とりかごとなり。

Mozilla Thunderbirdに関する個人的な備忘録とか設定とか。トラシュー時の対処や考え方が基本路線です。

基本操作はThunderbird全般、何か困った! の時はトラシュー基本をどうぞ。
そのほかのカテゴリーは右サイドから。

WOT(Web of Trust)がやばい、というお話

(2017/01/26追記)この記事は2016年11月時点の話です。その後WOT側がプライバシーポリシーとオプトアウトとを改訂した件について書きました→WOTのプライバシーポリシーとオプトアウト - とりかごとなり。

そもそもの発端は
HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - clock-up-blog
Chrome拡張のHTTP Headersでマルウェア疑惑がほぼ黒、という話をみて、「やばいやばいVivaldiに入ってる」と思い速攻削除したのですが、はてブコメントで「WOT(Web of Trust)もやばい」
apppppp コッチよりも百万人以上が導入している Wot機能拡張 の方がもっとヤバイことを知った。
とか
asyst 気になって拡張機能見直したら、Web of Trust がブラウザ履歴販売してるという情報が出ててきた。 https://addons.mozilla.org/ja/firefox/addon/wot-safe-browsing-tool/reviews/

なる話をみて「ふぎゃぁぁぁ」状態。

WOT使ってるよ!めっちゃ使ってる!
普段はVivaldiFirefoxの2面使いですけど、両方に入ってる。
本当なら新聞1面トップで周知してもいいくらいの重大情報。

早速addons.mozilla.orgのサイトを見てみると…
1ページ目
2ページ目
3ページ目
4ページ目
5ページ目

5ページ目の途中に至るまで延々と★1が並んでます…
(ページ数は11/3 20:00時点のもの/その後削除済)*1

Chromeのストアレビューはこちら。(「すべての言語」にしないとでてこない)
WOT: Web of Trust, Website Reputation Ratings - Chrome Web Store

やけにドイツ語のレビューが多いと思ったら、元となる記事がドイツ語だった様子。
Millionen Surf-Profile: Daten stammen angeblich auch von Browser-Addon WOT | heise online
Browser-Erweiterung gibt Daten weiter: "Web of Trust" späht Nutzer aus | tagesschau.de

読めない…(´・ω・`)
仕方がないのでぐぐる機械翻訳にかけてみると、heise onlineの冒頭部分

Die detaillierten Daten zum Surfverhalten von Millionen Deutschen, auf die NDR-Reporter Zugriff haben, stammen offenbar auch von der beliebten Browser-Erweiterung WOT. Die damit gesammelten Daten seien leicht bestimmten Personen zuzuordnen.

 の意味は

どうやら人気のあるブラウザの拡張WOTから発信NDRレポーターアクセスで、ドイツ人の何百万もの閲覧行動に関する詳細なデータ。このようにして集めたデータを簡単に特定の個人に割り当てられています

 とあって非常にヤバい。本来の意味でやばい。

しかしドイツ語を逐次機械翻訳で読むの辛いので何か…とおもっていたら、addons.mozilla.orgのレビューの中で英語の解説があった。
Nackt im Netz: Millionen Nutzer ausgespäht | NDR.de - Nachrichten - Netzwelt

Google翻訳(一部)らしい。
https://addons.mozilla.org/ja/firefox/addon/wot-safe-browsing-tool/reviews/826504/

"In the searches of the NDR a browser extension of the company "Web of Trust" (WOT) occurred. WOT offers a service that is designed to help the user navigate securely: the extension checks the integrity of web pages, evaluates pages visited by a traffic light system with regard to security.
In the background, however, the extension also logs and transmits the data for the surfing behavior of the user to a server abroad. A profile is created where the date, time, location and controlled web address are stored together with a user ID. These data then go to intermediaries. From one of these intermediaries, Panorama and ZAPP got their record."

と書いてある。超要約すると、

WOTはユーザの安全性に役立つサービスを提供する一方で、裏ではユーザのネットサーフィンのログ取りをし、海外サーバへ送信していた。日時・場所・管理されたwebアドレス(と伴にユーザID)のプロファイルが作られ、これらのデータは仲介人に渡る。仲介人の一つはPanorama and ZAPPで、これらの記録を得る。

ということらしい。

ドイツ語原文は記事の中盤、多分ここの部分。

In den Recherchen des NDR fiel etwa eine Browser-Erweiterung der Firma "Web of Trust" (WOT) auf. WOT bietet eigentlich einen Service an, der dem Nutzer dabei helfen soll, sicher zu surfen: Die Erweiterung prüft die Integrität von Webseiten, bewertet besuchte Seiten anhand eines Ampel-Systems im Hinblick auf Sicherheit.

