パスワードを忘れた? アカウント作成
14040335 story
Firefox

Mozilla、リモートコードを実行する拡張機能をブロックリストに追加 25

ストーリー by hylom
妥当といえば妥当 部門より

Mozillaがリモートでコードを実行するようなFirefox拡張機能について、すべて禁止にする方針を示しているという(mozillaZine.jp)。

すでに「Page Translator」や「Google Translate this page」、「Babelfox」、「Google Translate Element」、「Bridge Translate」といった拡張がインストールできない「不正な拡張機能」のブラックリストに追加されているという。

Firefoxの「Add-on Policies」ではリモートコード実行を行ってはいけないと明示されており、このポリシーが厳格に適用されることになるようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年11月08日 8時39分 (#3712647)

    翻訳とかエンドユーザ環境にエンジン本体を提供できない系は全滅じゃん。
    拡張をローカルに置いて手動でインストール(例のブロックは自動インストールが対象)するか、
    ブラウザ本体でネイティブサポートして貰うよう働きかけるとかいうクソ面倒な手段しかないのか?

    なんかAppleみたいなことされても困惑するわ。

    • by Anonymous Coward on 2019年11月08日 11時46分 (#3712755)

      ブロック対象外の、翻訳機能がある拡張機能をどうぞ。
      https://addons.mozilla.org/firefox/extensions/language-support/ [mozilla.org]

      親コメント
    • by Anonymous Coward

      開発中の翻訳機能を正式リリースした後なら、たいしたトラブルにもならんのに

      • by Anonymous Coward

        WebExtensionsでも機能が全然足りないうちに旧APIを廃止したんだから、
        Mozzilaにとってはこれが通常営業なんでしょ。

      • by Anonymous Coward

        ブラウザへの組み込み翻訳機能なんて期待できるのかな?特に日本語は。

    • by Anonymous Coward

      なんか誤解しているような気がする。
      本家を見ずにかいているけど、「リモートでコードを実行」といった場合、javascript を送り付けられて、それをブラウザが実行するということ。
      別に Ajax / REST call 禁止するとは書いていないから、
      リモートコード実行で問題になるとは思えないんだけど、どういう場合にリモートコード実行する必要があるの?

      • by Anonymous Coward

        Ajaxでもjsonp返して実行するやつは全部ひっかかるのでは
        あれって仕組み的にそのリモートコード実行だよね

        • by Anonymous Coward

          どこまでを実行コードとするのかの定義でモメそうな気がする
          JSで言う所のunsafe-evalを全部禁止にするとか?

          iOSでは
          https://developer.apple.com/jp/app-store/review/guidelines/#business [apple.com]
          >2.5.2 Appはバンドル内で完結している必要があります。他のAppを含め、指定されたコンテナエリア外に対するデータの読み書き、またはAppの特徴や機能を導入したり変更したりするコードをエリア外からダウンロード、インストール、実行することは許可されません。

          ってあるけど、ゲームでリソースファイルを初回起動時にダウンロードするやつは普通にあるし
          まあiOSなら「アップルが駄目と言ったら駄目」が通るんだろうけど。

        • by Anonymous Coward

          この件は拡張機能の制限の話でwebページとかは関係ないのだし、
          拡張機能ではjsonp使えない、使わないで済むようにしろってのはありえなくもないかも。
          jsonpを返す第三者のWebAPIとかを利用してると対応が難しそうだけど。

    • by Anonymous Coward

      またじわじわとユーザー減らしてくよね。
      たまにはユーザーを増やす工夫をしたらいいと思う。

    • by Anonymous Coward

      翻訳は本体に機能が入るようだぞ
      https://it.srad.jp/story/19/10/21/2342242/ [it.srad.jp]

  • by Anonymous Coward on 2019年11月08日 8時45分 (#3712649)

    要は拡張機能の審査後に、最初は含んでいないような実行コードを後からインターネット経由で読み込むような拡張機能を禁止するということだよね。
    至極当然というか、これ許してたら審査なんかザルみたいなもんだ。

    しかかしまあこのストーリー、最初の文から主語があやふやで目的格もないので、全く意味が通じない。
    しかも読点もないので、Mozillaがリモートで…何かやるのか?と誤読しやすい。
    セキュリティに多少明るければ「リモートコード実行」だけで想像はつくが。

    • by Anonymous Coward

      jQuery全盛期には外部のjQuery読み込むやつとかあったなあ
      そうまでしてjQuery方言でコード書きたいんかっていう

      • by Anonymous Coward

        CDNでライブラリ的なスクリプトをダウンロードするのは今でも当たり前のように行われていますが。
        でも拡張機能でそれをやるのはあまりメリットないと思う。

        • by Anonymous Coward

          最新版を指定するURL書いとけば勝手に最新版になってくれる

          • by Anonymous Coward

            拡張機能で利用する場合、勝手に最新版になる方が困ることが多いと思うんだけど。
            CDNでも「勝手に更新しないようにバージョン固定で使う場合のURL」が用意されてることも多いし。

  • by Anonymous Coward on 2019年11月08日 16時53分 (#3712962)

    これ野良アドオン拒絶ってことでしょ、こんなのもChrome化…ハイモジラ、ユーザーノコウフクハギムデス

    アプリが「Firefox」拡張機能を勝手にインストールする問題、Mozillaが解決に本腰 - 窓の杜 https://forest.watch.impress.c... [impress.co.jp]

    • by Anonymous Coward

      懐かしい例を挙げるとこういうのの排除だろ

      iTunesが おきあがり
      なかまに なりたそうに こちらをみている!
      なかまに してあげますか?
       
      ┌───┐
      │⇒はい│
      │いいえ│
      └───┘
       
      iTunesが なかまに くわわった!
      QuickTimeが なかまに くわわった!
      Bonjour for Windowsが なかまに くわわった!
      Apple Mobile Device Supportが なかまに くわわった!
      Apple Software Updateが なかまに くわわった!
      MobileMeが なかまに くわわった!
      Apple App

  • by Anonymous Coward on 2019年11月08日 19時08分 (#3713067)

    今のところブロックはされていないようだが

    • by Anonymous Coward

      ユーザスクリプト系のアドオンは誰かしら規制回避するものを作るから、困りはしないと思う。

typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...