パスワードを忘れた? アカウント作成
91848 story
セキュリティ

NoScriptにAdblock Plusを一部無効化させるコードが追加され問題になる 97

ストーリー by hylom
ブロックをブロック 部門より

あるAnonymous Coward 曰く、

本家/.記事「NoScript Adds Subscriptions To Adblock Plus」でも話題になっているが、Firefox用の著名なアドオンとして知られる「NoScript」の作者(Giorgio Maone氏)が、「Adblock Plus」(広告を遮断するアドオン)の機能に制限を加えるコードを密かにNoScriptに追加して配布したことが発覚、非難の的となった。事の顛末は「NoScriptの全面譲歩で決着」で日本語で読むことができる。

事の始まりは、Adblock PlusがNoScriptのサイトに貼られている広告をブロック対象としたことからだった。NoScriptの作者は、これに対抗し、NoScriptのサイト上ではAdblock Plusが広告を遮断しないようにするコードをNoScriptの新バージョンに仕込んで、Mozilla Add-onsで配布した。

これに対し、Mozilla Add-onsのNoScriptの配布ページのレビュー欄は批判の嵐となり、Mozilla Add-onsからは「次のバージョンではオプトイン用のダイアログを追加すべき」との提案が出される事態となった。Maone氏は反省し、ユーザーの承諾を求めるよう変更したNoScript 1.9.2.5を配布しようとしたが、Mozilla Add-onsの審査が厳しくなり、「そもそもAdblock Plusのホワイトリストへの追加はNoScriptの機能と関連しないから、そのような措置は認められない」と通告された。Maone氏は降参し、余計なコードを取り除いたNoScript 1.9.2.6をリリースした。

Mozilla Add-onsは今回の事態を受け、ブログエントリ「No Surprises」にて、新たな審査基準の提案として、

  1. アドオンの説明書は、そのアドオンがどんな変更をするのかを明確に公表しなければならない
  2. 全ての変更はオプトイン(ユーザがその変更を有効にするにはデフォルトでない行動を必要とする)でなければならない
  3. アドオンのアンインストールでは、ユーザの設定を元に戻すこと

という3つの要件を示している。

NoScript作者のGiorgio Maone氏は5月4日付けのブログにて、「Dear Adblock Plus and NoScript Users, Dear Mozilla Community」と題する謝罪文を掲載した。

NoScriptは、US-CERTの「Securing Your Web Browser」のページでもその利用が推奨されるなど、セキュリティマニアの間で支持されてきたアドオンである。しかし、このような個人の利己的な目的で安易にコードが埋め込まれて自動アップデートされるようなアドオンをセキュリティの拠り所にするのはむしろ危険だとタレコミ人は思う。Mozilla Add-onsの審査基準の強化は全く妥当なものではないだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • そもそも (スコア:3, 興味深い)

    by phason (22006) <mail@molecularscience.jp> on 2009年05月07日 13時09分 (#1560333) 日記

    何で標準のFirefoxでスクリプトだ何だを切れないんでしょうかね?
    #いや,使い慣れてないんで,実は出来るんでしたらすいません.
    通常はIEでホワイトリスト式に使ってるんですが(設定ですべてoff,一部サイトのみ信頼済みサイトのリストに追加し,信頼済みサイトでの各種設定をIEの標準レベルに再設定),同じようなことをFirefoxでやろうとしたら出来ないし.アドオンいろいろ入れるのも個人的には好みではないので,そういう設定は標準で出来て欲しいなと.

    ところで,オープンソース推進派の人たちはFirefox用のプロプライエタリな拡張類に関してはどう思ってるんでしょ?ベースはオープンなのに,得体の知れない拡張が山ほどある状態ってのも気持ち悪いような.

    • Re:そもそも (スコア:2, 興味深い)

      by Anonymous Coward on 2009年05月07日 18時09分 (#1560565)

      >ベースはオープンなのに,得体の知れない拡張が山ほどある状態ってのも気持ち悪いような.

