NoScriptにAdblock Plusを一部無効化させるコードが追加され問題になる 97
ブロックをブロック 部門より
あるAnonymous Coward 曰く、
本家/.記事「NoScript Adds Subscriptions To Adblock Plus」でも話題になっているが、Firefox用の著名なアドオンとして知られる「NoScript」の作者(Giorgio Maone氏)が、「Adblock Plus」(広告を遮断するアドオン)の機能に制限を加えるコードを密かにNoScriptに追加して配布したことが発覚、非難の的となった。事の顛末は「NoScriptの全面譲歩で決着」で日本語で読むことができる。
事の始まりは、Adblock PlusがNoScriptのサイトに貼られている広告をブロック対象としたことからだった。NoScriptの作者は、これに対抗し、NoScriptのサイト上ではAdblock Plusが広告を遮断しないようにするコードをNoScriptの新バージョンに仕込んで、Mozilla Add-onsで配布した。
これに対し、Mozilla Add-onsのNoScriptの配布ページのレビュー欄は批判の嵐となり、Mozilla Add-onsからは「次のバージョンではオプトイン用のダイアログを追加すべき」との提案が出される事態となった。Maone氏は反省し、ユーザーの承諾を求めるよう変更したNoScript 1.9.2.5を配布しようとしたが、Mozilla Add-onsの審査が厳しくなり、「そもそもAdblock Plusのホワイトリストへの追加はNoScriptの機能と関連しないから、そのような措置は認められない」と通告された。Maone氏は降参し、余計なコードを取り除いたNoScript 1.9.2.6をリリースした。
Mozilla Add-onsは今回の事態を受け、ブログエントリ「No Surprises」にて、新たな審査基準の提案として、
- アドオンの説明書は、そのアドオンがどんな変更をするのかを明確に公表しなければならない
- 全ての変更はオプトイン(ユーザがその変更を有効にするにはデフォルトでない行動を必要とする)でなければならない
- アドオンのアンインストールでは、ユーザの設定を元に戻すこと
という3つの要件を示している。
NoScript作者のGiorgio Maone氏は5月4日付けのブログにて、「Dear Adblock Plus and NoScript Users, Dear Mozilla Community」と題する謝罪文を掲載した。
NoScriptは、US-CERTの「Securing Your Web Browser」のページでもその利用が推奨されるなど、セキュリティマニアの間で支持されてきたアドオンである。しかし、このような個人の利己的な目的で安易にコードが埋め込まれて自動アップデートされるようなアドオンをセキュリティの拠り所にするのはむしろ危険だとタレコミ人は思う。Mozilla Add-onsの審査基準の強化は全く妥当なものではないだろうか。
そもそも (スコア:3, 興味深い)
何で標準のFirefoxでスクリプトだ何だを切れないんでしょうかね?
#いや,使い慣れてないんで,実は出来るんでしたらすいません.
通常はIEでホワイトリスト式に使ってるんですが(設定ですべてoff,一部サイトのみ信頼済みサイトのリストに追加し,信頼済みサイトでの各種設定をIEの標準レベルに再設定),同じようなことをFirefoxでやろうとしたら出来ないし.アドオンいろいろ入れるのも個人的には好みではないので,そういう設定は標準で出来て欲しいなと.
ところで,オープンソース推進派の人たちはFirefox用のプロプライエタリな拡張類に関してはどう思ってるんでしょ?ベースはオープンなのに,得体の知れない拡張が山ほどある状態ってのも気持ち悪いような.
Re:そもそも (スコア:2, 興味深い)
>ベースはオープンなのに,得体の知れない拡張が山ほどある状態ってのも気持ち悪いような.
