Firefox70

こんにちは。福岡です。

Firefox Desktop Browser 70 が10月22日にリリースされました。

Firefox のリリーススケジュールについて

Firefox release calendar
https://wiki.mozilla.org/Release_Management/Calendar

Firefox70

公式の情報として、一般利用者向けのリリースノートと、開発者向けのリリースノートとが公開されています。

Firefox 70 release note
https://www.mozilla.org/en-US/firefox/70.0/releasenotes/

Firefox 70 release note for developers
https://developer.mozilla.org/en-US/docs/Mozilla/Firefox/Releases/70

開発者向け情報は、Web製作者およびプラグイン等の開発者にむけた、APIや開発環境の変更について情報があります。

これらの情報から、単純に WebClass の動きへの影響に加えて、教材への影響も確認することができます。

Pickup for webclass

Javascript で DOM のpopstate を操作する back(), forward(), go() メソッドが非同期関数になったようです。学習記録ビューアの関連機能で、もしかしたら影響があるかもしれません。調査します。

2019/10/29
学習記録ビューアの動きを確認しましたが、影響はありません。

others

Firefox Lockwise という機能が追加されたようです。

https://support.mozilla.org/en-US/kb/firefox-lockwise-alerts-breached-websites

簡単にいうと、漏洩しているパスワードを使ってログインしようとしているのをFirefoxが確認したら、アラートを出して知らせるというものです。

なぜFirefoxは漏洩済みパスワードを確認できるかというと、攻撃する人たちだけでなく、ホワイトハッカーによっても漏洩済み情報は追跡されていて、そのデータベースに基づいてメールアドレスやパスワードの漏洩を照合できるようになっているからです。このサービスは「Have I Been Pwned」というサイトで提供されています。

https://haveibeenpwned.com

Mozilla はこのサービスが提供する情報を元に Firefox Monitor というサービスを提供しています。こちらは日本語にも対応しています。

https://monitor.firefox.com

たとえ自分でランダム強度の高いパスワードを利用していたとしても、サービス側でデータ漏洩が起きてしまうと、メールアドレスとパスワードのセットが流出してしまうことがあり得ます。実際に世界中のサービスでデータブリーチが毎月何件も起きている状況は、このサイトのデータブリーチページで確認できます。

https://monitor.firefox.com/breaches

単に漏洩が起きたサービスでアカウント乗っ取りが起きるかもしれないだけでなく、こうして流出したデータは攻撃者のコミュニティで共有され、それが攻撃用データベースとなって他のサイトでのアカウント乗っ取りなどに使われるかもしれません。

実際に、こうした流出情報に基づいてメールアドレスを7億件以上を取りまとめた「Collection #1」と呼ばれるデータセットについての報告が1月にありました。

https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
https://blog.kaspersky.co.jp/collection-numba-one/22263/

パスワードの運用ポリシーについていくつか推奨されているものがあると思いますが、うまくツールを使って管理しないと間に合わないところもあると思います。ブラウザ側のセキュリティ対策ツールの進化もうまく活かしていきたいところです。