ニュース

AVIFに対応した「Firefox 93」が正式版に ~Windows版にはメモリ枯渇時にタブをアンロードする機能

SmartBlock 3.0とHTTPリファラー保護、安全でない接続からのダウンロードブロックでセキュリティも強化

「Firefox」v93.0

 Mozillaは10月5日(米国時間)、デスクトップ向け「Firefox」の最新版v93.0を正式公開した。「Firefox 93」では、新しい画像フォーマット「AVIF」をサポート。ロイヤリティフリーな動画コーデック「AV1」がベースで、透過などのモダンな機能をサポートしつつも既存のフォーマットと比較してファイルサイズが抑えられており。データ転送量の抑制が期待できる。「Firefox」以外では「Google Chrome」や「Opera」、「Vivaldi」などで利用可能だ(「Microsoft Edge」は未対応)。

AVIF形式のサポート状況(「https://caniuse.com/avif」より)

 そのほかにもPDFビューワー機能が強化され、一部の政府機関や銀行で導入が進んでいるXMLをベースとしたPDFフォーム「XFA」(XML Forms Architecture)がサポートされた。また、Windows環境でアクティブではないタブを自動的にアンロードする機能(Tab Unloading)が追加された。これはメモリが極端に不足した場合に、最終アクセス時刻やメモリ使用量などを考慮してピックアップされたタブのリソースが解放されるというもので、メモリ不足に起因するクラッシュを防止できるという。アンロードされたタブは、選択すると自動的に再読み込みされる。

 セキュリティ面では、「SmartBlock 3.0」とHTTPリファラー保護の導入が導入された。

 「SmartBlock」は、「Firefox 87」から搭載されている追跡スクリプトのインテリジェントなブロックメカニズム。単にサードパーティのトラッキングスクリプトをブロックするだけではWebサイトが壊れてしまうことがあるが、その身代わりを「Firefox」が用意することで互換性を維持する。この機能は継続的にアップデートされており、「Firefox 90」では「SmartBlock 2.0」が、「Firefox 93」では「SmartBlock 3.0」が搭載されている。最新版では「Google アナリティクス」の置き換え処理が大幅に改善されたほか、多くの人気サイトへの対応が追加されているという。

 一方、HTTPリファラー保護(HTTP Referrer Protections)は「Referer」リクエストヘッダーを介したプライバシー情報の漏洩を防止する仕組みだ。このヘッダーには参照元、つまり「ユーザーがどこからやってきたか」という情報が含まれており、アクセス解析やWebサイトの最適化に役立てられているが、残念ながら過剰なユーザー追跡に悪用されてしまうケースも少なくない。

 そこで「Firefox 87」では、HTTPリファラー保護の一環として既定ポリシーが厳格化され、クロスオリジン(ドメインをまたぐ移動など)でリファラーの一部を削除(トリム)して送信するようになった(strict-origin-when-cross-origin)。本バージョンではこの取り組みをさらに進め、「no-referrer-when-downgrade」「origin-when-cross-origin」「unsafe-url」といったポリシーを無視するようになり、クロスサイトリクエストのHTTPリファラーは常にトリムされるようになった。同一サイト内であれば、これまで通りHTTPリファラーを取得できる。

 さらに、「Firefox 93」では安全でない接続からのダウンロードが既定でブロックされるようになった。HTTPSサイトからHTTPでリンクされたファイルをダウンロードするケースや、サンドボックス化されたiframe上でダウンロードする場合、警告が表示される。

安全でない接続からのダウンロードは既定でブロック

 なお、本バージョンではCVE番号ベースで7件の脆弱性修正も行われているので注意。深刻度の内訳はMozillaの基準で上から2番目の「High」が4件、上から3番目の「Moderate」が3件。任意コードの実行につながる可能性のある欠陥も含まれており、できるだけ早いアップデートが望ましい。

 デスクトップ版「Firefox」はWindows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在MozillaのWebサイトからダウンロード可能。Windows版はWindows 7/8/10に対応しており、窓の杜ライブラリからもダウンロードできる。