      それは私も感じてるので、最近まで一切のアドオンを入れてませんでした。せめてコード署名くらい入れて欲しいってのもありましたし。それじゃなくてもフリーウェアやシェアウェアに悪意を仕込むバカは昔からいるもんですので。

      まぁ、昔は純粋な悪意を仕込む輩が少数いただけ(WinGrooveとか・・・)なので食らうことも少なければ食らっても「分かりやすい」というのがありましたが、昨今は利益目的で仕込む輩が多いので厄介な話です。自身を隠蔽するアドウェアの類は非常に多いですし、それならまだいい方でキーロガーやルートキットが入ってたりすることもあるので作者の身元が明らかでないソフトウェアは基本的に信用出来ないと考えています。もっとも、身元が明らかでもWindowsUpdateで個人情報を収集してニュースにされたベンダーとかもあるので、「世に出て評価が固まっていないソフトウェア」は信用しないといった方が正しいかもしれません。ソースが見れる&読めるコード量の場合は中身を確認して信用することも多いですけど。

      とは言っても、便利なものを使わないってのも何なのでVM上で動かしてますけどね。ブラウザ関連なんて評価が固まるまで待ってたらセキュリティホールを放置してしまうことにも繋がりますし。逆に、信頼できて(と言うより信頼せざるを得なくて)、かつ破られたらダメージの大きいサイト(銀行など)にアクセスする時は素のOSとブラウザ以外に何も入っていない別のVMからアクセスしています。

      親コメント
    • by Anonymous Coward

      そういう便利機能はアドオンで実現しよう、というのが基本思想なのでは。
      必要な機能は自分で追加するようにして、本体にはごてごてとした機能はつけないんじゃないかなあ。

      あとプロプライエタリなアドオンなんてないです。
      Flashなどはプラグイン提供。

      • >あとプロプライエタリなアドオンなんてないです。

        でもアドオンをプロプライエタリにするかどうかは作者の自由ですよね?
        そりゃソースは見られるかもしれませんが,全部が全部オープンソースとして配布されているわけではないという認識なのですが,いかがでしょうか.
        #それともFirefoxのアドオンはオープンソースでなければならない,という何かしらの制限があるとか?
        #そういうことが可能なのかどうかはよく知りませんが.

        親コメント
        • Re:そもそも (スコア:1, 参考になる)

          by Anonymous Coward on 2009年05月07日 14時32分 (#1560401)

          #1560362 [srad.jp]のACは明確な誤りを知ったかぶって書き捨てているだけですから気にしないでください。まず、プラグインは(拡張機能ではありませんが)アドオンの一種です。また、たとえばFirefox用Googleツールバーは拡張機能として実装されていますが、その利用規約 [google.com]には

          10.2 ユーザーは、本ソフトウェアまたはその一部のコピー、修正、その二次的著作物の作成、リバースエンジニア、もしくはデコンパイルを行い、またはその他の方法によりそのソースコードの抽出を試みてはならず、第三者にもかかる行為を認めてはならないものとします。ただし、それが法律により明示的に許可もしくは要求されている場合、または Google から書面により明確な許可を受けた場合は除きます。

          とあります。どう見てもプロプライエタリです。

          親コメント
          • コメントありがとうございます.
            なるほど,となるとやはりオープンソース界の方がどう思っているのかがちょっと気になりますね.
            「拡張も含めすべてオープンでなくてはいけない!」とかすると広まりにくいですし,逆にプロプライエタリな拡張が巷に溢れてそれらを入れるのが標準化してしまうとそもそものオープンな姿勢が意義を失いかねませんし,難しいところなのかもしれませんが.

            親コメント
      • by Anonymous Coward

        C++等でXPCOMコンポーネントを作れば、プロプラな拡張機能も作れるはずです。
        それとも、公式のSDKを使うとライセンス的にプロプラにできなくなる、ということ?

