2009年05月21日

Firefox&NoScript乗り換え案内+個人的お勧め設定PC関連覚書

GENOウィルスがらみでFirefoxに乗り換えた、でも違和感が…という方がかなりいらっしゃるようなので、既出記事の再まとめをかねて、何かのお役にたてばいいなあと、数年使ってみて感じていることなどもこめて書いてみようかと。
まあ違和感は…最初のうちは仕方ないですよね、なんでも……



1:Firefoxのインストール
  [入手先]
  次世代ブラウザ Firefox | 高速・安全・自由にカスタマイズ | 人気ブラウザ無料ダウンロード

(この間は他のサイトにアクセスせず、すぐにアドオンを入れるのがお勧めです。)

2:NoScriptアドオンのインストール

 Firefoxを起動し、
「ツール」→「アドオン」→「アドオンを入手」
  →「NoScript」と入力して検索→「Firefoxに追加」

または、

以下のリンク先で「firefoxへインストール」して入手
 
Mozilla Japan - Firefox 用アドオン - NoScript

3:Firefoxを再起動

 NoScriptに限らず、Firefoxのアドオンは、インストール・アップデート後にFirefoxを再起動することで適用されます。
 まあ「再起動しろ」と言われますのでその通りに従えばOK

4:Firefoxのセキュリティ設定をする

メニューバーの
 「ツール」→「オプション」
   →「コンテンツ」タブ

ここでは
「JavaScriptを有効にする」項目にチェックを入れます。

「JavaScriptを無効にするためにFirefoxを入れたのに?」
と不思議な感じがすると思いますが、基本的に

・Firefoxでは有効を受け入れ
・NoScriptで一度全部無効にし、少しずつ例外サイトを設定していく

という考え方で作業していくことになります。

ついでに、「詳細設定ボタン」もクリックしてみましょう。
以下の画面のようなウィンドウが出てきます。

firefox1.jpg

ここでのお勧め設定は

・「ステータスバーのテキストを変更する」のチェックをオフ

画面下部のステータスバーには、リンク部分にマウスを乗せた時に、「ここをクリックするとどのURLに移動するか」が表示されます。
未知のサイトに行く場合、特に誰でも編集できるwikiなどでは、適切なリンクかどうか、リンク先がヤバそうなサイトに書き換えられていないかをチェックする場合、ステータスバーのURL表示は非常に有用です。
しかしこの部分の表示は、JavaScriptで書き換えて偽装したり、管理人の任意の文章に換えることができます。
最近はあまり見なくなりましたが、この部分に「ようこそいらっしゃいました!!」と挨拶を流したりするのに使われることがあります。
善意悪意に関わらず、書き換えられてしまうとURLチェックができなくなります。

Firefoxでは、このチェックをオフにすることで、JavaScriptが有効な状態であっても、ステータスバー書き換えの結果を表示させず、本来の表示にすることができるのです。

ついでに

・「コンテキストメニューを無効化または変更する」のチェックもオフ

にしてしまいましょう。
これはあまりセキュリティ的な意味はありません。

「コンテキストメニュー」は、右クリックメニューのことです。
コピペ・盗用防止、ソースを見せない…などの目的で、個人サイトや商用サイトにおいて、「右クリック禁止(してもメニューが出ない)」に設定してあることがあります。
ご丁寧に「右クリックは禁止です!」「ソースは見ないで!」などのメッセージボックスが出ることもあります。
それぞれの意図があるのでしょうが、一般にはやはり、右クリックメニューからの操作が何もできなくなるのは不便です。

このチェックを外すと、全てのサイトで「右クリック禁止」を解除することができます。
まあこれはお好みで。
同時に、ご自分のサイトで右クリック禁止を設定している方は、FirefoxやJavaScript無効状況では簡単に無効化されることを知っておかれるのが良いかと思います。

例えば、コピペ禁止の歌詞サイトなどで、ソースを開いてそこから強引にコピーすることも可能になる場合があります。

なおここで「ポップアップウィンドウをブロックする」にもチェックしておくと、うざいポップアップ広告を表示させないようにできるので、私はいつも入れています。
ただ、こうすることによって見れないウィンドウや使えなくなる機能があります(絵チャの保存ウィンドウなど)。
ポップアップをブロックした時に必ず「ブロックしたよ」とメッセージが出ますから、そこから除外リストに加えれば、次回からはそのサイトでポップアップが機能するようになります。

もう一つ設定をしておきましょう。

今度は「セキュリティ」タブをクリックし

・攻撃サイトとして報告されているサイトを表示する時に警告する
・偽装サイトとして報告されているサイトを表示する時に警告する


にチェックを入れます。

意図しないサイトに飛ばされたり、また検索結果やスパムコメント・トラックバック等から有害スクリプト入りのサイトに移動してしまう前に警告を出してくれるようになります。(ワンクッション置くだけなので、無視して先に進むこともできますが、危険告知の機能としては十分なインパクトがあります)
あくまで報告済みのサイトのみなので過信はできません。また必ずしも危険サイトでない場合もあり得ますが、機能をONにしておくにこしたことはないでしょう。


