Firefox Hacks 翻訳日記

アクセスカウンタ

zoom RSS WebSocket はデフォルトで無効に

<<   作成日時 : 2010/12/09 17:45   >>

トラックバック 0 / コメント 0

Mozilla WikiFirefox/Planning/2010-12-08Platform/2010-12-07 から、個人的に気になった記述をピックアップしてみます。

先週のエントリ で J-PAKE について書きましたが、ベータ8は今の所 J-PAKE 待ちのようです。
Platform/2010-12-07 の方では、"Waiting on sync changes" となっていて明記されていませんが、WeeklyUpdates/2010-12-06Firefox 4 では、"Beta 8 is holding for J-PAKE work" と書かれています。

ベータ8のブロッカーバグ は、執筆時で8個。
今週中にバグを全部つぶしてビルドできたとしても、QA に1週間以上かかるので、来週中にリリースできるかどうか、という所でしょう。
(Platform/2010-12-07 に "QA needs at least a week. If we build Thursday we might not be comfortable releasing by the following Thursday" とあります)

さて、上記したブロッカーバグの中には入っていませんが、昨日までリストに載っていたブロッカーバグの Fix によって、WebSocket がデフォルトで無効となりました。
Platform/2010-12-07 の Roundtable に、"Pulling WebSockets for Firefox 4 due to a security problem with proxy upgrade negotiation." と記述されている件で、バグとしては Bug 616733 – disable and/or remove WebSockets for gecko 2.0 due to security problems になります。

WebSocket って何?な方は、Wikipedia 日本語版の WebSocket をご参照ください。
実装状況 の Firefox の所に "4.0 beta" とあるように、ベータ7までは WebSocket が実装されていて、デフォルトでオンになっていました。
ところが、Firefox が実装している draft-hixie-thewebsocketprotocol-76 に深刻なセキュリティの問題が見つかったので、WebSocket をデフォルトではオフにしようというのが上記のバグです。

セキュリティの問題の詳細は この PDF で読めます。(英語です)
PDF の作者の一人、Adam Barth 氏(Google Chrome の開発陣の一人と思われます)のメール、Experiment comparing Upgrade and CONNECT handshakes によれば、

the attacker can poison the proxy's cache entry (snip) and inject JavaScript into approximately 57% of the top 10,000 web sites.

「攻撃者は、トップ1万サイトの57%に JavaScript を仕込むことができる」そうです。

これによって、"network.websocket.override-security-block" という Prefs が新設され、デフォルトでは false になっているこの Prefs を true にしないと WebSocket は有効にならなくなったようです。
WebSocket であれこれしようと目論んでいるデベロッパーの皆さん、ご注意ください。

テーマ

関連テーマ 一覧


月別リンク

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
WebSocket はデフォルトで無効に Firefox Hacks 翻訳日記/BIGLOBEウェブリブログ
文字サイズ:       閉じる