    • by Anonymous Coward

      MozillaプロダクツはもうWebブラウザというよりはHTMLレンダリングエンジンが組み込まれたJavaScriptベースのアプリ実行(開発)環境(ミニマムな配布形態はXULRunner)だと思ってます。EmacsとEmacs Lispの関係にも似てるかな。

    • たしかにデフォではサイトごと設定ができなくて、全部OKまたは全部NGの設定しかないですねぇ。または挙動ベースで特定の動作だけアウトにするとかはできるようですが。
      一方Cookieはサイトごとの拒否許可できるんですよね。ただしUIがオプション設定の中で使いにくいことこの上ないので、CS Lite(Noscriptライクな操作のステータスバーアイコン)をつかっています。
      もしJSのサイトごとON/OFFができても、NoscriptはJS以外の埋め込みオブジェクトもブロックするし、JSにおいてもUIとして残るのかなと。

    • by Anonymous Coward
      >オープンソース推進派の人たち

      オープンソース推進派といってもいろんな立場や思惑がある。だから回答も人それぞれだろう。

      #フリーソフトウェアを入れてないのはわざと?
  • 争点は、、、 (スコア:3, すばらしい洞察)

    by GG (21918) on 2009年05月07日 13時10分 (#1560334)
    利己的な目的でコードを埋め込んだ事じゃなくて、
    それを明確に公表しなかった事だと思います。
    • by Anonymous Coward on 2009年05月07日 13時16分 (#1560341)
      そうは思わないな。
      「公表する」ことは最低限必要なことで、少なくとも誰もそれを否定できないけれど、
      公表していたとしても、本来のNoScriptの機能に無関係なコードを入れていくことは、
      NoScriptがしだいに信用を失っていく原因となる。

      NoScriptは以前から、「NoScript」という名前からはもはや逸脱するほど、
      セキュリティ関係の多彩な機能を次々と追加していて、シンプルじゃなくなっていた。

      それぞれ別々のアドオンとする方がスマートなのに、そうしなかったのは、
      NoScriptが既に非常に高い知名度を得ていたからなんだろうと思う。

      知名度に慢心して独善的な機能追加をしているなあと、だいぶ前から思っていたら、
      案の定このザマ。
      親コメント
      • by Anonymous Coward

        スクリプトの作者の信用の事など心配して差し上げる義理はないかと。

        イワンの馬鹿の統べる国の民のように
        「機能を増やしたな。いや構わんさ。昔のものを使い続けるから。」
        「機能が足りないな。いや構わんさ。自分で加えるから。君も欲しいならこれを使えばいいさ。」
        ってぐらいの気持ちでいたほうが楽じゃないかな。

      • by Anonymous Coward
        >それぞれ別々のアドオンとする方がスマートなのに、そうしなかったのは、
        >NoScriptが既に非常に高い知名度を得ていたからなんだろうと思う。
        知名度との関連あるのかな?
        ましてや、慢心とか。
        便利(?)な機能を追加しての肥大化はよくある話だし。
        アドオンだって細かいのが沢山あれば、インストールも面倒だからまとめて一つにしたいと思うのは想像つくし。
        • by Anonymous Coward
          万能は無能の始まり。
    • by Anonymous Coward

      じゃあ、公表したうえでなら、自分のサイトの広告は表示できるようにしていいんだね?

      それすら許さないような風潮が世界的に蔓延しすぎているように思えるけど。

      • Re:争点は、、、 (スコア:2, すばらしい洞察)

        by Anonymous Coward on 2009年05月07日 15時23分 (#1560435)
        >じゃあ、公表したうえでなら、自分のサイトの広告は表示できるようにしていいんだね?

