パスワードを忘れた? アカウント作成
13999201 story
Firefox

Firefox Add-onサイト、大半の拡張機能に警告が表示される事態に 24

ストーリー by hylom
いつの間に 部門より

headless曰く、

Firefox Add-onsサイト(addons.mozilla.org: AMO)で、大半の拡張機能に注意を促す警告文が表示される事態になっている(gHacks)。

警告表示が始まった正確な時期は不明だが、早くてもMozillaが「「おすすめ拡張機能」プログラム開始した7月以降とみられる。プログラムでは機能水準や安全性、アップデート頻度などを基準に厳選された拡張機能に「Recommended」バッジを表示するというものだ。一部の拡張機能では以前から「おすすめの拡張機能」というバッジが表示されていたが、現在プログラムで選定されている拡張機能は86個しかない。そのため、以前バッジが表示されていた拡張機能の中にもRecommendedバッジの表示されないものがあり、Mozillaが開発した拡張機能も例外ではない。

警告はプログラムで選定されていないすべての拡張機能で表示されるようで、拡張機能がMozillaにより監視されておらず、インストールする前に信頼できるかどうかの確認が必要といった内容だ。その結果、大半の拡張機能でユーザーに不安を感じさせるような警告が表示されることになる。ただし、拡張機能をインストールすると警告は表示されなくなる。また、警告が表示されるのはデスクトップ版Firefox向け拡張機能のページをFirefoxで表示した場合のみで、他のブラウザーやAndroid向け拡張機能のページでは表示されない。

  • Firefoxは、ユーザーが右側行きたいのに、開発者が左側にいくって主張して、
    ユーザーが望まない方向にいってる印象がある

    もちろん実際にコードを書くのは開発者なので、開発者が行きたい方向になるんですが

    普通の企業のように開発者の頬を金でひっぱたく方式なら、開発者がへんなほうにいこうとしても修正できるわけだが、
    こういった開発形態の場合、修正が効かない(無理に修正しようとすれば開発者が逃げ出す)ので、
    どうにもならない印象ですね

    ここに返信
    • by Anonymous Coward

      私もここ数年間のFirefox関連のニュースはユーザーにとってのマイナスに思えるものが多いと感じている。
      そうした大小のマイナスが続いて、じわじわとユーザーが減っていっている印象。
      逆に、ユーザーを増やそうという努力というか、アピールが全く見えない。
      ユーザーを増やす必要性自体を感じていないのではないだろうか。

      • by Anonymous Coward

        そうした大小のマイナスが続いて、じわじわとユーザーが減っていっている印象。

        何をいっているのだ!
        複数端末での広告ブロック共用を考えたらFirefox一択だろう!
        PCで育てたリストをスマホで飲み込ませるだけって素晴らしいぞ!

        # え?PCじゃWaterfox使ってるだろうって?当然だ!

        • by Anonymous Coward

          あれ?
          Android版FirefoxやFirefox Previewって拡張機能使えるんだっけ?

          • by Anonymous Coward

            Firefoxは使えます。
            Firefox Previewは使えません。まあ、Previewですから、拡張機能に限らずだいぶ機能が足りていませんよ。

            • by Anonymous Coward

              そうなんだ。
              Android版FirefoxでNeat URLが動作しない (インストールはできる) ので、拡張機能は使えないものとばかり…。
              Firefox Previewは、Android版Firefoxにあった機能に関して実装済み/実装予定/実装しないリストをまとめて戴けるとありがたいな、と思いつつ試用しています。

              ありがとうございます。

              • by Anonymous Coward

                タブの位置を変えるやつとかは何一つ正常に動作しなかったけど、ublockだけはまともに動いてくれたな 仕様を統一できてないんだろね

      • by Anonymous Coward

        セキュリティやプライバシーで他のブラウザに迎合するような方針を取れば、それこそ押しつぶされるだけのように思うが。
        数は少ないが、そういったことを気にするユーザ向けに特化して生き残りを図るのはありだと思う。

    • by Anonymous Coward

      企業ベースだと企業が儲かると思った方に進むだろうけど、それがユーザーが望む方向と一致しているとは限らないような。
      株主もユーザー第一ではなく利益第一の人が多いだろうし。