それは私も感じてるので、最近まで一切のアドオンを入れてませんでした。せめてコード署名くらい入れて欲しいってのもありましたし。それじゃなくてもフリーウェアやシェアウェアに悪意を仕込むバカは昔からいるもんですので。
まぁ、昔は純粋な悪意を仕込む輩が少数いただけ(WinGrooveとか・・・)なので食らうことも少なければ食らっても「分かりやすい」というのがありましたが、昨今は利益目的で仕込む輩が多いので厄介な話です。自身を隠蔽するアドウェアの類は非常に多いですし、それならまだいい方でキーロガーやルートキットが入ってたりすることもあるので作者の身元が明らかでないソフトウェアは基本的に信用出来ないと考えています。もっとも、身元が明らかでもWindowsUpdateで個人情報を収集してニュースにされたベンダーとかもあるので、「世に出て評価が固まっていないソフトウェア」は信用しないといった方が正しいかもしれません。ソースが見れる&読めるコード量の場合は中身を確認して信用することも多いですけど。
とは言っても、便利なものを使わないってのも何なのでVM上で動かしてますけどね。ブラウザ関連なんて評価が固まるまで待ってたらセキュリティホールを放置してしまうことにも繋がりますし。逆に、信頼できて(と言うより信頼せざるを得なくて)、かつ破られたらダメージの大きいサイト(銀行など)にアクセスする時は素のOSとブラウザ以外に何も入っていない別のVMからアクセスしています。
Re: (スコア:0)
そういう便利機能はアドオンで実現しよう、というのが基本思想なのでは。
必要な機能は自分で追加するようにして、本体にはごてごてとした機能はつけないんじゃないかなあ。
あとプロプライエタリなアドオンなんてないです。
Flashなどはプラグイン提供。
Re:そもそも (スコア:1)
>あとプロプライエタリなアドオンなんてないです。
でもアドオンをプロプライエタリにするかどうかは作者の自由ですよね?
そりゃソースは見られるかもしれませんが,全部が全部オープンソースとして配布されているわけではないという認識なのですが,いかがでしょうか.
#それともFirefoxのアドオンはオープンソースでなければならない,という何かしらの制限があるとか?
#そういうことが可能なのかどうかはよく知りませんが.
Re:そもそも (スコア:1, 参考になる)
#1560362 [srad.jp]のACは明確な誤りを知ったかぶって書き捨てているだけですから気にしないでください。まず、プラグインは(拡張機能ではありませんが)アドオンの一種です。また、たとえばFirefox用Googleツールバーは拡張機能として実装されていますが、その利用規約 [google.com]には
とあります。どう見てもプロプライエタリです。
Re:そもそも (スコア:1)
コメントありがとうございます.
なるほど,となるとやはりオープンソース界の方がどう思っているのかがちょっと気になりますね.
「拡張も含めすべてオープンでなくてはいけない!」とかすると広まりにくいですし,逆にプロプライエタリな拡張が巷に溢れてそれらを入れるのが標準化してしまうとそもそものオープンな姿勢が意義を失いかねませんし,難しいところなのかもしれませんが.
Re: (スコア:0)
C++等でXPCOMコンポーネントを作れば、プロプラな拡張機能も作れるはずです。
それとも、公式のSDKを使うとライセンス的にプロプラにできなくなる、ということ?
Re: (スコア:0)
MozillaプロダクツはもうWebブラウザというよりはHTMLレンダリングエンジンが組み込まれたJavaScriptベースのアプリ実行(開発)環境(ミニマムな配布形態はXULRunner)だと思ってます。EmacsとEmacs Lispの関係にも似てるかな。
たしかにないですねぇ (スコア:0)
たしかにデフォではサイトごと設定ができなくて、全部OKまたは全部NGの設定しかないですねぇ。または挙動ベースで特定の動作だけアウトにするとかはできるようですが。
一方Cookieはサイトごとの拒否許可できるんですよね。ただしUIがオプション設定の中で使いにくいことこの上ないので、CS Lite(Noscriptライクな操作のステータスバーアイコン)をつかっています。
もしJSのサイトごとON/OFFができても、NoscriptはJS以外の埋め込みオブジェクトもブロックするし、JSにおいてもUIとして残るのかなと。
Re: (スコア:0)
オープンソース推進派といってもいろんな立場や思惑がある。だから回答も人それぞれだろう。
#フリーソフトウェアを入れてないのはわざと?