        良いと思います。
        「この拡張機能をインストールすると、私のサイトの広告は常に強制的に表示されるようになります」
        と宣言して配布すれば、後はそれを受け入れるか拒否するかはユーザーにゆだねられます。
        親コメント
  • by Anonymous Coward on 2009年05月07日 13時21分 (#1560343)
    前からNoScriptがしょっちゅうアップデートするので、いったい何を変更しているんだ?と気になっていましたが、こういうワケでしたか。

    NoScriptが自動アップデートされるたびに、NoScriptのサイトが新規タブに開かれてウザいと思ってましたが、あれは、広告を表示させて収入を得るためだったわけですね。

    アップデートするたびに広告クリック数が出るので、もはや広告のために些細なアップデートを繰り返していたんじゃないかと疑われます。
    • by lutero (1993) on 2009年05月07日 22時41分 (#1560767)
      なんか勘違いしてるみたいだけど問題のコードはAdblock Plusのフィルタルールの非表示要素フィルタの下に
      ホワイトリストとして追加されたものです。しかも1.9.2.6で修正されているので問題があったのは1.9.2.4及び5のみです。

      通常のstableやdev-buildの方はChangelogを見れば分かると思いますが、バグフィクスがメインで何の問題もありません。
      http://noscript.net/changelog [noscript.net]
      親コメント
    • by Anonymous Coward
      広告のため の Script だったってことか
    • by Anonymous Coward
      私は、Noscriptのサイトの広告スクリプトがONで指定されていることのほうが気になっていました。
      (Noscriptの基本動作はオプトインで許可するため)
      この件では、「おれは作者だから偉いので自分のところは許可。他から邪魔されるものイヤ」
      という態度が見えてしまったことで、非難されたのではないでしょうか。
      いわゆる Evil な思考が透けて見えたというか。

      VerUpの度にバージョンを報告する機能も上記広告用トラフィックの維持のために存在していると感じましたので、
      www.noscript.net は hostsに 0.0.0.0 で書いてブロックしています。
      (引けなくても普通に動作します。)
    • by Anonymous Coward
      異常だもんね。forkして安定版とか軽量版とか別の選択肢を誰か作ってくれよ、と更新入るたびに思ってる。
  • NO! NoScript! (スコア:2, 参考になる)

    by Anonymous Coward on 2009年05月07日 16時24分 (#1560481)
    NoScript を削除したら Firefox が軽くなりました。
    ページを開く最初でもたつく感じがなくなった気がします。
    • by Anonymous Coward

      「"Web Bugs"の禁止」をONにしたりしてると極端に重たくなったりするけど、
      そうでないならたいした違いは感じない。もちろんデカいページとかだと
      積もり積もって体感時間延びるけど。

      不要なJavaScriptをOFFにしてくれる方が軽くなると思うんだが・・・

  • Adblock同等機能が標準で付いています。

  • by Anonymous Coward on 2009年05月07日 13時08分 (#1560332)

    元のタレコミ文 [srad.jp]から削られた部分を以下に示しておきます。

    これに対し、Mozilla Add-onsのNoScriptの配布ページのレビュー欄は批判の嵐となり、Mozilla Add-onsからは「次のバージョンではオプトイン用のダイアログを追加すべき」との提案が出される事態となった。Maone氏は反省し、ユーザーの承諾を求めるよう変更したNoScript 1.9.2.5を配布しようとしたが、Mozilla Add-onsの審査が厳しくなり、「そもそもAdblock Plusのホワイトリストへの追加はNoScriptの機能と関連しないから、そのような措置は認められない」と通告された。Maone氏は降参し、余計なコードを取り除いたNoScript 1.9.2.6をリリースした。

    元のタイトルは「「NoScript」が利己的な目的で無関係コードを密かに追加して信用を失う」でした。

  • by Anonymous Coward on 2009年05月07日 13時23分 (#1560347)

    昔はそうでもなかったような気がしますが、
    いつからか異様に高頻度(ほぼ毎日)でバージョンアップを行い、
    そのたびにNoScriptのサイトを表示させるようになったため、
    鬱陶しくなってQuick Javaに変更。

