ITmedia NEWS > セキュリティ >
ニュース
2017年03月09日 09時21分 UPDATE

「Firefox 52」公開、非HTTPSページでの入力に警告 NPAPIプラグインは無効化

HTTPSで暗号化されていないページでユーザー名やパスワードを入力しようとすると、警告のポップアップが表示される。SliverlightやJavaなどのNPAPIプラグインは、Flashを除き、全て無効化された。

[鈴木聖子,ITmedia]
photo Firefox 52では、HTTPSで暗号化されていないページでユーザー名やパスワードを入力しようとすると、警告のポップアップが表示されるように(出典:Mozilla)

 米Mozilla Foundationは3月7日、Webブラウザ安定版のアップデートとなる「Firefox 52」をデスクトップ向けとAndroid向けに公開した。

 Firefox 52では、HTTPSで暗号化されていないページでユーザー名やパスワードを入力しようとすると、警告のポップアップが表示されるようになった。ポップアップは「ここで入力したログイン情報は流出の可能性があります」という内容の文言に、赤い斜線が入った灰色の鍵マークを付けて注意を促す。

 Firefoxは2017年1月に公開されたバージョン51から、パスワードの入力を求めながらHTTPSを使っていないWebサイトでは、アドレスバーで赤い斜線の入った灰色の鍵アイコンが表示されるようになっていた。

 さらに、セキュリティと安定性の強化を図る目的で、Web初期のAPIである「Netscape Plug-in API」(NPAPI)を使ったプラグインは、以前から予告していた通りにFlashを除いて全て無効化された。これでSliverlightやJavaといったプラグインは利用できなくなる。Flashについても、ユーザーが同意しなければ再生されなくする措置を年内に導入する方針だ。

photo Firefox 52の更新点をブログで説明している(出典:Mozilla)

 また、段階的にサポートを廃止しているSHA-1についても、Firefox 52からはデフォルトで無効となる。Mozillaは2月の時点で、安全性の高いSHA-2証明書にまだ移行していないWebサイトにアクセスしているユーザーは、Webトラフィックの0.1%を切ったと伝えていた。

 Firefox 52では多数の脆弱性も修正された。潜在的に悪用可能なクラッシュを引き起こす問題など、重要度「最高」に区分けされた深刻な脆弱性が多数を占める。脆弱性は延長サポート版の「Firefox ESR 45.8」でも修正された。

関連キーワード

Firefox | HTTPS | Mozilla | SHA-1 | SHA-2


Copyright© 2017 ITmedia, Inc. All Rights Reserved.