争点は、、、 (スコア:3, すばらしい洞察)
それを明確に公表しなかった事だと思います。
Re:争点は、、、 (スコア:1, 興味深い)
「公表する」ことは最低限必要なことで、少なくとも誰もそれを否定できないけれど、
公表していたとしても、本来のNoScriptの機能に無関係なコードを入れていくことは、
NoScriptがしだいに信用を失っていく原因となる。
NoScriptは以前から、「NoScript」という名前からはもはや逸脱するほど、
セキュリティ関係の多彩な機能を次々と追加していて、シンプルじゃなくなっていた。
それぞれ別々のアドオンとする方がスマートなのに、そうしなかったのは、
NoScriptが既に非常に高い知名度を得ていたからなんだろうと思う。
知名度に慢心して独善的な機能追加をしているなあと、だいぶ前から思っていたら、
案の定このザマ。
Re: (スコア:0)
スクリプトの作者の信用の事など心配して差し上げる義理はないかと。
イワンの馬鹿の統べる国の民のように
「機能を増やしたな。いや構わんさ。昔のものを使い続けるから。」
「機能が足りないな。いや構わんさ。自分で加えるから。君も欲しいならこれを使えばいいさ。」
ってぐらいの気持ちでいたほうが楽じゃないかな。
Re: (スコア:0)
>NoScriptが既に非常に高い知名度を得ていたからなんだろうと思う。
知名度との関連あるのかな?
ましてや、慢心とか。
便利(?)な機能を追加しての肥大化はよくある話だし。
アドオンだって細かいのが沢山あれば、インストールも面倒だからまとめて一つにしたいと思うのは想像つくし。
Re: (スコア:0)
Re: (スコア:0)
じゃあ、公表したうえでなら、自分のサイトの広告は表示できるようにしていいんだね?
それすら許さないような風潮が世界的に蔓延しすぎているように思えるけど。
Re:争点は、、、 (スコア:2, すばらしい洞察)
良いと思います。
「この拡張機能をインストールすると、私のサイトの広告は常に強制的に表示されるようになります」
と宣言して配布すれば、後はそれを受け入れるか拒否するかはユーザーにゆだねられます。
NoScriptがやたらアップデートしていたワケ (スコア:2, 興味深い)
NoScriptが自動アップデートされるたびに、NoScriptのサイトが新規タブに開かれてウザいと思ってましたが、あれは、広告を表示させて収入を得るためだったわけですね。
アップデートするたびに広告クリック数が出るので、もはや広告のために些細なアップデートを繰り返していたんじゃないかと疑われます。
Re:NoScriptがやたらアップデートしていたワケ (スコア:4, 参考になる)
ホワイトリストとして追加されたものです。しかも1.9.2.6で修正されているので問題があったのは1.9.2.4及び5のみです。
通常のstableやdev-buildの方はChangelogを見れば分かると思いますが、バグフィクスがメインで何の問題もありません。
http://noscript.net/changelog [noscript.net]
Re: (スコア:0)
Re: (スコア:0)
(Noscriptの基本動作はオプトインで許可するため)
この件では、「おれは作者だから偉いので自分のところは許可。他から邪魔されるものイヤ」
という態度が見えてしまったことで、非難されたのではないでしょうか。
いわゆる Evil な思考が透けて見えたというか。
VerUpの度にバージョンを報告する機能も上記広告用トラフィックの維持のために存在していると感じましたので、
www.noscript.net は hostsに 0.0.0.0 で書いてブロックしています。
(引けなくても普通に動作します。)
noscript.firstRunRedirection (スコア:3, 参考になる)
about:configでnoscript.firstRunRedirectionをfalseにするという手もありますね。
Re: (スコア:0)
NO! NoScript! (スコア:2, 参考になる)
ページを開く最初でもたつく感じがなくなった気がします。