    なんとかして稼ごうと必死だったんですかね。

  • by Anonymous Coward on 2009年05月07日 13時44分 (#1560365)

    Jane StyleのYahooツールバー追加を思い出す

    • by SkyAngel (9501) on 2009年05月07日 19時57分 (#1560651)

      あれはインストールオプションで明示的にオフにできますし,そもそもJaneStyleそのものの目的とは関係のないものだと思います.
      おそらく有限会社化したので,その辺の事情もあるのでしょう,と理解しました.
      # 個人的に,無関係なツールバーをデフォルトで入れる設定は,あまり好きではありませんが...

      今回の件は,
      ・ユーザに対する通知無し
      ・ソフト(add-on)そのものの目的を満たさない例外を埋め込んだ
      てのが問題なのではないでしょうか.

      --
      そうじゃないだろう!
      親コメント
  • by Anonymous Coward on 2009年05月07日 14時03分 (#1560376)

    ちまちま広告なんて見せなくても、
    寄付を募ればそれなりにお金が入るぐらいの知名度はあったんじゃないかと思った。

    • by Anonymous Coward

      知名度はあっても寄付でお金が入るとは思わないなぁ。

  • by Anonymous Coward on 2009年05月07日 14時20分 (#1560389)
    スジはともあれ、NoScriptの作者の現金収入が減るのは、よくないと思います。

    以下は一般論ですが、
    フリーソフトの開発をやるよりもパン工場でアルバイトしたほうが金になる
    というのは、よくないと思うのです。

    --
    しかし、/.Jでメモリを食う広告を消すためにNoScriptを使っているのでAC
    • by konitan (37890) on 2009年05月07日 17時28分 (#1560539)
      同意です。

      良質なプログラムを作成できる人には
      これからもさらに良いツールを開発して欲しいと思います。

      フリーソフト開発と言えど周りめぐって自身に利益が必要です。
      それは直ぐに現金として反映されるものに限るわけではありません。

      開発者は利益につながる状況を作り出さなければなりませんし、
      それは開発スキルのみで対処できることではないと思います。

      もちろん、騙し取る体裁を選択してしまったことは悪いと思いますが、
      気持ちはわかります。

      大小はあれ、フリーソフト開発者の方が抱えている問題だと思っています。

      これを機に開発ストップなどにはなってほしくはありません。


      ※他のいくつかのコメントは極端で稚拙です。
      「フリーソフトの開発をやるよりもパン工場でアルバイトしたほうが金になる」
      とういう例えに対して問題となる要件はパンの価値をはかると言うことではありません。
      貴重な開発スキルを有した人材が埋もれてしまうことが不利益だと言うことです。
      親コメント
    • by Anonymous Coward

      人は食料(パン)が無いと生きていけませんが、フリーソフトは無くても生きていけますよ。

    • NoScriptについては知らんけどね。

  • by Anonymous Coward on 2009年05月07日 19時33分 (#1560630)

    そもそも他人の作ったものを、好意で分けてもらって、自己責任で使っているのに、自分の思い込んだ仕様と違うからって他人に文句言うってどうなんだろ。
    言うにしても、配布してるMozillaに言うべきだろ。
    中身に口出しして、アドオン公開を拒否したんだから、公開しているものは責任を持つってことだよね。

    それに、広告表示強制ってどこが悪いんだよ。
    むしろ広告表示される代わりに、タダで他人の時間の断片を利用させてもらえるんだから、ありがたく思うべきじゃないか?

    オレには、Firefoxの検索バーがGoogleデフォルトで、サジェストオンなってる方が違和感あるんだけど。

    軽く意地悪するMozillaといい、反省する作者といい、未だに使い続けるユーザといい、平和な世の中です。

    Free Softwareと一般人の理想、難しいな。。

    --
    さぁオレ様の為にコード書いてね

typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...