5:NoScriptの設定をする

Firefoxメニューバーの
 「ツール」→「アドオン」
   「拡張機能」→「NoScript」→「設定」ボタン

または、画面下部ステータスバー右側の
firefox2.jpg
↑アイコンをクリック→「オプション」


から設定を開きます。

・「プラグイン」タブをクリック
・「信頼していないサイトへの制限の追加」

 項目のうち、以下の項目のチェックをオンにすることをお勧めします。(基本的に左側は全部オンで構わないと思いますが)

「Adobe Flashの禁止」
「その他のプラグインの禁止」
「<IFLAME>の禁止」


firefox4.jpg
特にお勧めしたいのはIFLAMEの禁止です。
これはGENO関連では特に注意喚起されていませんが、今までネットゲーム界隈で脅威となったアカウントハックスクリプト(そしてこれはまだ過去のものではありません)ではこれの悪用が常套手段であり、GENOのこれからの亜種においても利用される可能性があるのでは、と十分に疑えるからです。

IFLAMEは、動画埋め込みやブログパーツ、広告バナーに使われるタグで、それ自体は有害な技術ではありません。
しかし過去のアカウントハックにおいては何度も、「サイズが0のIFLAMEを埋め込み、有害ページに転送・またはハック用スクリプトを読み込ませる」悪用が行われました。
また前年の暮れ頃にはこれを悪用し、PCの内部をフォーマットするトロイも登場しました。

ネットゲームをプレイした経験がない方にはピンと来ない話題かもしれませんが、「アカウントハッキング」は、PC内のIDやパスワード、入力したパス類を盗み出して悪用するもので、要するに目的や振る舞いはGENOウィルスと同じなのです。
周囲にこの問題に詳しいプレイヤーがいらっしゃるならば、一通りの対処を尋ねるのも、意識向上には役立つと思います。

このオプションをオンにすると、埋め込み動画が見られなかったり、ブログパーツが表示されないなどの窮屈さに戸惑うこともあると思います。これはあとから見たいものをホワイトリストに入れることで解決できます。

(ホワイトリスト=
 ブラックリストの対義語。NoScriptでは、安全とみなしてJavaScriptの実行を許可したサイト、URLのこと。)

右側の「プレースホルダーアイコンを表示する」のチェックをオンにしておきましょう。
多くの場合、シャットアウトした埋め込み部品の枠だけが表示され、それをクリックすれば見られるようになります。

次に「インターフェース」タブを開きましょう。
ここでは、通常NoScriptで行う設定項目を設定します。

・「コンテキストメニュー」をオン
 にすれば、右クリックからNoScriptの操作を行えるようになります。
 「右クリックメニューがダラダラ長くなるのはイヤ」という方はオフにすればスッキリです。

ここでのお勧め設定は、
「セカンドレベルドメイン」
「フルドメイン」
の両方にチェック
を入れることです。
(「フルアドレス」は私は不要かなと思うので外してます)

この2つの違いは以下のようになります。

例えば、ありがたいことにこのブログを見てくれたあなたが、「『ぜろだまブログ』ではJavaScriptを有効にしておこう」
と考えてくれたとします。

このブログのURLは

zerodama.seesaa.net

で、seesaaでは赤字の部分がブログごとに異なる仕様になっています。

「セカンドレベルドメイン」設定の場合、NoScriptで除外設定をしようと思った場合、表示されるのは

「seesaa.netを許可」

のみです

この設定をすれば勿論このブログは除外設定されますが、他のseesaaユーザーのブログも全部安全とみなすことになります。
(勿論ブログに限らず、一般ホームページでも同じです)
それはちょっと大まか過ぎて怖いな、とお感じになられるかもしれませんね。
特にレンタルサーバー(infoseekとかfc2とか)上にはたくさんのホームページがあり、行きつけのサイトは許可したいけど、他は安全かどうか分からないので不用心に感じられることでしょう。

そこで、
「フルドメイン」にチェックを入れます。

すると今度は

「zerodama.seesaa.netを許可」

という項目が現れ、当ブログだけを許可することができます。


要するに許可対象を絞り込めるわけですね。

firefox3.jpg

この設定は、fc2、infoseek、さくらサーバー等の多くのレンタルサーバーでとても有用ですので是非お勧めいたします。
残念ながらジオシティーズのように

http://www.geocities.co.jp/ユーザー固有ID/

のように、サブディレクトリで設定されるものには無効で、「geocities.co.jp」単位でしか許可が出せないのですが…

このタブではもう一つ、操作に慣れないうちは

「すべてのサイトのJavaScriptを許可する(危険)」

の項目はオフにした方がいいかもしれません。
誤動作でクリックすると無防備状態になってしまいます。
ただし実行前に警告ウィンドウは出ますのでそれほど心配する必要はありませんが。