    • by Anonymous Coward

      Mozilla自身がリリースした拡張機能にまで警告文が表示されているのなら、Mozillaの開発者も厳格な管理に対応できてないのでは。

      ついこの間も、拡張機能の署名切れで全拡張機能が無効になる [developers.srad.jp]という醜態を晒してるし、Mozillaが掲げる崇高な目標にMozilla自らが届いていない。
      Firefoxが標準状態で厳格な管理を要求する設定になっているにも関わらず、Mozilla自身が管理できていないためユーザーが迷惑を被る形になっている。
      現実的でない厳しすぎる管理は誰のためのものなのか分からない。

    • by Anonymous Coward

      利便性を高めるいろいろな機能をadd-onに任せて機能拡張を避けた挙句に、
      そのadd-onはセキュリティを理由に絞っていくようでは、
      使ってる側からすれば、利便性の低下にいそしんでるようにしかみえんよね。

      ネット環境の変化に追従していった結果だけど、
      Firefoxをどういうブラウザにしたいのかって部分を欠落させたまま、
      変化への対応だけを続けてあい路に入りこんじゃった印象

    • by Anonymous Coward

      つまり開発者はFirefoxのユーザーじゃないということか。

      開発者の為のブラウザというポリシーはそれはそれでアリだと思うが、まさか作るだけで使っていなかったとは。

    • by Anonymous Coward

      タイトルの
      「ユーザーの求める方向と開発者が行きたい方向の不一致」

      どこの開発者も同じなんですが…。
      Mozillaに限ったことじゃありません。
      大企業ほど、そういう傾向でしょう。
      自分たちの金もうけのことばかり…。

  • by Anonymous Coward on 2019年09月09日 17時42分 (#3682830)

    ほいほい拡張入れる人多いですが、Webコンテンツを書き換えできる権限の拡張というのは本質的に危険なものです。

    コードを全部確認するのは現実的ではないですが、

    • まず、仮想環境で動かして自分の希望に合った拡張機能であるか確認する。(機能等に満足できなかったら本環境に入れなくて良いのでリスク回避になる)
    • 機能等に問題が無かったら、とりあえずパケットログ見て不審なサーバに接続していないか確認する。
    • レビューを読んでみる(アップデートで毒入れされるケースが多いので、レビュー件数が多い場合は最新の物を読む)
    • ググって軽く情報収集
    • 拡張ファイルをダウンロードして VirusTotal にかけてみる。
    • 本環境に導入する。(アップデートで毒入れされるケースがあるので自動アップデートは無効にする)

    ぐらいは最低限した方が良いと思います。

    ある程度セキュリティに敏感な人はかなり不安になって下調べしている(そして安全な核心は持てないけど、まぁたぶん大丈夫だろうと不安ながらもインストールする)人が多いはず。

    ほいほいインストールする人も同じぐらい不安になるのがバランス的にちょうどよいと思います。

    ここに返信
    • by Anonymous Coward on 2019年09月09日 18時09分 (#3682852)

      ほぼ全てで出るなら気にしないだけじゃないですかね…

    • Re: (スコア:0, すばらしい洞察)

      by Anonymous Coward

      >むしろもっと警告だらけにして良い

      警告文が表示されるのが日常になって、本当に危険なものもスナック感覚でインストールするようになるのですね。わかります。

    • by Anonymous Coward

      狼少年的に警告を無視する体質になるのいいですよね!
      銀行がサーバー証明書の警告が出ますが無視してくださいと言ってる並にステキです。
      狼少年への対処として各自がそれぞれにセンサーネットでも作るようになれば世の中アレゲになってハッピー!

    • by Anonymous Coward

      >アップデートで毒入れされるケースがあるので自動アップデートは無効にする

      そして既知になった脆弱性を突かれるんですね、わかります。

    • by Anonymous Coward

      サイト横断で何かを表示したいときに、全サイトにコンテンツスクリプトを挿入する以外に方法がないというChrome拡張機能(およびそれを何も考えずパクったWebExtensions)の構造上の欠陥

  • by Anonymous Coward on 2019年09月09日 19時00分 (#3682885)

    誰も警告を見ないか、アドオン自体使わなくなる。
    多すぎる情報はノイズでしかない。

    ここに返信
typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...