MozillaはFirefoxバージョン52をリリースしました。このバージョンでは、新しいセキュリティ機能に加え、Web向けの低レベルプログラミング言語であるWebAssemblyのサポートが追加されています。また、このFirefoxの新バージョンは、Firefoxの延長サポートリリース(ESR)と同期しており、Torブラウザはまもなく、ブラウザの新しいサンドボックスアーキテクチャを含む、過去1年間にFirefoxに追加されたすべてのセキュリティ機能の恩恵を受けることができます。
Firefox 52の新機能
Firefox 52 では、特にセキュリティ部門において、かなりの数の新機能が導入されました。
Webアセンブリ
Firefox 52 に追加された最も重要な機能の 1 つは、Web アプリをネイティブに近い速度で実行できる低レベル プログラミング言語である WebAssembly のサポートです。
これにより、WebAssemblyはブラウザゲーム、高度なウェブアプリ、ソフトウェアライブラリにおいて特に有用性が高まります。Mozillaは、同様のパフォーマンスを誇るGoogle Native Client APIに代わる標準化された代替手段を提供したいと考えていたため、この言語の主要な開発者の1つです。WebAssemblyはまもなくすべての主要ブラウザに採用される見込みであり、Mozillaはその目標を達成したようです。
厳格なセキュアCookie
Firefox 52 は、HTTP ウェブサイトが「secure」属性を持つ Cookie を設定することを禁止するポリシーである Strict Secure Cookies もサポートしています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
(非)セキュリティ警告
Google と Mozilla は数か月前から、HTTPS ではなく HTTP を使用するページのログイン ボックスに表示される新しい「この接続は安全ではありません」という警告を約束してきました。
GoogleとMozillaは、すべてのHTTPウェブページに安全ではないことを示す大きな赤い通知が表示されるまで、段階的に警告を強化していく予定です。ただし、現時点では、両社ともパスワードやクレジットカード情報を要求するページについてのみ警告を出しています。
Firefox 52ユーザーが、SHA-1アルゴリズムを依然として使用しているルート証明書(ユーザーがインポートしたものなど)に証明書がチェーンされているウェブサイトにアクセスした場合にも、「信頼できない接続」エラーが表示されます。主要ブラウザベンダーはすべて、数年前からSHA-1を廃止する計画を立てていました。Googleの研究者がSHA-1に対する衝突攻撃が実用的であることを証明したことで、SHA-1アルゴリズムに基づく接続を避けるべき理由がさらに増えました。しかしながら、現時点ではMozillaはユーザーがこの警告を回避できるようにしています。
マルチプロセス、同期サポートの改善
マルチプロセスアーキテクチャは、タッチスクリーンデバイスを使用するWindowsユーザー向けにも有効化されています。また、ブラウザには「拡張同期」機能も追加され、タブをデバイス間で送受信できるようになりました。
NPAPI、バッテリーステータスAPIのサポートを廃止
Netscape Plugin API ( NPAPI) のサポートは、Flash を除くほぼすべてのプラグインで削除されました。Mozilla は、一部のサービスでユーザーの指紋認証に利用される可能性があった Battery Status API のサポートも削除しました。これにより、Web 上のプライバシーが大幅に低下しました。
Firefox ESRとTorブラウザ
Mozilla は、Firefox 52 の通常リリースとともに、Firefox の最新のメインストリームバージョンの機能に追いついた新しい Firefox ESR も発表しました。
ESR版は、セキュリティパッチが約1年間(正確にはFirefoxのリリース7回分)しか提供されないFirefoxのリリースです。つまり、通常のFirefoxに追加された新機能のサポートが遅れているということです。これは通常、企業ユーザーにとっては好ましいことですが、Firefox ESR上にTorブラウザを構築しているTorプロジェクトのような特定の組織にとっても好ましい状況です。
新しい機能は新しいバグを生み出す傾向があり、それらを検証し、問題がないか確認するのにも時間がかかります。そのため、Torプロジェクトにとって、Firefox ESRのような機能はより魅力的です。しかし、メインブラウザが大幅なセキュリティ強化を導入している場合、1年近く遅れをとることは必ずしも良いことではありません。
Firefox で昨年実施されたセキュリティ強化の大きな点の一つは、UI とコンテンツを別のプロセスで分離する、より優れたサンドボックス アーキテクチャへの移行です。これにより、Web ページ内に潜む JavaScript エクスプロイトがブラウザ自体に変更を加えることがより困難になります。
FirefoxはChromeほど優れたサンドボックスアーキテクチャを備えていないため、エクスプロイト攻撃がますます増加しているため、Torプロジェクトは独自のサンドボックスの構築を開始しました。しかし、Torブラウザの強化版は現時点ではLinuxのみで利用可能で、まだアルファ段階です。Torブラウザは、特にWindowsでは、Mozilla独自のサンドボックスの恩恵を受けるはずです。
今年、Firefox は引き続きセキュリティ アップグレードを受ける予定ですが、Tor ブラウザがそれらを実装できるようになるのは Firefox 59 (次の ESR バージョン) までです。
