開発用のローカルサーバを10080 で立ててしまうと、最近のブラウザからはアクセスできないということが TL に流れていたのでメモ。試しに10080 でサーバを立てて Firefox でアクセスしようとしてみると、画像のような感じでブロックされてしまいました。

Web Application開発に10080番ポートは使ってはいけない

• 現在最新のGoogle Chormeで10080番ポートが使用できなくなった
• Firefoxではすでにブロック済み

NAT Slipstreaming v1^*1/v2^*2 についてはちょっと読んだことがありますが、結局ブラウザから不必要なポートにアクセスさせないという対策になったんですね。これについては、ちょっと復習しておこうと思います。

• ^*1:NAT Slipstreaming攻撃とブラウザ側の対策 - ASnoKaze blog
• ^*2:NAT Slipstreaming v2 攻撃とブラウザ側の対策 - ASnoKaze blog

Firefox のバージョン 100 に到達しました。
ついでに先日の Chrome 100 の画像も上げておきます。

• Firefox 100.0, See All New Features, Updates and Fixes
• Security Vulnerabilities fixed in Firefox 100 — Mozilla

† いつから Firefox 使っているのかというと・・・

Firefox をいつから使い始めたのかあまり記憶がないので、記録を振返ってみると 2004 年の 3 月頃から「IE が壊れた」という理由で使い始めたようです。この頃のバージョンは Firefox 1.0.1 だったようです。この頃はちょうど仕事でウェブアプリの開発をやっていて、複数ページを同時に開くことができるブラウザを必要としていたことが分かります。

その後、2011/06 の Firefox 5 から高速リリースサイクル^*1*2が始まり、どんどんバージョンアップが上がっていったわけですが、やはり今でも 2017/11 のFirefox 57 (Quantum) のリリースが完全に悪手だったと思うんですよね。

Celebrating Firefox: How we got to 100

Whether it’s celebrating the first 100 days of school or turning 100 years old, reaching a 100th milestone is a big deal worthy of confetti, streamers and cake, and of course, reflection. Today, Firefox is releasing its 100th version to our users and we wanted to take a moment to pause and look back on how we got to where we are today together as well as what features we are releasing in our 100th version.

• ^*1:Firefox5 にアップデート
• ^*2:高速リリースサイクル移行後初の Firefox ベータ版公開 | Mozilla Japan ブログ

Chrome / Firefox もそろそろバージョンが 100 の大台に到達しますが、これについて注意喚起が出ていたのでメモ。

要はバージョンが 2 桁から 3 桁になるので、UA に書かれているバージョンなどについて 2 桁決め打ちで処理をしていたりすると危ないということのようです。思わず西暦2000年問題を思い出してしまいました。

Version 100 in Chrome and Firefox - Mozilla Hacks - the Web developer blog

Major version 100 is a big milestone for both Chrome and Firefox. It also has the potential to cause breakage on websites as we move from a two-digit to a three-digit version number.

新型コロナで対応が二転三転した TLS v1.0 / v1.1 の完全無効化^*1ですが、Chrome 98 でひっそりと完了したようです。
２年前は大騒ぎ^*2でしたが、最近は対応も進んでいたので特に大きな話題にもなりませんでしたね。

【更新】主要ブラウザのセキュリティ強化に対する施策について［ Chrome 98 で TLS1.0/1.1 が完全無効化］（2022/2/22）

これまでも「主要ブラウザの TLS1.0/1.1 無効化」について情報を公開しましたが、米 Google は 2022 年 2 月 1 日（現地時間）にデスクトップ向け「 Google Chrome 98 」をリリースしました。 このリリースにより、TLS1.0/1.1 が完全無効化され、TLS1.0/1.1 を利用している Web サーバでは、エラー画面が表示され、アクセスすることができなくなりました。 なお、Microsoft Edge や Mozilla Firefox などの主要ブラウザの最新版でも同様に、完全無効化されています。

• ^*1:Firefox が TLSv1.0/1.1 の無効化を延期
• ^*2:フィッシング対策協議会　Council of Anti-Phishing Japan | ニュース | 協議会からのお知らせ | 主要ブラウザのセキュリティ強化に対する施策について（2020/3/31）

Chrome を別プロファイルで起動したい場合にはコマンドラインオプションとして--user-data-dir= をつけたショートカットを作れば良いというのは分かっていましたが、PC 操作が得意ではない人に説明するのが面倒なのでbat ファイルの名前によって Chrome のプロファイルが切り替わる bat ファイルを書いてみました。

ファイルをダウンロードしてa.bat という名前にすれば、%HOMEPATH%/aにプロファイルができ、b.bat という名前にすれば、%HOMEPATH%/bにプロファイルができるという単純な bat です。