Im Hintergrund protokolliert und übermittelt die Erweiterung aber auch die Daten zum Surf-Verhalten des Nutzers an einen Server im Ausland. Dort wird ein Profil erstellt, bei dem Datum, Uhrzeit, Ort und angesteuerte Web-Adresse gemeinsam mit einer Nutzer-Kennung abgespeichert werden. Diese Daten gehen dann an Zwischenhändler. Von einem dieser Zwischenhändler haben Panorama und ZAPP ihren Datensatz bezogen.

 なんだそれ、きーてない。
この、「きーてねーよ」はドイツでも同じように思ったらしく、heise onlineの記事内でも以下の文章が。

Hamburgs Datenschutzbeauftragter Johannes Caspar hat das Geschäftsgebaren von WOT nach dem Bericht nun kritisiert. Zwar sei es grundsätzlich zulässig, personenbezogene Daten weiterzugeben, dem müssten die betroffenen Nutzer aber zustimmen. Zu solch einer Einwilligung sei es aber unerlässlich, dass die Nutzer wüssten, wozu sie zustimmen. Das sei bei WOT nicht der Fall. Immerhin werde behauptet, dass die Daten nicht personenbezogen seien, was ja nicht stimme. Die massive Auswertung dieser Daten sei damit nach deutschem Recht nicht erlaubt. Das hinter WOT stehende Unternehmen hat sich noch nicht zu den Vorwürfen geäußert.

 「個人データの開示にはユーザの許可が不可欠だけどWOTは違うよね、やってないじゃん」
(Zwar sei es grundsätzlich zulässig, personenbezogene Daten weiterzugeben, dem müssten die betroffenen Nutzer aber zustimmen. Zu solch einer Einwilligung sei es aber unerlässlich, dass die Nutzer wüssten, wozu sie zustimmen. Das sei bei WOT nicht der Fall. }
といったことが書かれています。また、これらが入手した個人データではないことは事実として合っていない*2と主張している
(Immerhin werde behauptet, dass die Daten nicht personenbezogen seien, was ja nicht stimme)
ようです。

ともかく、こんな重大事実がわかったとなればさっさとアンインストールするのが吉。
アドオンのレビューでも「速攻削除しろ」といったコメントが続いてます。

WOTってニュースサイトとかでも「ブラウザ入れたら入れておけ」的な扱いだったように思ったのに、どこでどうなってしまったのか。
特にここは「ユーザの安全守ります」な看板だったはず。何がどうしてこうなった。

アドオンそのものに有害コードが混ざったなどと違い、この手のデータの扱いって外からはほとんど気付けない。
一般ユーザの自衛ってどうしたらよいのか…

*1:あまりに壮観だったのに魚拓は取り損ねました。ローカルには保存したけど。

*2:当初「WOTはこれらが個人データではない、合っていないと主張している」と書いてたんですが修正

Thunderbird 45.4.0 Release

Thunderbird 45.4.0がリリースされました。
Thunderbird — Notes (45.4.0) — Mozilla


修正された全Bug一覧
https://bugzilla.mozilla.org/buglist.cgi?list_id=13241865&o1=equals&o2=equals&v1=fixed&v2=49%2B&f1=cf_status_thunderbird_esr45&query_format=advanced&f2=cf_tracking_thunderbird_esr45

不具合修正になっています。
Firefox ESRのsecurity fixも入るような話を聞きましたが*1リリースノートには書いてない…

リリースノートの一覧。

"Apply columns to..." did not honor special folder

「コラム(列表示)を適用」が特別なフォルダを尊重しない遵守しない、上手くいかない(2016/10/5追記:動詞なので守る・遵守するの訳にあわせました)
対応バグ:562266 – "Apply columns to..." should honor special folders

「コラム」はスレッドペインのコラム(下図参照)を指し、「特別な」フォルダというのは受信トレイ、送信済みトレイ、下書きなどの特別な役割を持ったフォルダのことと思われます。

f:id:meeyar:20161005234750p:plain


元々は古いBugですけど、Thunderbird45で導入された「通信相手」(Correspondents)絡みでも議論があった様子。

Threading broken when editing message draft, due to loss of Message-ID

メッセージの下書き編集時、Message-IDを失ってしまうためにスレッドが壊れる
対応Bug:1279869 – Message-ID not preserved on "edit draft" of message manually stored in Drafts folder, breaking threading. 2nd problem: reusing message ID when "edit as new".

