― MozillaZine.jp フォーラムは Mozilla 製品に関する情報交換の場です ―



All times are UTC + 9 hours

新しいトピックを投稿する トピックへ返信する  [ 3 件の記事 ] 
作成者 メッセージ
投稿記事Posted: 2019年11月05日(火) 22:38 
オフライン

登録日時: 2017年4月14日(金) 18:19
記事: 233
Mozilla bans all extensions that execute remote code | gHacks Tech News
(Mozilla は、リモートコードを実行するすべての拡張機能を禁止します)
https://www.ghacks.net/2019/11/05/mozil ... mote-code/
by Martin Brinkmann on November 05, 2019

その要旨(意訳)
Mozillaは、
11月初旬に、ブロックリストに「リモートでコードを実行する Firefox Web ブラウザ用の拡張機能」のいくつかを追加しました。
[Closed]Bug 1593243 | Extension block request: Add-ons executing remote code
(拡張ブロックリクエスト:リモートコードを実行するアドオン)
https://bugzilla.mozilla.org/show_bug.cgi?id=1593243
Bugzilla のリストには拡張機能の ID のみが表示されていますが、
「翻訳」拡張機能の「Page Translator」や「Google Translate this page」、「Babelfox」、「Google Translate Element」、「Bridge Translate」が禁止の対象になっています。

AMO(addons.mozilla.org)にリストされる拡張機能は、「リモートコードの実行」を許可しません。
そのため、Mozilla は「不正な拡張機能をブラックリストに追加」し、(ブラックリスト機能が無効になっていない)すべての Firefox インストールでの実装を不可能にしました。

Mozilla と拡張機能開発者とのやり取りで、この問題に対する Mozilla の姿勢が判明しています。
・Mozilla はあなたがたの弁明を確認しましたが、残念ながら承認はできません。
・Add-on Policies に準拠すれば、ブロックを解除します。

Add-on Policies – Mozilla | MDN | Extension Workshop
https://extensionworkshop.com/documentation/publish/add-on-policies/
Add-ons/Reviewers/Guide/Reviewing | MozillaWiki
https://wiki.mozilla.org/Add-ons/Reviewers/Guide/Reviewing

総括:
Mozilla のスタンスは明らかです。
潜在的なセキュリティやプライバシーへの影響のために、
「拡張機能がリモートコードを実行する」ことは許されません。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Firefox/68.0


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2019年11月08日(金) 20:24 
いつも有益な情報をありがとうございます。
現在AMOから削除された拡張機能のIDはリンク先だけなのでしょうか?
それとも他にあるのでしょうか?
何かご存じの事があれば続報をいただけると幸いです。
よろしくお願いします。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:71.0) Gecko/20100101 Firefox/71.0


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2019年11月15日(金) 00:23 
オフライン

登録日時: 2017年4月14日(金) 18:19
記事: 233
当トピック:
AMO(addons.mozilla.org)から「リモートコード」を実行する拡張機能が削除されました。
については、下記の通りです。
諸行無常 さんが書きました:
Mozillaは、
11月初旬に、ブロックリストに「リモートでコードを実行する Firefox Web ブラウザ用の拡張機能」のいくつかを追加しました。
[Closed]Bug 1593243 | Extension block request: Add-ons executing remote code
(拡張ブロックリクエスト:リモートコードを実行するアドオン)
https://bugzilla.mozilla.org/show_bug.cgi?id=1593243
Bugzilla のリストには拡張機能の ID のみが表示されていますが、
「翻訳」拡張機能の「Page Translator」や「Google Translate this page」、「Babelfox」、「Google Translate Element」、「Bridge Translate」が禁止の対象になっています。
Posted: 2019年11月05日(火) 22:38

そのブロックリストについて:

Reason(理由)

I’ve reviewed the add-ons and confirmed they are executing remote code.(アドオンを精査し、リモートコードを実行していることを確認しました)

Extension GUIDs(拡張機能の Globally Unique Identifier)

{3c8970fa-1340-45ad-82fe-81f3beccfbdc}
{4ab99b95-4d05-438c-8a3e-adb1b3fe8d81}
{7f87a05d-dba7-448e-9af2-ee0f4a294c01}
{59a219a8-45cd-458d-9b3e-8d86c19dfc31}
{79f4bfc7-b1da-4dc4-85cc-ecbcc5dd152e}
{484dc5ad-4d6a-4ee4-91b7-b5b8166e6b3d}
{2643d75f-9d64-47ef-9c23-78f0f055c7b8}
{76399bf2-8354-4b11-bf43-6c863b195b1d}
{110791c0-2883-4301-8214-90be7549df43}
{a33e004d-2ac0-4d77-8e14-50780bc231a3}
{aaaa5840-6b3b-49d8-92c2-9696798c4e2a}
{bfc55377-7210-4e7a-828f-6fdb9df02847}
{c6c78b9a-370d-49c5-b9c6-96d7e38861c5}
{c115eb3a-4746-472b-8f1f-d8596c49b3b6}
{deaa22e5-33ed-440f-a734-c3175e6228a7}
{e34d5840-6b3b-49d8-92c2-9696798c4e2a}
aapbdbdomjkkjkaonfhkkikfgjllcleb@chromeStoreFoxified-\d+
babelfox_client@rami
blndkmebkmenignoajhoemebccmmfjib@chrome-store-foxified-\d+
bridge-translate-app@chrome-store-foxified-2125721878
dephbpajmknbniclommefdlnflkfnpgh@chrome-store-foxified-\d+
extension@newtab.biz
generated-74o6bact7xu7y32fvfju4s@chrome-store-foxified-\d+
generated-axbwzwbksnnig1ug9v5dly@chrome-store-foxified-\d+
googletranslateelement@developer.org
icdahkkjdchifpnbebileaelbcgipepe@chrome-store-foxified-\d+
ifgljfjnflaadalpmkkgdailepedeehd@chrome-store-foxified-\d+
knpgbkpddpcepnloiijojmgbdhihkjkl@chrome-store-foxified-\d+
translate-4@chrome-store-foxified-\d+

しかしながら、
そのリンク先(Bug 1593243)には、断続的に「報告・要調査」の投稿が続いています。
-------------------------------------------------------------------------------------------------------
余談ですが、それらの「不正」と認定された拡張機能を眺めてみると、
それらのほとんどが、Google Web Store(Google Chrome 及び Chromium 向け)の拡張機能だったものを「Firefox 互換」に調整し、AMO(addons.mozilla.org)に登録したものだったようです。
その「出自」の傾向が顕著なので、相変わらず Google Web Store に潜在的な問題(欠陥性や、Google の意図的なバックグラウンドなど)が感じられます。

その関連情報:「Google の Chrome ウェブストアは、近年、不当な拡張機能によってさらに大きな打撃を受けました」他
【公知】Firefox や Thunderbird が、お気に入りの拡張機能を削除しなければならなかった理由 | forums.mozillazine.jp
viewtopic.php?f=16&t=17719

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Firefox/68.0


通報する
ページトップ
 プロフィール  
引用付きで返信する  
期間内表示:  ソート  
新しいトピックを投稿する トピックへ返信する  [ 3 件の記事 ] 

All times are UTC + 9 hours


オンラインデータ

このフォーラムを閲覧中のユーザー: なし & ゲスト[1人]


トピック投稿:  可
返信投稿:  可
記事編集: 不可
記事削除: 不可
ファイル添付: 不可

検索:
ページ移動:  
cron
Powered by MozillaZine.jp® Forum Software © phpBB Group , Almsamim WYSIWYG
Japanese translation principally by ocean