Mozilla、リモートコードを実行する拡張機能をブロックリストに追加 25
ストーリー by hylom
妥当といえば妥当 部門より
妥当といえば妥当 部門より
Mozillaがリモートでコードを実行するようなFirefox拡張機能について、すべて禁止にする方針を示しているという(mozillaZine.jp)。
すでに「Page Translator」や「Google Translate this page」、「Babelfox」、「Google Translate Element」、「Bridge Translate」といった拡張がインストールできない「不正な拡張機能」のブラックリストに追加されているという。
Firefoxの「Add-on Policies」ではリモートコード実行を行ってはいけないと明示されており、このポリシーが厳格に適用されることになるようだ。
どうすんだよこれ…… (スコア:1, 参考になる)
翻訳とかエンドユーザ環境にエンジン本体を提供できない系は全滅じゃん。
拡張をローカルに置いて手動でインストール(例のブロックは自動インストールが対象)するか、
ブラウザ本体でネイティブサポートして貰うよう働きかけるとかいうクソ面倒な手段しかないのか?
なんかAppleみたいなことされても困惑するわ。
Re:どうすんだよこれ…… (スコア:1)
ブロック対象外の、翻訳機能がある拡張機能をどうぞ。
https://addons.mozilla.org/firefox/extensions/language-support/ [mozilla.org]
Re: (スコア:0)
開発中の翻訳機能を正式リリースした後なら、たいしたトラブルにもならんのに
Re: (スコア:0)
WebExtensionsでも機能が全然足りないうちに旧APIを廃止したんだから、
Mozzilaにとってはこれが通常営業なんでしょ。
Re: (スコア:0)
ブラウザへの組み込み翻訳機能なんて期待できるのかな?特に日本語は。
Re: (スコア:0)
なんか誤解しているような気がする。
本家を見ずにかいているけど、「リモートでコードを実行」といった場合、javascript を送り付けられて、それをブラウザが実行するということ。
別に Ajax / REST call 禁止するとは書いていないから、
リモートコード実行で問題になるとは思えないんだけど、どういう場合にリモートコード実行する必要があるの?
Re: (スコア:0)
Ajaxでもjsonp返して実行するやつは全部ひっかかるのでは
あれって仕組み的にそのリモートコード実行だよね
Re: (スコア:0)
どこまでを実行コードとするのかの定義でモメそうな気がする
JSで言う所のunsafe-evalを全部禁止にするとか?
iOSでは
https://developer.apple.com/jp/app-store/review/guidelines/#business [apple.com]
>2.5.2 Appはバンドル内で完結している必要があります。他のAppを含め、指定されたコンテナエリア外に対するデータの読み書き、またはAppの特徴や機能を導入したり変更したりするコードをエリア外からダウンロード、インストール、実行することは許可されません。
ってあるけど、ゲームでリソースファイルを初回起動時にダウンロードするやつは普通にあるし
まあiOSなら「アップルが駄目と言ったら駄目」が通るんだろうけど。
Re: (スコア:0)
この件は拡張機能の制限の話でwebページとかは関係ないのだし、
拡張機能ではjsonp使えない、使わないで済むようにしろってのはありえなくもないかも。
jsonpを返す第三者のWebAPIとかを利用してると対応が難しそうだけど。
Re: (スコア:0)
またじわじわとユーザー減らしてくよね。
たまにはユーザーを増やす工夫をしたらいいと思う。
Re: (スコア:0)
翻訳は本体に機能が入るようだぞ
https://it.srad.jp/story/19/10/21/2342242/ [it.srad.jp]
Re: (スコア:0)
オンラインサービスに翻訳丸投げするアドオンと、
オンラインサービス上で稼働する翻訳エンジンの区別すら付かん間抜けがいっちょ前に他人を批判しようとするなよ……
リモートコードを実行 (スコア:1)
要は拡張機能の審査後に、最初は含んでいないような実行コードを後からインターネット経由で読み込むような拡張機能を禁止するということだよね。
至極当然というか、これ許してたら審査なんかザルみたいなもんだ。
しかかしまあこのストーリー、最初の文から主語があやふやで目的格もないので、全く意味が通じない。
しかも読点もないので、Mozillaがリモートで…何かやるのか?と誤読しやすい。
セキュリティに多少明るければ「リモートコード実行」だけで想像はつくが。
Re: (スコア:0)
jQuery全盛期には外部のjQuery読み込むやつとかあったなあ
そうまでしてjQuery方言でコード書きたいんかっていう
Re: (スコア:0)
CDNでライブラリ的なスクリプトをダウンロードするのは今でも当たり前のように行われていますが。
でも拡張機能でそれをやるのはあまりメリットないと思う。
Re: (スコア:0)
最新版を指定するURL書いとけば勝手に最新版になってくれる
Re: (スコア:0)
拡張機能で利用する場合、勝手に最新版になる方が困ることが多いと思うんだけど。
CDNでも「勝手に更新しないようにバージョン固定で使う場合のURL」が用意されてることも多いし。
Re: (スコア:0)
そうだね。hylomさんがね。
こっちも (スコア:0)
これ野良アドオン拒絶ってことでしょ、こんなのもChrome化…ハイモジラ、ユーザーノコウフクハギムデス
アプリが「Firefox」拡張機能を勝手にインストールする問題、Mozillaが解決に本腰 - 窓の杜 https://forest.watch.impress.c... [impress.co.jp]
Re: (スコア:0)
懐かしい例を挙げるとこういうのの排除だろ
TamperMonkeyとかどうなの? (スコア:0)
今のところブロックはされていないようだが
Re: (スコア:0)
ユーザスクリプト系のアドオンは誰かしら規制回避するものを作るから、困りはしないと思う。