Mail saved as template copied In-Reply-To and References from original email.

メールをテンプレートとして保存後、オリジナルのメールのIn-Reply-To:とReferences:をコピーしてしまう
対応Bug:726281 – In-Reply-To: and References: should be removed from mail saved as Template

Additional spaces were inserted when drafts were edited.

下書き編集時、余分なスペースが挿入される
対応Bug:1287126 – Space stuffing not removed when draft is edited (format=flowed)

Recipient addresses were shown in red despite being inserted from the address book in some circumstances.

幾つかの状況において、アドレス帳から挿入した受信者のアドレスが赤文字で表示される
対応Bug:1290839 – Address Autocomplete: Red addresses still occur after bug 1042561 if addresses are added from the Contacts Sidebar following unknown address

Display name was truncated if no separating space before email address.

メールアドレスの前に区切りのスペースがなければ表示名(の文字)が切り取られてしまう
対応Bug:1289939 – display name truncated if no blank at end

リリースノートに非掲載で気になったもの

OS X10.10以降の環境で、ウィンドウがアクティブになってない時、メールツールバーのボタン(.toolbarbutton-1)にチェック入ってると暗すぎる、という不具合。
1278123 – Add a style for checked .toolbarbutton-1 on inactive windows on OSX 10.10+
でも手持ちの環境(OS X10.10+Thunderbird45.2)では再現できなかった…

アカウント設定のウィンドウがモニターサイズより高すぎる
507640 – Account Settings Window Is Too Tall to Fit Monitor Screen
古いBugですがようやく修正された様子。ネットブック等で表示領域厳しい人には朗報かも。

Thunderbird 45.3.0 Release

Thunderbirdの45.3.0がリリースされました。
Thunderbird — Notes (45.3.0) — Mozilla
修正された全Bug一覧
Bug List

目玉の修正は、国内外で散々物議を醸した

"edit as new message" on a received message pre-filled the sender as the composing identity.
「新しく編集」で元メールの差出人がメール作成者のidentityとして入ってしまう

 の修正と思われます。

Resolved fixed Bug1254666 - とりかごとなり。
でも書いたように、、既存のメールについて「新しく編集」を選んだ場合でも、本来の差出人の情報が入るような挙動(38.xまでの仕様)に戻されています。
1254666 – "edit as new message" on a received message prefills the sender as the composing identity
の修正です。

他の修正としては、

Certain messages caused corruption of the drafts summary database.
あるメッセージが下書きの要約データベース破壊を引き起こす

対応bugは
1276419 – embedded image with source URL with ? leads to corrupt src="mailbox:///.../Drafts?number=..." in a composition. (This gets sent without being converted to reference via CID).

(メッセージ作成画面で?が付いた画像埋め込みのURL*1が壊れてしまう)

Disposition-Notification-To could not be used in mail.compose.other.header
設定エディタ中のmail.compose.other.headerにてDisposition-Notification-To*2が使えない

こちらの対応bugは
1250376 – Since jsmime.js, no longer possible to use Disposition-Notification-To in mail.compose.other.header
設定エディタのmail.compose.other.headerでカスタムのメールヘッダを追加できる機能でDisposition-Notification-Toを追加しても実質使えない(ヘッダが追加されない)という問題の修正です。
開封確認要求なんて滅びてほしいメール悪習の筆頭みたいなもんだけど…

その他にもsecurity fixが幾つか修正されていますので、アップデートをお勧めします。

*1:src="mailbox:///.../Drafts?number=.../

*2:開封確認要求のヘッダ開封確認メール ‐ 通信用語の基礎知識

プロファイル復旧2:Mailデータを一括コピー/プロファイル内ファイルの優先順位

プロファイル復旧1:壊れた環境からのミニマム移行 - とりかごとなり。 では本当にごくごく最低限のファイルのみを移行する方法を書きましたが、「えーっ他のものは持ち込めないの?」というのが気になるところです。
本当にプロファイル全体がぼろぼろになっていて、異常動作や表示が根本的におかしな場合はミニマム移行が望ましいと思いますが、なるべく多くのファイル・設定を旧環境から流用出来るに越したことはありません。

