Home > [Firefox] > 現在のページ

FirefoxへAdd-onをインストールするのに署名が必須へ

投稿日:2016年4月8日
  • 5
  • 0

Firefoxによる明らかな改悪

firefox_kaiaku

FirefoxがAdd-onについて仕様を変更しました。
より安全なアドオン体験を提供するため、拡張機能に署名を導入します」とのことです。

インストールにはaddons.mozilla.org (AMO)による署名が必要になりました。これからはAMOによって事前に認証されたAdd-onしかFirefoxにインストールできません。

具体的な署名の方法は「アドオン/拡張機能への署名」で解説されています。

この変更には、大きな問題点が2点あります。

プライベートなAdd-onが利用できなくなる

インストールにはMozillaによる署名が必須になります。そのためプライベートなAdd-onであってもAMOで登録する必要があります。
公開が前提でないAdd-onはAMOへの登録時に「非公開」を選ぶことができます。(ADD-ONSで検索しても一般ユーザーには表示されない)

重要なのはここからです。

なぜか「非公開」のAdd-onも「公開」のAdd-onと同じように審査を受けます。
プライベートな証明書を追加したり、特定の通信を監視・転送する、といったAdd-onはAMOの審査に通りません。
他にも、Firefoxの強制アップデートを停止したり、リモートのプログラムと連動するものも審査を通りません。

VPNなどを構築している場合、自前の証明書をインストールするようなAdd-onを作ることは珍しいことではありません。アクセスできる環境を制限するAdd-onも当然の如く需要があります。
しかし、これからはそうしたAdd-onは使えません。

審査の基準は「レビューポリシー」にまとめられています。

開発版のインストールすらAMOの署名が必須

Add-on開発者にとって頭痛の種がこちら。なんと自作のAdd-onをテストするにも登録が必要になります。
既に登録されているAdd-onは動作しますが、これから新規に開発するAdd-onは動作テストのためにFirefoxにインストールできません。

では、どうやって開発をするのか?
Firefoxの結論は「こちらのブログ」で解説されています。

いわく「デベロッパー専用のFirefox Developer Editionをインストールし、毎回XPIを書き出し、Add-onを読み込み直す」とのこと。

つまり、ノーマルのFirefoxにはインストールできません。さらに、更新するごとにXPIパッケージを書き出す必要があります。cfxで使えたranも、jpmで使えたwatchpostも使えなくなりました。

ブログのコメント欄を見ていただけばわかる通り、大不評です。これだけ不便になれば当たり前ですね。

現状(バージョン46)ではアドレスに「about:config」と入力し、「xpinstall.signatures.required」という項目を「False」にすることでAdd-onを追加することができます。あまりの不評に44からこのオプションを消す予定だったのが、46現在でも生きているそうです。

しかし、将来的には制限の解除という抜け穴も無くし、完全に使えなくなります。

より安全なアドオン体験を提供する」というのは、開発者を閉めだし、Add-on自体を無くすことで実現するというブラック・ジョークでしょうか?

少し個人的な意見を言わせていただきます。

悪意のあるAdd-onの作者が1番悪いのは当然です。ただ、今回の変更は間違いなく改悪です。

大前提として、何をインストールして、何をインストールしないかは、ユーザーの判断に委ねられるべきです
そもそも、Firefoxによる審査で安全性が確保できるわけではありません。最近も「Firefox、多数の拡張機能に脆弱性 ステルス攻撃で悪用の恐れ」というニュースがありました。上位10本の拡張機能のうち、9本に脆弱性があったとのことです。
許可制にするにしても、編集者モードのような機能を実装して、危険性を理解した上でインストールを可能にするような抜け穴を作るべきです。

審査も時間がかかりすぎです。私が作成したAdd-onを本審査にかけたところ、2ヶ月後に「HTMLファイルの文字コードを指定してください」という指摘が来ました。人気のレストランに予約しているかのような感覚になります。

当サイトでAdd-onの作り方を解説して実感したのはFirefoxは頻繁に仕様を変えすぎだということです。その証拠にドキュメントが全く追いついていません。日本の公式サイトの情報を元にAdd-onを作成しても、現行のバージョンでは動作しません。
以前のバージョンが動作しなくなるほどの改変を繰り返す上、開発環境も改悪し、審査も遅い。これではAdd-onの作者は減る一方です。

Firefoxの元開発者が「Firefoxが失敗した原因は矢継ぎ早のアップデート」と指摘したのも頷けます。
開発陣はこの指摘を的外れと指摘しましたが、今ではFirefoxの世界シェアは10%を切り、Chromeの1/5以下です。

将来的にはFirefoxでChromeのExtensionが動作するようになるとのことです。個人的にはこのアップデートこそ、すぐに実行するべきだと思います。

現在のページを共有する


現在のページに関連する記事

FirefoxへAdd-onをインストールするのに署名が必須へ 初めてでも理解できるようになる「Firefox機能拡張の開発」
FirefoxへAdd-onをインストールするのに署名が必須へ Firefoxがクラッシュした場合の対処法
FirefoxへAdd-onをインストールするのに署名が必須へ Firefox機能拡張でツールバーボタンを作成する方法
spam_filter.phpで特定のホストをブロック spam_filter.phpで特定のホストをブロック
FirefoxへAdd-onをインストールするのに署名が必須へ ログ解析やユーザーの振り分けに活躍する、ユーザーエージェントまとめ
FirefoxへAdd-onをインストールするのに署名が必須へ AOMEI Backupperを利用してシステムドライブをバックアップする方法
FirefoxへAdd-onをインストールするのに署名が必須へ 簡単・高速にシステムドライブをバックアップ可能なAOMEI Backupper

おすすめの記事

ユーザーの環境変数を設定するbashの設定ファイルと、カスタムプロンプトについて

ユーザーの環境変数を設定するbashの設定ファイルと、カスタム…
全く新しい決済サービスPayPal.Meの導入と使い方を解説

全く新しい決済サービスPayPal.Meの導入と使い方を解説
Web Fontの使い方とGoogle Fontsのオススメフォント 10選

Web Fontの使い方とGoogle Fontsのオススメフォント 10選
日々の単純作業を自動化できるUWSCの使い方(入門・書式編)

日々の単純作業を自動化できるUWSCの使い方(入門・書式編)
サーバで管理していたWordPressをローカル環境に移行する方法

サーバで管理していたWordPressをローカル環境に移行する方法
rsyslogを利用したログファイル作成と、logrotateを利用したログのローテーション

rsyslogを利用したログファイル作成と、logrotateを利用したロ…
初めてでも理解できるようになる「Firefox機能拡張の開発」

初めてでも理解できるようになる「Firefox機能拡張の開発」
Apacheのmod_rewriteモジュールの使い方を徹底的に解説

Apacheのmod_rewriteモジュールの使い方を徹底的に解説

コメントを残す

コメントは認証制のため、すぐには反映されません。

プログラミングに関する質問は「日本語でプログラミングの悩みを解決するQ&Aサイト sukegra」をご利用ください。