「通知」タブは基本的にデフォルトのままでいいと思いますが、

「XSS」がチェックONになっているかどうかだけは確認してください。
GENOウィルスの振る舞いがあった時、私の場合はこの通知が非常に役立ちました。
(意図しないサイトに飛ばされそうになった時に警告が出ます)

これで最後です。

「詳細設定」→「XSS」タブをクリックします。

ここでは
「クロスサイトの疑いのあるリクエストをサニタイズする」
「クロスサイトのPOSTリクエストを、同じ情報を持つGETリクエストに変換する」
の両項目にチェックが入っていることを確認してください。

知識のある方でないと項目の意味が分からないかもしれませんが、とにかくONにしておきましょう。

XSS(クロスサイトスクリプティング)は、今のところGENOウィルスの振る舞いの根幹と目されているもので、これを悪用したWeb被害はGENOに限ったことではありません。
今後の脅威に備えるためにも、守りを固める設定にしましょう。
XSS対策は、現在NoScriptがもっとも主眼にして取り組んでいる問題でもあり、対応はけっこうマメに行われています。


クロスサイトスクリプティングとは 【XSS】 - 意味・解説 : IT用語辞典

 ソフトウェアのセキュリティホールの一つで、Webサイトの訪問者の入力をそのまま画面に表示する掲示板などのプログラムが、悪意のあるコードを訪問者のブラウザに送ってしまう脆弱性のこと。

 悪意を持ったユーザがフォームなどを通してJavaScriptなどのスクリプトコードを入力した時に、プログラム側に適切なチェック機構がないと、そのスクリプト内容がそのままHTMLに埋め込まれ、ページを閲覧したコンピュータでスクリプトが実行されてしまうことがある。



これは補足的に。
特にブログを書く方向け。
「Trusted」タブをクリックします。

「NoScriptを入れたら、あるいはFirefoxにしたら、ブログ編集画面から書くことができなくなった、文字を貼り付けられなくなった」という場合、

「クリップボードからリッチテキストのコピーとペーストを可能にする」

をオン
にすると問題が解決する可能性が高いです。

NoScriptでとりあえずやった方がいいと私が思う設定は以上です。
最後に「OK」ボタンを押してオプション画面を閉じましょう。


6:ブックマークのインポートをする

Firefoxの
「ファイル」→「設定とデータのインポート」

から、これまでIEでお使いだったお気に入りや設定情報をインポートできます。


7:NoScriptで除外設定をする

ブックマークの任意のサイト、あるいはご自分のサイトを開いてみましょう。
IEの時と何も見え方に変化がないよ?という場合は何もしなくて結構。
IEの時とは見え方が変わっている、表示されない部品や画像がある!という場合には、

・そのページ上で右クリック→「NoScript」
あるいは
・ページ右下にあるNoScriptアイコンをクリック
firefox2.jpg
します。

「*****を許可」
「*****を一時的に許可」

という項目が出てきます。
場合によっては何種類もドバドバ出てきます。
(それだけ色々なサーバー由来のJavaScriptが埋まっているということです)

この中から、許可したいドメインを一つ一つ許可していきます。
その度に不可視から回復するものがあるかと思います(アクセス解析類など、見えないものもあります)。
「これ大丈夫かな?」と不安なものは、とりあえず「一時的に許可」で様子を見ましょう。
広告バナー用のものもありますので、イラネと思ったら再び「untrusted」にすればバナー非表示にできます。

XSSの仕込まれた恐れのあるドメインを許可しようとした場合には多くの場合警告が出ます。
その際には許可作業を中断して、アクセスしないようにしましょう。

自分のサイト等を見て、IE、あるいはNoScriptを入れる前の外観とはあまりに違い過ぎて驚く方もいらっしゃると思います。
IEのタグ解釈が緩かったり、独自タグなどもあり、JavaScript以外の要因でレイアウトが崩れたり、見えているはずの画像が見えていないこともあるでしょう。
とりあえずは必要なドメインを許可していけば問題ないレベルに回復すると思います。

JavaScript自体は正当な技術であり、悪意の元にそれを使う連中こそが元凶です。
これまで使っていたJavaScript使用部分をどうするか(スクリプト不使用のプレーンな仕様にするか)、はあくまでサイト管理人の方それぞれの判断次第です。
「このサイトが見たい!」と思えば、多少のホワイトリスト追加作業は、私は苦だと思いませんし、一度追加すればたいがいは後はずっと快適です。
ただ、今や少数派ではない「Firefox+NoScript組」には、デフォルトではこう見えているんだ、というチェックを一度なさるのは色々と意味があることかとは思います。