また、同じプロファイル内に複数のメールアカウントを設定している場合、すべてのアカウントについて一つ一つメールデータをコピペしなければならないのか…というのも移行へのハードルを感じる要因と思います。

そこでこの記事では、「アカウント設定をやり直さなければいけない場合でもMailフォルダ以下を一括コピペできないのか」「他にどんなファイルを新環境(プロファイル)に移行できるのか」といったことについて書いていきます。

比較的影響が少ないと思しきものを取り上げていますが、当然これらにもダメージ負ったケースはありうるわけで、「移さない方がいい」と考えられる場合(症状)を橙文字で書いています。
橙文字症状がある場合は無理に移さず、新環境で設定をやり直す方がよいでしょう。

プロファイルの概略についてはプロファイル移行1[プロファイル概略] - とりかごとなり。を、各ファイルの解説についてはTransferring data to a new profile - Thunderbird - MozillaZine Knowledge BaseFiles and folders in the profile - Thunderbird - MozillaZine Knowledge Baseもどうぞ。

今回も相当長いです…

続きを読む

プロファイル復旧1:壊れた環境からのミニマム移行

Thunderbirdのバックアップは、プロファイルフォルダを保存しておけば、あとからデータの移行や復元が可能です。
プロファイルのバックアップはどこを保存? - とりかごとなり。

以前に書いたプロファイル移行についての記事
プロファイル移行2[バックアップと移行] - とりかごとなり。
は、プロファイルの中身(各種設定やメールデータなど)が特に問題ない、健全な状態であることを前提として書いていました。
しかし、実際には「何かThunderbirdの挙動がおかしい、メールを正常に表示できない」といったイレギュラーな出来事が起きた場合に、環境を作り直す意味で、新しくプロファイルの作成を試みるケースもあるあるです。

以前の記事では、このような場合について、

移行前に「古いパソコンでThunderbirdが何かおかしな動作している」といった場合、今までのプロファイルを丸々持ち込むと、新しい環境でも不具合を再現することになります。
この時は、旧環境のバックアップを確保したうえで、必要最小限のファイルのみを移行する方が安パイです。

と書いていました。
しかし「必要最小限のファイルのみを移行」について具体的な方法を書いていなかったため、ここで手順を書いておきます。
※プロファイルフォルダを直接操作(バックアップ・コピー・移行)する方法です。アドオンや外部プログラム(mozbackup等)を活用した方法ではありません。

かなり長めの記事です。

続きを読む

All-in-one Sidebar 0.7.30 updated

大変遅ればせの報告ですが、All-in-one Sidebarが0.7.30にアップデートされています。
All-in-One Sidebar has been updated! :: Sidebar Extension for Mozilla Firefox
一応更新は8/21ということになっている…のだけどFirefoxのアップデートまで気付かなかった人σ(^_^;)
ぐすんo(>_<, )o

散々物議を醸したサイドバーのアイコン問題や、設定画面のボタンが無反応だった問題が修正されています。

Resolved fixed Bug1254666

Thunderbird45の新機能のうち、差出人名(From:)をカスタマイズ出来るようになった件*1で、既存のメールについて「新しいメッセージとして編集」を選ぶと、差出人名に元のメールアドレスが入ってしまう現象が物議を醸しています。

フォーラムだと以下のトピックなど
MozillaZine.jp フォーラム • トピック - 差出人アドレスをカスタマイズすると
MozillaZine.jp フォーラム • トピック - 着信したメールで新しいメッセージとして編集すると

要するに、「新しく編集」した場合、従来だと自分自身のアドレスがFromに来ていたのに、Thunderbird45環境では元のメールにあるメールアドレスがFromにそのまま反映されており、かつこのままの状態で送信可能

メールのなりすましが可能であり、問題じゃね?
という話の流れになっています。

この現象については、Bugzillaにも重複バグがたくさん立っており、中心となる議論は以下のBug内で行われていました。
Bug 1254666 – "edit as new message" on a received message prefills the sender as the composing identity
Thunderbird45の挙動のままにするか、従来の仕様に戻すかで散々揉めていたものの、結局は従来の挙動が広く望まれている事情から、従来の仕様に戻す修正が入りました。

当初の修正はAurora(Tb49)で入ったのですが、つい先日「需要が高いから」ということでESR45にも適用されました。
そのうちアップデートがかかることが期待されます。

 

*1:Thunderbird 45.0 リリースノートの「メッセージ編集時に送信者を編集できるようにしました。」に相当