FirefoxへAdd-onをインストールするのに署名が必須へ


投稿日:2016年4月8日
  • 3
  • 1
  • 0



Firefoxによる明らかな改悪

firefox_kaiaku

FirefoxがAdd-onについて仕様を変更しました。
より安全なアドオン体験を提供するため、拡張機能に署名を導入します」とのことです。

インストールにはaddons.mozilla.org (AMO)による署名が必要になりました。これからはAMOによって事前に認証されたAdd-onしかFirefoxにインストールできません。

具体的な署名の方法は「アドオン/拡張機能への署名」で解説されています。

この変更には、大きな問題点が2点あります。


プライベートなAdd-onが利用できなくなる

インストールにはMozillaによる署名が必須になります。そのためプライベートなAdd-onであってもAMOで登録する必要があります。
公開が前提でないAdd-onはAMOへの登録時に「非公開」を選ぶことができます。(ADD-ONSで検索しても一般ユーザーには表示されない)

重要なのはここからです。

なぜか「非公開」のAdd-onも「公開」のAdd-onと同じように審査を受けます。
プライベートな証明書を追加したり、特定の通信を監視・転送する、といったAdd-onはAMOの審査に通りません。
他にも、Firefoxの強制アップデートを停止したり、リモートのプログラムと連動するものも審査を通りません。

VPNなどを構築している場合、自前の証明書をインストールするようなAdd-onを作ることは珍しいことではありません。アクセスできる環境を制限するAdd-onも当然の如く需要があります。
しかし、これからはそうしたAdd-onは使えません。

審査の基準は「レビューポリシー」にまとめられています。


開発版のインストールすらAMOの署名が必須

Add-on開発者にとって頭痛の種がこちら。なんと自作のAdd-onをテストするにも登録が必要になります。
既に登録されているAdd-onは動作しますが、これから新規に開発するAdd-onは動作テストのためにFirefoxにインストールできません。

では、どうやって開発をするのか?
Firefoxの結論は「こちらのブログ」で解説されています。

いわく「デベロッパー専用のFirefox Developer Editionをインストールし、毎回XPIを書き出し、Add-onを読み込み直す」とのこと。

つまり、ノーマルのFirefoxにはインストールできません。さらに、更新するごとにXPIパッケージを書き出す必要があります。cfxで使えたranも、jpmで使えたwatchpostも使えなくなりました。

ブログのコメント欄を見ていただけばわかる通り、大不評です。これだけ不便になれば当たり前ですね。

現状(バージョン46)ではアドレスに「about:config」と入力し、「xpinstall.signatures.required」という項目を「False」にすることでAdd-onを追加することができます。あまりの不評に44からこのオプションを消す予定だったのが、46現在でも生きているそうです。

しかし、将来的には制限の解除という抜け穴も無くし、完全に使えなくなります。

より安全なアドオン体験を提供する」というのは、開発者を閉めだし、Add-on自体を無くすことで実現するというブラック・ジョークでしょうか?


少し個人的な意見を言わせていただきます。

悪意のあるAdd-onの作者が1番悪いのは当然です。ただ、今回の変更は間違いなく改悪です。

大前提として、何をインストールして、何をインストールしないかは、ユーザーの判断に委ねられるべきです
そもそも、Firefoxによる審査で安全性が確保できるわけではありません。最近も「Firefox、多数の拡張機能に脆弱性 ステルス攻撃で悪用の恐れ」というニュースがありました。上位10本の拡張機能のうち、9本に脆弱性があったとのことです。
許可制にするにしても、編集者モードのような機能を実装して、危険性を理解した上でインストールを可能にするような抜け穴を作るべきです。

審査も時間がかかりすぎです。私が作成したAdd-onを本審査にかけたところ、2ヶ月後に「HTMLファイルの文字コードを指定してください」という指摘が来ました。人気のレストランに予約しているかのような感覚になります。

当サイトでAdd-onの作り方を解説して実感したのはFirefoxは頻繁に仕様を変えすぎだということです。その証拠にドキュメントが全く追いついていません。日本の公式サイトの情報を元にAdd-onを作成しても、現行のバージョンでは動作しません。
以前のバージョンが動作しなくなるほどの改変を繰り返す上、開発環境も改悪し、審査も遅い。これではAdd-onの作者は減る一方です。

Firefoxの元開発者が「Firefoxが失敗した原因は矢継ぎ早のアップデート」と指摘したのも頷けます。
開発陣はこの指摘を的外れと指摘しましたが、今ではFirefoxの世界シェアは10%を切り、Chromeの1/5以下です。

将来的にはFirefoxでChromeのExtensionが動作するようになるとのことです。個人的にはこのアップデートこそ、すぐに実行するべきだと思います。



現在のページを共有する



現在のページに関連する記事


おすすめの記事


コメントを残す

プログラミングに関する質問は「日本語でプログラミングの悩みを解決するQ&Aサイト sukegra」をご利用ください。面倒な登録なしでご利用になりれます。