Hatena::ブログ(Diary)

脳無しの呟き《土鍋と麦酒と炬燵猫》(旧) RSSフィード

2012/01/19

WebGL の脆弱性問題その後

昨年の5月に注意喚起された WebGL における脆弱性問題なのだけど、「そういえばどうなってたんだっけ」ということで思い出した。結論から書けばあまり進展していないようで、続報を探すもあまり触れられてはいない様子。つまりは現在においてもブラウザ側での設定を無効にしておいた方が良いということになるのだけど、Microsoft は採用しない方向だしこのままだと消えるしまう技術になるかも的な。

以前に書いたエントリ *1 では FirefoxMac OS XGoogle Chrome での WebGL 無効化について書いたのだけど、あれから少しだけ状況は変わっていて、Chrome に関してはデフォルトが WebGL 無効になっていた。当時は Automator.app を使って起動オプション付きで起動するアプリを作ったのだけど、現在では必要なし。有効にしたければ Chrome を起動して URL 欄に "chrome://flags" と入力して enter し、その設定画面から。

Firefox は相変わらずデフォルトが有効なのだけど、こちらは以前と同じで "about:config" から "webgl.disabled" の項目を検索して表示して値を "true" にすれば良い。結局のところ、DoS 攻撃を引き起こすビデオカードの問題が完全に解決しないと常時有効にしておくわけにもいかないという雰囲気。

問題発覚から8ヶ月くらい経ったけど、進展と言えば Mac OS X 版 Google Chrome での面倒な起動が必要なくなったというくらい。WebGL を利用したコンテンツを閲覧したければ、自己責任で有効にしてくださいということになりますか。

2011/05/12

WebGL の脆弱性問題と Macintosh 版の Google Chrome に関して

3D グラフィックスを表示するための標準規格に WebGL というものがあるのだけれど、これに関してセキュリティ上の問題があるとして注意喚起されていた。

■3D表示規格の「WebGL」に深刻なセキュリティ問題、主要ブラウザに影響 - ITmedia ニュース
http://www.itmedia.co.jp/news/articles/1105/11/news026.html
■WebGLの(実質的に)仕様上の脆弱性について(日本語訳) - ものがたり
http://d.hatena.ne.jp/atsushieno/20110511/p1

現在対象となっているブラウザは、WebGL に対応している Firefox 4 と Google Chrome 。対応策としては、それぞれのブラウザで WebGL 機能を無効にすること。Windows 版に関しては、セキュリティホール memo さんのコンテンツを。

■セキュリティホール memo
http://www.st.ryukoku.ac.jp/~kjm/security/memo/#20110511_WebGL

Firefox 4 に関しては、Mac OS X でも同じ対応で良い。URL 欄に "about:config" と入力して設定画面を表示、"webgl.disabled" の項目を "true" から "false" にするだけ。問題となるのは、Google Chrome の方。

Macintosh 版 Google Chrome を起動オプション付きで起動する

Macintosh 版の Google Chrome に関しては、Windows 版のそれとは違って少し面倒。ターミナルから起動すれば良いのだけども、その場合は以下のコマンドをターミナルに入力して enter を叩くことになる。

open -a Google\ Chrome --args --disable-webgl

私の場合、シェルは zsh を使っていて補完機能を使うだとかコマンド登録をしておけば楽に起動はできる……のだけど、これだと Google Chrome が起動してもターミナルは終了せずにそのままという感じ。というか、地味に面倒くさい。いずれは対応されるだろうから、メインブラウザが Google Chrome でないのならこれでもいいかなという程度。

Automator.app を使って起動オプション付きのアプリケーションを作成する

ターミナルから起動するのは面倒くさいので、Automator.app を使って起動オプション付きで起動できるアプリケーションを作成する。作成は至って簡単。

  1. Automator.app を起動するとテンプレート選択の画面になるので、『アプリケーション』を選択する。
    テンプレート選択画面で『アプリケーション』を選択する
  2. 左上にある検索窓に「スクリプト」と入力して検索すると『シェルスクリプトの実行』というアクションが表示されるので、それを右側のフィールドにドラッグ&ドロップする。
  3. コマンドの入力画面が開くが、すでに入力されている "cat" は削除して "open -a Google\ Chrome --args --disable-webgl" と入力する。(画像をクリックすると元画像が開きます)
    コマンド入力画面に入力する
  4. 『ファイル』メニューから『別名で保存...』を選択して、適当な名前を付ける。私は "Chrome_nonewebgl.app" としてアプリケーションフォルダに保存した。

というわけで、完成したアプリケーションを Dock に登録すれば、簡単に起動オプション付きで Google Chrome を起動できるようになる。ちなみに起動オプションはいろいろあるので、他に追加したいものがあれば記述しておくのもありです *1

■ついでだからさらに便利に使う

私は Quicksilver というランチャを利用しているので、これを利用して作ったアプリケーションにショートカットを割り当てた。これを使えば Dock に登録する必要もなくなるという次第。それにしても、知らないとまったくどうしていいやらわからなくなりますね。

Google Chrome がメインブラウザな Mac OS X ユーザの方は参考にしてくださいませ。

2010/10/11

Google Chrome をインストールした

OS に関係なくメインのブランザは Firefox を使っているのだけど、よくよく考えたら Mac OS X 版の Google Chrome はインストールしていなかった。お仕事でサイトの確認等に使うことはあるので、やはりインストールはしておかないと……という感じ。知らなかったのだけど、すでにβではなかったのね(だめだめ)。

使用する環境はできるだけ Firefox に近づけておきたいので、該当しそうな拡張機能を探してインストールする。

Webpage Screenshot
 Web ページを丸ごとキャプチャする。
AutoPager Chrome
 複数に分割されたページを連結して表示する。
Docs PDF/PowerPoint Viewer
 PDF ファイルや PPT ファイルを Google Docs Viewer でプレビューする。
Firebug Lite for Google Chrome
 Firefox で有名になった開発用便利ツール。
Evernote ウェブクリッパー
 Evernote への簡単保存。
Web Developer
 開発用ツールの定番。
Stylish
 Web サイトごとのユーザスタイルシートを管理する。
MeasureIt!
 Web ページ上にあるコンテンツの大きさを計ることができる。
Auto-Reload
 Web ページを任意の時間間隔で自動的に再読み込みさせる。
User-Agent Switcher for Chrome
 Chrome の User Agent を簡単に切り替える。
Tabs Plus
 Chrome のタブを拡張する。
ShowIP
 接続時における自身が利用している IP アドレスを確認する。
DropBox
 DropBox への簡単アクセス。
NotScripts
 Firefox 用アドオンで有名な NoScript の Chrome 版。使用するにはインストール後、設定ファイルへ 20 文字以上の任意のパスワードを記述して保存する必要がある。
Share on Tumblr
 Tumblr への簡単クリップ。
Create Link
 Firefox で使える Make Link の Chrome 版。Web ページへのリンクをカスタマイズしてコピーする。

Firefox のブックマークはコピーしないで、よく利用するサイトを整理しながら地道にクリップ(まだまだ作業中)。完全移行するかどうかはわからないのだけど、使用した感じは評判通りでかなり速い。個人的に Safari はあまり使う気がしない *1 ので、Chrome に移行するかどうかは今後の拡張機能の充実と Firefox 次期バージョンをみてからかなぁ。

*1:特に理由はない。