2013年6月29日土曜日

Windows 8.1 PreviewでTungstenを動かしてみた

Windows 8.1 Previewが最近公開されたようです。早速試験環境に入れて、Tungsten 1.12の動作を軽く確認してみました。

概ね問題なさそうです。TridentはIE11として動いているようです。しかし、 ユーザーエージェントが変だったり、IEコンポーネントのバグがIE11でも直っていなかったり、etc.。

2013年6月11日火曜日

IE6~IE9の情報漏洩問題を放置? →修正はお預け(by MS)

ニュースサイトから知ったことですが、Tungstenにも少なからず影響を受けることなので、あえて記事を書きます。

JVNが発表した内容によると、 IE6~9にXMLファイルの処理に問題があり、ローカルファイルが漏れる可能性があるようです。

驚いたのは、次の一文。

なお、開発者によると、Internet Explorer 9 およびそれ以前において、本脆弱性の修正予定はないとのことです。

Windows 2000が延長サポートフェーズだった際、OSの設計の問題でTCP/IPの脆弱性を放置した実例もありますが、今回も同様なのでしょうか?
これまでIE6にも頑なにセキュリティパッチを出してきたMSらしからぬ対応で、どうしたものかと思います。

近日MSのセキュリティアドバイザリにも公開されるでしょう。
JVNの発表だけでは、「IE6~IE9はセキュリティホールを放置するので、IE10に(Windows 7以上にさっさと)乗り換えて」 と言っているようにしか聞こえず、MS基準の深刻度はわかりません。
JVNの分析結果は深刻だと言っているのですが・・・

ただ、IE10に乗り換えるにあたっていくつも問題が存在します。たとえば、

  • Windows XP, VistaにはIE10がないので、このセキュリティ問題を回避するにはWindows 7以上にする必要があること
  • OSのサポート期間が終わっていないのにセキュリティ問題を放置すること
  • 古いIEにしか対応しないサイトが数多く存在すること
  • TungstenなどのIEコンポーネントブラウザーでは、JavaScript周りに不具合があり特定のページでフリーズすること
  • Windows7において、IE10の必須コンポーネントであるプラットフォームアップデートとの相性が悪いPCが存在すること

・・・などなど。様々な理由で、簡単に乗り換えられるものではないでしょう。 このセキュリティ問題が深刻なほど、根深い問題となります。

なお、この問題は、ローカルファイルにあるXMLファイルを開いたときに影響を受けるとのことで、 XMLの関連付けを図のようにIEや"XML Editor"以外に変更するとダブルクリックによる実行は回避できそうです。

# これがインターネット上にあるXMLファイルでも起こるのなら、かなり深刻なことになると思いますが、どうなんでしょう?

2013/06/13 追記

この件に関して、MSが反論しています(リンク先はInternet Watch)。

MSの見解では、攻撃者は以下の条件が揃わない限り、攻撃が成立することはないとのこと。

  • 細工したXMLファイルをローカルファイルにダウンロードさせること
  • ダウンロードしたローカルファイルのフルパスを知っていること
  • 細工したXMLファイルをIEで開かせること
細工したXMLの作り方などの詳しい情報が公開されていないので、悪用される危険性は低く、 このセキュリティ修正を行う優先度が相対的に低くなり、「修正予定は(しばらく)ない」ということだった模様です。

ローカルファイルに怪しいXMLファイルを保存しないことが回避策です。
※とはいえ、ダウンロードフォルダーの場所をデフォルトのままにしている人も少なくないはずで、 細工したXMLの作り方さえわかれば実は攻撃可能では・・・?

要するに、公開されている情報がJVNにしか載っておらず、情報が足りないせいでユーザーが混乱した・・・ (しかも、深刻度が高めに見えて「修正予定はない」と言ったせいで余計な誤解が生まれた) というところでしょうか。

2013年6月6日木曜日

Tungsten 1.12リリース

TungstenがVersion 1.12にバージョンアップしました。

上図のとおり、WebKitエンジン(Chromium)を27.0.1453.110にバージョンアップしました。
ほか、軽微なバグ修正を行いました。

27.0.1453.110は、前バージョンのセキュリティ問題が修正されています。
本家Chromiumのセキュリティホールは、Tungstenに同梱されているChromiumにも存在します。 可能な限り早くアップデートをお願いいたします。

すでにTungstenをお使いの方は、デフォルトでTungstenの起動時に通知されるようになっています。 その指示に従ってダウンロード・インストールを行ってください。
ダウンロードページからダウンロード・インストールでもOKです。

2013/06/11 修正
Vectorからも、Version 1.12がダウンロードできます。

2013年6月3日月曜日

Chromiumをビルドする(オプション/最適化ビルド/ビルド高速化編)

Chromiumをビルドする際のオプション、少しだけビルド時間を短縮する方法、できあがったChromiumを速くする方法を書いていきます。

2015/03/07 一部更新

2013年6月2日日曜日

TridentとWebkitのダブルエンジンについて

バージョン1.10よりTridentとWebkitのダブルエンジンになりました!
が、そもそもTridentって?Webkitって?って感じの人がほとんどだと思うのでそこから説明すると…
  • TridentはInternet Explorer(IE)
  • WebkitはChrome
と思っていただけるとほぼ正解です。(やじが飛んできそうな説明ですが)

なので、Tungstenでのダブルエンジンというと、「IE」と「Chrome」の両方のブラウザを内部に持っているという意味になります。


メリットは今のところ、下記の通りです。
  • IEでしか見れないページが見れる
  • Chromeでしか見れないページが見れる

例として、tungsten-start.netのトップページをTridentとWebkitのそれぞれのエンジンで見ると下記の図ようになります。(左側がTrident、右側がWebkit)



メニューのグラデーションのかかり方が異なるのが分かります。
これは一例で、実際には色んなページや機能ごとに、ブラウザの差異が存在するので、多様なページに対応するためには複数のエンジンを搭載したというのが今回の対応になります。

特に一般企業のイントラネットではIEにしか対応していないページが多いため、「社外のページを見るのはChromeを、社内のページを見るのはIEを利用している」という人も多いのではないでしょうか。
(というか、僕はそうです。)
今回の対応はそうした層をターゲットにしています。

操作方法は簡単で、下記図のアイコンマークの部分をクリックすることで、閲覧中のページのエンジンを交互に切り替えることができます。


ちなみにデフォルトエンジンの設定を変える方法は
「スタート」→「設定」→「高度な設定」→「レンダリングエンジン」→「デフォルトレンダリングエンジン」
から設定を変更することができます。


「デフォルトエンジンはWebkitにしておき、IEのみ対応のページにアクセスするときにTridentに切り替える」という使い方を推奨しており、初期設定はその通りに設定されています。

現時点ではダブルエンジンに対応するのが精一杯という形なので、今後はダブルエンジンのメリットを生かす機能を追加できればなぁっと考えています。


2013年6月1日土曜日

Chromiumをビルドする(ninja編)

2015/01/28 追記: ビルド方法が大幅に変わったので、新たに記事を書きました。


今回は、WindowsでChromiumをninjaというビルドシステムでビルドする方法を、メモ程度に書きます。

2014/05/27 追記

Chromium 35以上では、toolchain + ninjaによるビルドがデフォルトとなりました。
"gclient runhooks"コマンドでビルドに必要なtoolchainが自動的にダウンロードされるようになっています。
ほか、/ShowIncludes消去がいらなくなった、など手順が一部異なります。
以下、参考のためそのまま残しておきます。