† セキュリティ的にはイマイチかも

bat ファイルを配布する方法もイマイチなのかもしれませんが、最近は Office 365 等のアカウント切り替えが大変という話もあるので複数プロファイルが簡単に切り替えられると便利なのは間違いないんですよね。

先日から Selenium で書いたプログラムが以下のようなエラーを吐くようになってしまって困りました。

selenium.common.exceptions.InvalidCookieDomainException: Message: invalid cookie domain

どうも最近の Chrome はプライバシー強化がされていて、一度も開いたことがないサイトの Cookie の設定を拒否するようになってしまったようです。以下のような感じで、まず get() を使って対象のウェブサイトのトップページを表示させることで回避することができました。

最近、Google で検索すると上位のサイトに内容があまりないまとめサイトのようなものが多く表示されるので困っていたのですが、uBlacklist　という特定のサイトを Google の検索結果に表示させないようにするアドオンがあることが分かったのでメモ。PC を複数台使っているとリストの同期が面倒なので、GitHub や Gist 等をつかって URL からリストが同期されるように設定して運用すると便利です。

uBlacklist – ? Firefox (ja) 向け拡張機能を入手

指定したサイトが Google の検索結果で表示されないようにするアドオンです。

ブロックするサイトは、検索結果から指定したり、サイトを開いた状態でツールバーのアイコンをクリックして指定することができます。マッチパターン (例: *://*.example.com/*) か、正規表現 (例: /example\.(net|org)/) を使って指定できます。

Firefox 用だけでなく、もちろんChorme 用もあります。

• uBlacklist - Chrome ウェブストア

Firefox は 2020 年からリリースサイクルを 4 週間にしていました^*1が、Chrome もリリースサイクルを 4 週間に変更するようです。

最近は Firefox も Chrome も最近は自動的にアップデートされるので、バージョンいくつのものを使っているのかということもあまり気にしなくなってしまいました。

グーグルがChromeのリリースサイクルを6週から4週に短縮 | TechCrunch Japan

米国時間3月4日、GoogleはChromeブラウザーのリリースサイクルを現在の6週間間隔（+隔週のセキュリティパッチ）から4週間に短縮すると発表した。

• ^*1:Moving Firefox to a faster 4-week release cycle - Mozilla Hacks - the Web developer blog

Google が Chrome に脆弱なパスワードを簡単に変更する機能を搭載^*1していたのでメモ。

パスワード管理はパスワードマネージャにに任せれば大半のことは自動化できますが、最後は脆弱なパスワードを１つ１つ変更していかなければならないのが面倒なので、この辺りを自動化してくる Chrome は良いところを突いていると思います。

Chrome 88で漏えい済み/脆弱パスワードを一括更新できる機能 - PC Watch

Chrome 88では新たに、複数のユーザーとパスワードの更新が一括で簡単に行なえるようになった(Android版Chromeは近日中に実装予定)。

• ^*1:Google Online Security Blog: New Year, new password protections in Chrome

Chrome は 86 からURL の表示をデフォルトでドメイン名表示のみに変更するという試験を開始するようです。
確かに最近のフィッシングサイトは URL が細工されていて、気づくのが難しい場合が増えてきましたので、パッと見てドメインがわかりやすくなるというのは良いですね。

Chrome 86 の試験運用の対象者はランダムで選ばれるようですが、以下の解説を読むと設定を変更して自ら試してみることもできるようです。

Google Developers Japan: URL のなりすましを見つけやすくする Chrome の試験運用について

各種ブラウザは、デフォルトでドメインのみを表示する、登録可能なドメイン（ドメイン名の「最も重要な」部分）を視覚的にハイライト表示するなど、さまざまな方法でこの問題に対処しようとしています。

• タイルカーペットの床にマー... (2)
• find で特定のディレクトリを... (2)
• Word で数式がグレーアウトさ... (1)
• fooba 2000 の Playlist を日... (1)
• 学会たいま～ 座長の友 (1)

• ・2024 年の人気エントリ Top 100

• ・アーロンチェアのポスチャーフィットを修理

• ・福岡銀がデマの投稿者への刑事告訴を検討中

• ・年次の人間ドックへ

• ・GitHub が全ての公開リポジトリへのシークレットスキャンを有効に

• Academic[574]
• Book[155]
• Diary[522]
• Disaster[101]
• Foodlogue[1425]
• Game[284]
• Goods[805]
• Healthcare[341]
• Hobby[32]
• IT[1195]
• Military[343]
• misc.[1570]
• Mobile[510]
• Music[38]
• Neta[106]
• News[95]
• Photo[391]
• RealEstate[120]
• Security[1178]
• SEO Contest[36]
• Software[634]
• Tips[1886]
• Travelogue[1238]
• Web[675]
• Work[193]