Mozilla、ブログで推奨したプライバシー拡張機能でプライバシー問題が指摘され、説明なく記述を削除 19
ストーリー by headless
停止 部門より
停止 部門より
Mozillaの「The Firefox Frontier」ブログでFirefox向けプライバシー拡張機能として推奨された拡張機能14本のうち1本が接続先URLなどをサーバーに送信していることが指摘され、記事から記述が削除されている(The Registerの記事、
Bleeping Computerの記事、
Kuktez IT Security Blogの記事、
gHacksの記事)。
この拡張機能「Web Security」はドイツのCreative Software Solutionsという会社が開発したもの。Mozillaのアドオンサイトから22万回以上ダウンロードされていた。問題はブログ記事に関するRedditのスレッドで、新しいページを読み込むたびにデータがhttp://136.243.163.73/に送信されているとuBlock Origin開発者のRaymond Hill(gorhill)氏が指摘した。このデータは暗号化されているが、復号用のスクリプトが拡張機能に含まれており、古いURLや新しいURL、拡張機能が割り当てたユーザーIDなどが送信されていることがKuktez-Forumに投稿される。
この拡張機能「Web Security」はドイツのCreative Software Solutionsという会社が開発したもの。Mozillaのアドオンサイトから22万回以上ダウンロードされていた。問題はブログ記事に関するRedditのスレッドで、新しいページを読み込むたびにデータがhttp://136.243.163.73/に送信されているとuBlock Origin開発者のRaymond Hill(gorhill)氏が指摘した。このデータは暗号化されているが、復号用のスクリプトが拡張機能に含まれており、古いURLや新しいURL、拡張機能が割り当てたユーザーIDなどが送信されていることがKuktez-Forumに投稿される。
ブログ記事からは特に何の説明もなくWeb Securityの項目が削除されているが、本数については当初の14本のままになっている。Mozillaはコミュニティからの懸念の声を受けてWeb Securityの調査を開始し、調査の一環として記事から記述を削除したとThe Registerに伝えたという。一方、Creative Software Solutionsではデータの送信が機能の実現に不可欠であり、ユーザーの閲覧履歴を収集してはいないとThe Registerに説明、なぜ記事から削除されたのかわからないと述べているとのこと。
データがHTTPで送信されていることについてCreative Software Solutionsでは、SSLを使用した通信に変更すべくアップデート版の開発を進めているとMozillaのアドオンページで説明していたが、現在は公開停止でアドオンページも表示できない。なお、gHacksの記事では同じIPアドレスにデータを送信する拡張機能が他にもあることがコメントで指摘されており、これらの拡張機能もすべて公開停止となっている。
最近は少々きな臭い (スコア:0)
一応一番中立的だと思っていますが…
初期は「悪いことしないよ」とスローガンを掲げていたGoogleがevilになって久しいですし
存在感を得ると悪くなるんですかね
Re:最近は少々きな臭い (スコア:1)
Firefoxは存在感が下り坂になってからの方が問題起こしてる感じ
うじゃうじゃ
Re: (スコア:0)
反MSの旗手をGoogleに奪われる
Googleが闇落ち
MSが良心的になる
明確な「敵」がいなくなったし、過去に支援してた反MSだった人たちが反GoogleになったわけでもないしGoogleに喧嘩を売るわけにもいかない
立ち位置を模索し続けてる気がする
Re: (スコア:0)
> MSが良心的になる
ないわー...
Re:最近は少々きな臭い (スコア:1)
組織としての経済面では中立なだけで、やってることが中立とは限らんというだけの話。
行動的な意味では、昔からMozillaは中立ではない。
Re:最近は少々きな臭い (スコア:1)
悪いのはWeb Securityとかいう機能拡張の開発者であって、Mozillaが悪いわけじゃないじゃん。
まあ、よく調べずに推奨したMozillaにも非はあるがevilになったわけじゃない。
Re:最近は少々きな臭い (スコア:2)
「Web Security」という名前からして、内容やリンク先をチェックするためにどこかに送信することは予期されるんでは?
開発者は当然のようにそうしたんだろうし、別に悪くないだろ。いいがかりに近いと思う。
Mozillaがそれを考えなしにさらしたのだとしたら、悪ではなく、バカなのではなかろうか。
「無能で十分説明されることに悪意を見出すな」ってやつ。
Re: (スコア:0)
ツッコミくらってユーザーへの説明もなく消したらevilでいいと思うけどなぁ。
個人なら兎も角、ブラウザ開発元の公式blogとしてやってる以上は相応の振る舞いは必要だろ。
Re: (スコア:0)
いったい何が始まるんです?
もしかして:うさん臭い
Re: (スコア:0)
apple、googleが好き放題プライバシーデータ収集始めてMSも乗っかり
それ見て周りのコモノも「やっていいんだ!」とタガ外ずし暴れ出したた感じ
目が(@ヮ@)いださないで欲しい (スコア:0)
またドイツかな?と思ったらドイツだった。
やはり、まだまだアドオン開発ユーザーに騒がされる運命である。
Re: (スコア:0)
国外だしラングレー案件だったら笑う
新しい拡張のシステムに移行するときに (スコア:0)
拡張が通信する先を制限するとか、Mozillaの定めたAPIを使わないと通信できないとか、匿名化を強制させるAPIしか提供しないとか、なにかできなかったのだろうか。
Re: (スコア:0)
そんなんしたら外部と通信する機能拡張ほとんど死ぬやん
そんで「前の方が良かった」「新しいFirefox使えねー」「ぶっさコミュ抜けるわ」「マジかよOpera最低だな」とか言うんやろ?
今回のだって怪しい通信をする機能拡張をMozillaがプライバシー機能拡張として推奨しちゃったのが問題であって、よくわからん通信をする機能拡張なんて他にゴロゴロあんだから
(別に、怪しい通信をする機能拡張を認めてるわけではない)
Re: (スコア:0)
要するにオフトピック
Re: (スコア:0)
どんな動作をしているのかろくに調べても居ないものを推奨したこと
Re: (スコア:0)
それと、「Bloody Vikings!」とかまともな常識を持ってたら、普通は推奨出来ないよね。
Firefoxの中の人のノリというか、ちょっと合わないわー。
Re: (スコア:0)
指摘を被害者に伝えようとする努力が足りなかった