NoScriptを入れた当初は、ホワイトリストに追加していく作業が本当に面倒で煩雑にお感じになることでしょう。
しかし追加していくうちに、どのドメインでどのサービスを行っているのかが分かって来て、段々と楽になるはずです。



個人的なおすすめ設定等をご紹介しましたが、煩雑にならぬようほんの一部です。
詳しくは検索などで調べてみてください。
firefoxの魅力は、基本設定やアドオン導入で、「今までこんなことができたらいいなとずっと思ってた」ことが実現し、「かゆい所に手が届く」感覚にあると思います。

FirefoxおよびNoScriptはセキュリティホールへの対策を頻繁に行っています。この記事で紹介した項目等もすぐに古くなる可能性がありますのでご了承ください。
最後になりますが、FirefoxやNoScriptの更新通知が来たら、さぼらずにすぐに最新版へのインストール、Firefoxを行い、最新状態に保ちましょう。

設定項目の意味等をもっと詳しく見たいという方は
TIPS: Firefox - NoScript
が便利です。
(蒼翼さんの日記より。ありがとうございました♪)

今回は乗り換えなさる方のために最小限にしたつもりですが、
「おいおい何書いてるんだ!セキュリティ的にはこの設定も必須だろ!」「この設定はこっちのほうが」というご意見やご指摘がありましたら、どうぞコメント欄でお寄せください。

次のエントリでは、Firefoxの便利な使い方やお勧めアドオンなどをご紹介していきます。
posted by 大道寺零(管理人) at 15:47 | Comment(5) | TrackBack(0) | PC関連覚書
この記事へのコメント
元々は先日の「firefoxでseesaaブログのリッチテキストエディタを使うには」を読んで、アメブロの記事を書く際コピペができない不都合解消を狙って、NoScriptを導入したのですが、
本来の機能が大変便利で喜んで使っていて、そっちを今まで忘れていました。

ブログの使命上、フィッシングサイトなどウィルス対策ソフトのアップデートが追いついていないような未知の怪しいサイトを覗く事が多いため誠にありがたく、また「一時的に許可」が便利です(設定戻し忘れをよくやりますので)。

今回も大変便利なガイドをありがとうございました。
Posted by 末期ぃ at 2009年05月21日 23:21
2年位前から拝啓させて頂いてます。
いつも楽しい話題や有益な情報有り難う御座います。
特に今回の詳細な内容には一言お礼を言わずにはいられませんでした。
本当に有り難う御座いました。
これからもこっそり覗かせて頂きます。
m(_._)m

Posted by ぱお at 2009年05月22日 13:20
>>末期ぃさん

いわゆるウィジウィグ型のエディット画面だと、どうもFirefoxとの相性が悪いんですよねえ…
MakeLinkでリンク先へのアンカータグを取得しちゃうのに慣れたがために、結局タグモードで書いている私です。

ほんとに末期ぃさんはアレなサイトにダイヴするのがご使命なので、気が抜けませんよね。私も「一時的に許可」は意外に重宝しております。でもくれぐれもお気をつけて、無理なさらず…

>>ぱおさん

はじめまして、コメントありがとうございます。そして当方にお立ち寄りくださっていたとのこと、本当に嬉しいです。
つたなくまとめ切れていない内容ですが、一つでも参考になれたのでしたら幸いです。
駄文ばかりのブログですが、よろしかったらまた遊びにいらしてくださいませ。
Posted by 大道寺零 at 2009年05月22日 22:08
この間OS再インストールをしまして
いまセキュリティのことを考えつつ、ソフトのインストールをやっているところです。

とても当記事が役に立っております。
「NoScript」のアドオンは以前からも使っておりましたけど、改めて設定をしてみると新たな発見がありました。
(リッチテキストの設定等)

「Macならこんな面倒なことしなくていいのに…」とうちのマカーな人が申してますが、面倒な子ほどかわいいんですよねえ…
Posted by satoyoco at 2009年06月14日 14:29
>>satoyocoさん

再インストール作業お疲れ様です。ドライバやソフトを入れ直すのは本当に手間で疲れますが、より使い勝手のいい環境を構築するチャンスでもありますよね。ゆっくり頑張ってくださいませ。

NoScriptを持ちあげすぎでは、という意見があることも承知しておりますが、何だかんだ言って長いこと連れ添うと離れがたいやつであります。
少しでもお役に立てたのであれば何よりの幸いです。
Posted by 大道寺零 at 2009年06月15日 16:14
コメントを書く
お名前: [必須入力]

メールアドレス:[基本的に空欄を推奨します。詳細はこちらをご覧ください。]

ホームページアドレス:

(コメント投稿後、表示に反映されるまで時間がかかる場合がございますのでご了承の上、重複投稿にご注意ください。)
コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。