Re: (スコア:0)
「"Web Bugs"の禁止」をONにしたりしてると極端に重たくなったりするけど、
そうでないならたいした違いは感じない。もちろんデカいページとかだと
積もり積もって体感時間延びるけど。
不要なJavaScriptをOFFにしてくれる方が軽くなると思うんだが・・・
Re:NO! NoScript! (スコア:1, 参考になる)
そんなあなたには、RequestPolicy [mozilla.org] がオススメですよ。
これなら AdBlock もなくて十分だし。
これいいですね (スコア:2)
これ簡単便利でよいですね。
昨今のパーツだらけのブログなどがすっきり軽くなって良いですね。
基本的にクロスドメインリクエストって要らないですしね。
一方ロシアではOperaを使った (スコア:1)
Adblock同等機能が標準で付いています。
タレコミから削られた部分 (スコア:0)
元のタレコミ文 [srad.jp]から削られた部分を以下に示しておきます。
元のタイトルは「「NoScript」が利己的な目的で無関係コードを密かに追加して信用を失う」でした。
Re:タレコミから削られた部分 (スコア:1)
本文はともかく、そのタイトルは煽りに過ぎるんじゃないかと...。
Re: (スコア:0)
Re: (スコア:0)
「知名度に慢心して」などとさらっと推測を忍ばせて主張のよりどころにするなんて
なかなか高度なテクニックを弄しますな。
Re: (スコア:0, オフトピック)
上記の部分はコピペミスで誤って削ってしまっていました。申し訳ありません。
追加しておきました。
Re:タレコミから削られた部分 (スコア:1, 興味深い)
Re:タレコミから削られた部分 (スコア:1, おもしろおかしい)
ガツガツした印象のアドオンだった (スコア:0)
昔はそうでもなかったような気がしますが、
いつからか異様に高頻度(ほぼ毎日)でバージョンアップを行い、
そのたびにNoScriptのサイトを表示させるようになったため、
鬱陶しくなってQuick Javaに変更。
なんとかして稼ごうと必死だったんですかね。
思い出す (スコア:0)
Jane StyleのYahooツールバー追加を思い出す
Re:思い出す (スコア:1)
あれはインストールオプションで明示的にオフにできますし,そもそもJaneStyleそのものの目的とは関係のないものだと思います.
おそらく有限会社化したので,その辺の事情もあるのでしょう,と理解しました.
# 個人的に,無関係なツールバーをデフォルトで入れる設定は,あまり好きではありませんが...
今回の件は,
・ユーザに対する通知無し
・ソフト(add-on)そのものの目的を満たさない例外を埋め込んだ
てのが問題なのではないでしょうか.
そうじゃないだろう!
せこい (スコア:0)
ちまちま広告なんて見せなくても、
寄付を募ればそれなりにお金が入るぐらいの知名度はあったんじゃないかと思った。
Re: (スコア:0)
知名度はあっても寄付でお金が入るとは思わないなぁ。
NoScriptの作者かわいそう (スコア:0)
以下は一般論ですが、
フリーソフトの開発をやるよりもパン工場でアルバイトしたほうが金になる
というのは、よくないと思うのです。
--
しかし、/.Jでメモリを食う広告を消すためにNoScriptを使っているのでAC
Re:NoScriptの作者かわいそう (スコア:2, 興味深い)
良質なプログラムを作成できる人には
これからもさらに良いツールを開発して欲しいと思います。
フリーソフト開発と言えど周りめぐって自身に利益が必要です。
それは直ぐに現金として反映されるものに限るわけではありません。
開発者は利益につながる状況を作り出さなければなりませんし、
それは開発スキルのみで対処できることではないと思います。
もちろん、騙し取る体裁を選択してしまったことは悪いと思いますが、
気持ちはわかります。
大小はあれ、フリーソフト開発者の方が抱えている問題だと思っています。
これを機に開発ストップなどにはなってほしくはありません。
※他のいくつかのコメントは極端で稚拙です。
