― MozillaZine.jp フォーラムは Mozilla 製品に関する情報交換の場です ―



All times are UTC + 9 hours

返信する
ユーザー名:
件名:
オプション:
BBCode: ON
[img]: ON
[flash]: OFF
[url]: ON
スマイリー: ON
BBCode を無効にする
フォントサイズ:
フォントカラー
スマイリーを無効にする
URL を自動的にパースしない
ユーザエージェントを表示する
認証コード
KCaptcha by Nikita_Sp
   

トピックのレビュー - 【公知】Firefox や Thunderbird が、お気に入りの拡張機能を削除しなければならなかった理由
作成者 メッセージ
  記事の件名:  【公知】Firefox や Thunderbird が、お気に入りの拡張機能を削除しなければならなかった理由  引用付きで返信する
Mozilla は、
昨今のセキュリティ(サイバー攻撃、個人情報の保護)対策の観点(コアプログラムの改ざん防止、履歴データの漏洩防止、不正な更新プログラムの混入対策、プライバシーポリシー違反対策、etc)を踏まえて、
抜本的な「API」の変革(プログラムに直接関与できる「XUL」API を廃し、コアプログラムに関与できない「WebExtension」API :Chromium の WebExtension とは別物で、Mozilla が独自に開発)への移行を実施しました。(完全に刷新されるため、各アドオン開発者には「実施日から 2年前に通告済み」で、十分な移行期間が設けられていました)
このため、Firefox や Thunderbird のコアプログラムに関与するタイプの「拡張機能」での再現は不可能になっています。

Why Firefox Had to Kill Your Favorite Extension | How-To Geek
(Firefox がお気に入りの拡張機能を削除しなければならなかった理由)執筆:Justin Pot:November 18, 2017, 6:40am EDT

What’s the WebExtensions API? | Browser Extensions – Mozilla | MDN |
(WebExtensions APIとは何ですか?)

Firefox’s WebExtension API is separate from the Chromium’s WebExtension API and is not just a subset. Many Firefox-specific APIs have been established:Browser support for JavaScript APIs | Mozilla | MDN |
(Firefox WebExtension API は、Chromium の WebExtension API とは別のものであり、単なるサブセットではありません。 多くの Firefox 固有の API が確立されています:JavaScript API のブラウザーサポート)

A Classic Extension Reborn: Tree Style Tab | Mozilla Hacks – the Web developer blog
(生まれ変わった古典的な拡張機能:ツリースタイルタブ)
古典的な XUL プラットフォームで作成された非常に複雑な拡張機能(ツリースタイルタブ)を、WebExtensions API 用に再構築したアドオン開発者(Piro)へのインタビュー記事から

XUL および WebExtensions プラットフォームの戦略、コードスニペット、およびアーキテクチャ図については、
(アドオン開発者)Piro の公式ブログ「 ツリー型タブの WebExtensions への移行のおはなし - Oct 03, 2017 」に、
より技術的な詳細が図解付きで解説されています。

----------------------------------------------------------------------------------------------------------------------------------------

「アドオン」Policies について(公式)
Add-on Policies – Mozilla | MDN
Review Policy for Thunderbird Add-ons | thundernest/atn-review-policy | GitHub
その要旨(抜粋・意訳)
すべてのアドオンは、配布方法に関係なく、「アドオンポリシー」の対象となります。 アドオンに人間によるレビューが与えられるか、Mozilla によって評価される場合、これらのポリシーはそれらのレビューの指針として機能します。
これらのポリシーに準拠していないアドオンは、Mozilla によって拒否または無効化される場合があります。
したがって、アドオンの設計および開発の決定を行う際には、これらのポリシーに従ってください。


アドオンレビューア(アドオンの検証) について(公式)
Add-ons/Reviewers/Guide/Reviewing | MozillaWiki
その要旨(抜粋・意訳)
技術レビュー:
前書き
アドオンレビューア(アドオンの検証)は、
アドオンが安全に使用でき、信頼性が高く、ユーザーに明確に提示されるようにします。
また、アドオンで問題が見つかった場合は、開発者に迅速で明確かつ実用的なフィードバックを提供します。
すべての決定は公式のレビューポリシーに基づいている必要があります。ポリシーを読んで理解したことを確認してください。ご質問がある場合や説明が必要な場合は、管理チームが喜んでお手伝いします。レビューポリシーに関しては、愚かな質問はありません!
アドオンのレビュープロセスは、次のフェーズで構成されます。
1. 自動レビュー:アドオンがアップロードされると、アドオンの一般的な安全性のために、いくつかの自動検証ステップが実行されます。
2. コンテンツレビュー:投稿後かなり短い時間で、アドオンが人間によって検査され、リストがコンテンツレビューガイドラインに準拠していることを確認します。これには、アドオンの名前や説明などのメタデータが含まれます。
3. 技術コードのレビュー:アドオンのソースコードを検査して、レビューポリシーに準拠していることを確認します。
4. 基本機能テスト:ソースコードの安全性が確認されたら、アドオンに機能の基本テストを行い、説明どおりに動作することを確認する必要があります。

----------------------------------------------------------------------------------------------------------------------------------------

昨今のセキュリティ(サイバー攻撃、個人情報の保護)対策の観点
・コアプログラムの改ざん防止、
・履歴データの漏洩防止、
・不正な更新プログラムの混入対策、
・プライバシーポリシー違反対策、
・etc
それらは理論・空論ではなく、実際に実害をもたらした事件がありました。
また、Firefox および Thunderbird の信頼性を損なう低品質のアドオン(機能障害、メモリリーク、スパイウェア汚染、放棄されたサポートなど)によって引き起こされたトラブルの歴史があります。

事例A.「トリックなどの悪意のある重大事件」について:
It is time to get rid of Stylish | gHacks Tech News
Stylus sees large user increase after Stylish removal | gHacks Tech News

事例B. Mozilla Firefox 拡張機能ストアに、マルウェアアドオンの波が押し寄せる
A wave of malware add-ons hit the Mozilla Firefox Extensions Store | gHacks Tech News
記事から抜粋(意訳):
人気のある拡張機能またはプログラムの名前に似せた「悪意のあるまたはスパムの拡張機能」は新しいものではありません。
Mozilla の AMO ストアは、2017年と 2018年にスパム拡張の波に見舞われました。どちらも Mozilla がリリースプロセスを切り替えた後に起こりました。
Google の Chrome ウェブストアは、近年、不当な拡張機能によってさらに大きな打撃を受けました。 Google が拡張機能をデフォルトで(AI での自動承認プロセスを導入済みで)「専任者が手動で精査しない」という事実が、この問題に直結しました。

「2017年のスパム拡張の波」について:
Mozilla’s AMO Extensions store has a spam infestation problem | gHacks Tech News
「2018年のスパム拡張の波」について:
Another wave of spam add-ons hits Mozilla Firefox AMO | gHacks Tech News
「Google の Chrome ウェブストアは、近年、不当な拡張機能によってさらに大きな打撃を受けました」について:
Another Chrome extension horror story: coinhive and domain registration | gHacks Tech News
Google’s bad track record of malicious Chrome extensions continues | gHacks Tech News
Malicious Chrome extensions with Session Replay appear in Chrome Store | gHacks Tech News
投稿記事 Posted: 2019年9月02日(月) 08:10

All times are UTC + 9 hours


ページ移動:  
Powered by MozillaZine.jp® Forum Software © phpBB Group , Almsamim WYSIWYG
Japanese translation principally by ocean