL や STARTTLS, そして暗号化パスワード (CRAM-MD5) をサポートするかをチェックします．

† 参考

• Thunderbird のアカウント情報自動設定機能 - Mozilla | MDN
• Thunderbird:Autoconfiguration - MozillaWiki

Thunderbird が 60 → 68 に自動アップデートされたのですが、Firefox 57 の時と同じようにアドオンがあれこれ動かなくなってしまったので、結局 60 に旧戻しすることにしました。

特に Virtual Identity が使えないのが一番のネックで、公式サイトで対応の見込みを調べてみたのですが、作者はアドオンのアップデートを行なわずに アドオンの主要な機能を Thunderbird の本体にマージするとか言っています。よって、すぐに対応版が出るという見込みはなく、しばらくは現状を維持する必要が生じたというのが一番の理由です。

† 旧戻しにはコツが必要

Thunderbird のウェブページからは最新版しかダウンロードができないので、以下のアーカイブサイトから旧バージョンをダウンロードして上書きインストールします。

• Directory Listing: /pub/thunderbird/releases/

ここで、何も考えずに起動すると再度自動アップデートで 68 に戻ってしまうので、起動する前にプロファイル内の prefs.js に以下の行を追加しておきます。
これにより自動アップデートを強制的に無効化^*1することができます。

user_pref("app.update.auto", false);
user_pref("app.update.enabled", false);
user_pref("browser.search.update", false);

あとは普段通り Thunderbird 60 を使い続けることができます。

• ^*1: 自動アップデート | 技術的なよくある質問 | 法人向け情報 | Mozilla Japan コミュニティポータル

Firefox 70 と Thunderbird 68.2 がリリースされました。

Thunderbird 68 は Thunderbird 60.x を使っているユーザーに対しても自動アップデートによって配信されますが、Firefox 57 の時と同じように、WebExtension 以外のアドオンが動かなくなるなど、ユーザーに対して大きな影響があるリリースであることに注意が必要です。いろいろとアドオンが動かなくなる可能性が高いので、早急にプロファイルのバックアップを取っておく方が良いでしょう。

• MozillaZine.jp » Blog Archive » Firefox 70 がリリースされた
• Firefox 70.0, See All New Features, Updates and Fixes
• MozillaZine.jp » Blog Archive » Thunderbird 68.2.0 がリリースされた
• Thunderbird — Release Notes (68.2.0) — Mozilla

Thunderbird 60 の次のバージョン Thunderbird 68 がリリースされました。

約１年ぶりのメジャーリリースとなり、前回と同じくバージョン番号は 8 ほど上がっています。
おそらく互換性の問題があるからでしょうが、60 のユーザーには自動的に配布されないようです。

Mozilla、「Thunderbird 68.0」リリース | OSDN Magazine

外観ではApp Menuが新しくなり、アイコンがついた単一のペインにすることで容易にナビゲーションできるようにした。これまでダイアログ形式だったオプションと設定がタブ形式となり、一貫性のあるルック＆フィールとコンテンツを組織的に表示するようになった。

† 参考

• MozillaZine.jp » Blog Archive » Thunderbird 68.0 がリリースされた

先日の ICSE 2019 勉強会で紹介されていた「Usage and Attribution of Stack Overflow Code Snippets in GitHub Projects」という論文が興味深かったのでメモ。

• Sebastian Baltes, Stephan Diehl, "Usage and Attribution of Stack Overflow Code Snippets in GitHub Projects," Empirical Software Engineering, Vol. 24, Issue 3, pp. 1259–1295, June 2019. ( DOI: 10.1007/s10664-018-9650-5 )

この論文の要点は Stack Overflow の載っているコード片は CC BY-SA 3.0 ライセンスなのに、それを使っている OSS のプロジェクトがライセンス違反になっていることがあるということです。CC BY-SA はクレジット表示し、自分の貢献部分を元の作品と同じライセンスの下に頒布しなければならないというライセンスです。

ソフトウェア開発で困ったときにググると Stack Overflow のページがヒットすることがありますが、そのライセンスに注意しなければならないというのは盲点でした。調べてみると以下にちゃんと書いてありますね。

What is the license for the content I post? - Help Center - Stack Overflow

As noted in the Stack Exchange Terms of Service and in the footer of every page, all user contributions are licensed under Creative Commons Attribution-Share Alike. Proper attribution is required if you republish any Stack Exchange content.

Oracle が定例のクリティカルパッチアップデートを出しました。
ちなみに Oracle JDK は 4/16 よりライセンスが改訂されて、個人利用・開発目的のみという使途制限がついている^*1ので注意が必要です。

• Oracle Critical Patch Update - April 2019
• JDK 12.0.1, 11.0.3, 8u211, 8u212, and 7u221 Have Been Released! | Oracle The Java Tutorials Blog

† 参考

商用利用をしている場合の OpenJDK 等への移行対応については以下が参考になります。

• Oracle Java SEの有償化に伴うOpenJDKへの切り替えの案内 | 京都教育大学 情報処理センター（via セキュリティホール memo）

• ^*1: 「Oracle Java」のライセンスが変更 ～無償利用は個人での開発・テスト・デモ目的のみに - 窓の杜

Thunderbird の IMAP で Yahoo メールを受信しているのですが、以下のような見慣れないエラーが。

メールを受信するときにフォルダにメールが溜まりすぎていると、このようなエラーが出るようです。
新しいフォルダを作って INBOX から移動させるとエラーを解消できました。

Thunderbird は１つのメールフォルダに含まれるメールを1つのファイルに格納する方式（いわゆる mbox 形式）なので、定期的にフォルダの最適化 (compaction)を実施する必要があります。

† メールサーバは一足早く mbox → Maildir に移行

メールサーバの世界でも同様の問題がありましたが、現在ほとんどのメールサーバでは 1 メールを 1 ファイルとして格納する Maidir 形式^*1が標準になり、このような問題は起らなくなりました。

† Thunderbird も Thunderbird 60 から Maildir に対応

メールサーバからはだいぶ遅れていますが、Thunderbird もやっと Maildir に対応したようです。
ただし、メールの保存形式が Maildir になるのは新しく設定したアカウントのみ。
既存のメール設定を Maildir に移行するためには以下のように about:config から設定を変更する必要があります。

MozillaZine.jp » Blog Archive » Thunderbird 60 がリリースされた

フォルダーの保存形式を mbox から maildir に変更することができるようになった (逆も可)。この機能は未だ 実験的 なものであり、mail.store_conversion_enabled を true に指定する必要がある。「Windows Search によるメッセージの検索を許可する」が有効になっていると、この機能は機能しない

以下で紹介されているとおり、実験的機能だけあって失敗しやすいので、移行の際はプロファイルのバックアップをお忘れなく。

• Thunderbirdでmaildir形式に移行する際の注意点 | 雑記帳

• ^*1: qmail の DJB が考案した形式。詳細は Using maildir format 参照。