「フリーソフトの開発をやるよりもパン工場でアルバイトしたほうが金になる」
とういう例えに対して問題となる要件はパンの価値をはかると言うことではありません。
貴重な開発スキルを有した人材が埋もれてしまうことが不利益だと言うことです。
Re: (スコア:0)
人は食料(パン)が無いと生きていけませんが、フリーソフトは無くても生きていけますよ。
フリーソフトのすべてがパンより重要だなんてことはあり得ない (スコア:0)
NoScriptについては知らんけどね。
Re: (スコア:0)
メンテナンスの工数×最低時給よりも多い広告収入を得ても構わないと思うなぁ。
最低時給というのは本当の最低ラインなんで、せめて20ドル/hくらいは。
モチベーションを維持するのには最後には金です。
無償奉仕だと、もう興味を失ったからメンテナンスやめる、ということになりやすい。
結構な金額が毎月はいっていれば、興味を失ってもメンテナンスを続ける気になりやすい。
Re: (スコア:0)
独立した人格を持つ、自由経済社会に住んでいる人が、自らの労力で
開発したものを利用してお金を得ようとすることに対し、
>一旦完成すればそれ以上の開発は不要で、
>メンテナンス程度に現金収入が必要だとは思えない。
などと言える立場の方なんですか?
自動車メーカーが車を製造原価以上の値段を付けちゃいけないとか、
Windowsは開発費はもう回収したから、あとは無料で配れとか、
音楽家は一度作曲したら著作権使用料をとっちゃいけないとか、
農家の人は栽培費以上の
Re: (スコア:0)
> 開発したものを利用してお金を得ようとすることに対し、
>
> >一旦完成すればそれ以上の開発は不要で、
> >メンテナンス程度に現金収入が必要だとは思えない。
>
>などと言える立場の方なんですか?
読んでて俺だけが理解できていないのかもしれないが、
フリーウェアとして公開しているのに、現金収入を得ようとするのは自然な事?
お金欲しいなら、有料で公開すれば良いだけの話では?
無料と有料のソフトウェアをゴッチャにしている所で筋違いに読める。
#1560403のACの話は、ユーティリティの開発をやった人間なら普通に感じる事だと思う。
Re:NoScriptの作者かわいそう (スコア:1)
いくら偉そうなことを言おうと、必要もしてない事を騙して使わせて儲けるのはサギと言うんだ。
the.ACount
Re:NoScriptの作者かわいそう (スコア:2, 興味深い)
それを言ったのはAdblock Plusの作者Wladimir Palant氏です。
wilderssecurity.comでNoScriptはセキュリティ対策として使えないと言ってました。
書かれていたことの詳細は忘れましたが、正常に動かないサイトでScriptを許可するのが癖になるとか、XSSやWhitelist制の欠点なんかを指摘していたと思います。
Palant氏の容赦のない指摘にMaone氏がギブアップ。
よほど悔しかったのか、その直後から何かにとり憑かれたかのように毎日どころか一日に何度も更新していた時期もありました。
AMOのNoScriptの更新履歴で今でも確認できます。
まあ、以前から因縁のあるお二人ですから、今回のことも驚きませんでしたが。
良い世の中だなぁ (スコア:0)
そもそも他人の作ったものを、好意で分けてもらって、自己責任で使っているのに、自分の思い込んだ仕様と違うからって他人に文句言うってどうなんだろ。
言うにしても、配布してるMozillaに言うべきだろ。
中身に口出しして、アドオン公開を拒否したんだから、公開しているものは責任を持つってことだよね。
それに、広告表示強制ってどこが悪いんだよ。
むしろ広告表示される代わりに、タダで他人の時間の断片を利用させてもらえるんだから、ありがたく思うべきじゃないか?
オレには、Firefoxの検索バーがGoogleデフォルトで、サジェストオンなってる方が違和感あるんだけど。
軽く意地悪するMozillaといい、反省する作者といい、未だに使い続けるユーザといい、平和な世の中です。
Free Softwareと一般人の理想、難しいな。。
--
さぁオレ様の為にコード書いてね