- 2018年8月29日
- その他脆弱性情報
ブラウザソフトの定番であるMozilla Firefoxに脆弱性が発見されました。
ブラウザソフトの定番であるMozilla Firefoxに脆弱性が発見されました。
■概要
Firefox には、アクセス制御に関する脆弱性が存在します。■影響を受けるシステム
Mozilla Firefox 59 未満■想定される影響
情報を改ざんされる可能性があります。(Firefox におけるアクセス制御に関する脆弱性, JVN, 2018/08/22より引用)
Mozilla Foundationから正式な対策が公開されています。詳しい情報は引用元のサイトをご覧ください。
ソフトウェアのバージョンアップとユーザインタフェース
Firefoxといえば少し前に「Quantum」というバージョンがリリースされましたね。これはブラウザ本体の大きなアップデートとなりましたが、同時に以前から存在していたアドオンの対応が追い付かなくて、私の周りではQuantumの登場後にも関わらず、過去のバージョンのFirefoxを使い続けるというチップスが流行ってました。
ソフトウェアのバージョンアップではこのような状態になることがよくあります。特に大幅なユーザインタフェースの変更は、これまでソフトウェアを使用してきたユーザからすると、どうしても戸惑いを感じる原因になります。、「なにこれ。前の方が全然よかった!」って思われたら最後。ユーザはあの手この手を使って、過去のバージョンを使い続ける方法を探し続けるでしょう。これはデスクトップアプリだけでなく、Webサービスでも同様です。
Twitterやfacebookのプロフィールアイコンが丸くなったことに違和感を覚えた方も多くいらっしゃるでしょう。それと少し前にBacklogをいうプロジェクト管理ツールのユーザインタフェースも大きく変更されました。そして最近だとGmailのユーザインタフェースも刷新されようとしています。
ローカルで動作するソフトウェアでは過去のバージョンを使い続けるという方法で以前の環境を継続できますが、Webサービスにおいても大幅なユーザインタフェースの変更があった場合、「以前のデザインに戻す」的なボタンが用意されているケースもあります。
ユーザインタフェースの変更は利用者にとって「変化した感」が強いので特にインパクトがあると思います。しかし、開発元もただ何となく変更したわけではなく、ちゃんと使用環境やユーザの声を反映して変更しているはずです。変更後のユーザインタフェースも少しの間使い続ければ、すんなり慣れてきて、「あれ、昔のデザインってどんな感じだったっけ?」という状態になったりします。私もBacklogの昔のユーザインタフェースが思い出せない・・・。
このようにソフトウェアのバージョンアップでは、機能の追加やユーザインタフェースの変更が注目を浴びることが多いのですが、セキュリティ対策や脆弱性の解消も無視することができないバージョンアップの目的の一つです。そこで大幅な機能追加やユーザインタフェースの変更と、セキュリティ対策や脆弱性の解消の両立がうまくいっている事例としてWordPressのリリース方法について簡単に紹介します。
理にかなっていると感じるWordPressのリリース方法
WordPressでは「メジャーリリース」と「マイナーリリース」の2つのリリースに分類してソフトウェアのリリースサイクルを行っています。
メジャーリリースでは新しい機能の追加やユーザインタフェースの変更などが行われます。一方、マイナーリリースはバグ修正やセキュリティ対策のためのリリースです。原則としてマイナーリリースはWordPressの自動アップデートという機能により自動的に行われることになっています。
WordPressではプログラムのバージョンアップを行っても、後方互換性を維持するという方針が取られています。古くサポートされなくなった関数などに対しても、削除するのではなく、非推奨のフラグを立てるといった具合です。
WordPressにおけるメジャーリリースはバージョン4.6とかバージョン4.7などの小数点第一桁の数値が増えるバージョンアップです。そしてマイナーリリースはバージョン4.6.1や4.7.2などのメジャーバージョンをさらに細かくした数値によって表現されます。
ここで注目したいのが、セキュリティ対策のためのマイナーリリースは過去のメジャーリリースに対しても同様に行われるという事です。
2018年7月5日にメジャーバージョン4.9に対して何らかの修正を行いマイナーバージョン4.9.7がリリースされました。この修正はメジャーバージョン4.9だけでなく、メジャーバージョン4.8にも適応されマイナーバージョン4.8.7がリリースされ、さらに過去のメジャーバージョン4.7に対しても適応されマイナーバージョン4.7.11がリリースされるといった具合です。ここでバージョン4.9.7もバージョン4.8.7もバージョン4.7.11もほぼ同じ内容の修正が行われています。
WordPressは広く普及したソフトウェアです。ユーザはいろいろな環境で使用していることが考えられます。メジャーバージョンのバージョンアップは自動的に行われないという理由もあるのですが、過去のメジャーバージョンに対しても最新のメジャーバージョンと同様にセキュリティ対策が自動で行われるのは、わりと理にかなったシステムだと個人的には思うのですがいかがでしょうか。
でもやっぱりソフトウェアは最新版を使うべき
WordPressが過去のメジャーバージョンにおいても最新のセキュリティ対策が施されるという事例を紹介しました。しかし理想を言えばWordPressに関わらずソフトウェアというのは最新のバージョンを使うべきだと思います。
Firefoxにおいてもメジャーリリースとマイナーリリースの区別はありますが、WordPressとは違ってFirefoxではメジャーリリースに関しても問答無用で自動アップデートされるようになっています。セキュリティのことを考えれば、本来それくらいの強制力があっていいかなと個人的には思うのですが、システムのアドオンやプラグインの相性問題、さらに機能変更に伴う使い勝手の変化なども考えると、一概に最新バージョンをすぐに使うべきとは言い切れないこともあります。理想を言えば本体のアップデートに伴って、アドオンやプラグインが遅滞なく対応し、ユーザがスムーズに使用できるというのがベストなんでしょうけど、なかなかそうはなりませんよね。難しいところです。
(Photo by Olivia Spink on Unsplash)