アドオンにより欲しい機能をドンドン追加できる、オープンソースのウェブブラウザー
  • コメント

    【追記あり】Mozilla は、リモートコードを実行するすべ…

    owl
    owl
    投稿数: 324件
    Windows 10

    Mozilla は、リモートコードを実行するすべての拡張機能を禁止します
    https://www.ghacks.net/2019/11/05/mozil ... mote-code/
    その要旨(意訳)
    Mozillaは、
    11月初旬に、ブロックリストに「リモートでコードを実行する Firefox Web ブラウザ用の拡張機能」をいくつかを追加しました。
    [Closed]Bug 1593243 | Extension block request: Add-ons executing remote code
    (拡張ブロックリクエスト:リモートコードを実行するアドオン)
    https://bugzilla.mozilla.org/show_bug.cgi?id=1593243
    Bugzilla のリストには拡張機能の ID のみが表示されていますが、
    「翻訳」拡張機能の「Page Translator」や「Google Translate this page」、「Babelfox」、「Google Translate Element」、「Bridge Translate」が禁止の対象になっています。

    AMO(addons.mozilla.org)にリストされる拡張機能は、「リモートコードの実行」を許可しません。
    そのため、Mozilla は「不正な拡張機能をブラックリストに追加」し、Firefox での実装を不可能にしました。

    Mozilla と拡張機能開発者とのやり取りで、この問題に対する Mozilla の姿勢が判明しています。
    ・Mozilla はあなたがたの弁明を確認しましたが、残念ながら承認はできません。
    ・Add-on Policies に準拠すれば、ブロックを解除します。


    Add-on Policies とは
    https://extensionworkshop.com/documentation/publish/add-on-policies/
    Add-ons Reviewers(アドオンの検証) | MozillaWiki
    https://wiki.mozilla.org/Add-ons/Reviewers/Guide/Reviewing


    Mozilla のスタンスは明らかです。
    潜在的なセキュリティまたはプライバシーへの影響のために「拡張機能がリモートコードを実行する」ことは許されない。

    2人が参考になったと回答しています。
    このレビューは参考になりましたか?はい
  • Jijii
    Jijii
    投稿数: 9件

    Mozilla.jp のフォーラムにて同様の記事を拝見しましたが
    差しあたって今回の処置の対象になったアドオンは
    https://bugzilla.mozilla.org/show_bug.cgi?id=1593243
    で触れられていたものだけでよいのでしょうか?他に該当するものがあるのでしょうか?
    宜しければ、続報をいただきたいです。

  • owl
    owl
    投稿数: 324件

    AMO(addons.mozilla.org)から「リモートコード」を実行する拡張機能が削除されました。
    については、下記の通りです。

    Mozillaは、
    11月初旬に、ブロックリストに「リモートでコードを実行する Firefox Web ブラウザ用の拡張機能」のいくつかを追加しました。
    [Closed]Bug 1593243 | Extension block request: Add-ons executing remote code
    (拡張ブロックリクエスト:リモートコードを実行するアドオン)
    https://bugzilla.mozilla.org/show_bug.cgi?id=1593243
    Bugzilla のリストには拡張機能の ID のみが表示されていますが、
    「翻訳」拡張機能の「Page Translator」や「Google Translate this page」、「Babelfox」、「Google Translate Element」、「Bridge Translate」が禁止の対象になっています。

  • owl
    owl
    投稿数: 324件

    そのブロックリストについて:
    Reason(理由)
    I’ve reviewed the add-ons and confirmed they are executing remote code.(アドオンを精査し、リモートコードを実行していることを確認しました)
    Extension GUIDs(拡張機能の Globally Unique Identifier)
    {3c8970fa-1340-45ad-82fe-81f3beccfbdc}
    {4ab99b95-4d05-438c-8a3e-adb1b3fe8d81}
    {7f87a05d-dba7-448e-9af2-ee0f4a294c01}
    {59a219a8-45cd-458d-9b3e-8d86c19dfc31}
    {79f4bfc7-b1da-4dc4-85cc-ecbcc5dd152e}
    {484dc5ad-4d6a-4ee4-91b7-b5b8166e6b3d}
    {2643d75f-9d64-47ef-9c23-78f0f055c7b8}
    {76399bf2-8354-4b11-bf43-6c863b195b1d}
    {110791c0-2883-4301-8214-90be7549df43}
    {a33e004d-2ac0-4d77-8e14-50780bc231a3}
    {aaaa5840-6b3b-49d8-92c2-9696798c4e2a}
    {bfc55377-7210-4e7a-828f-6fdb9df02847}
    {c6c78b9a-370d-49c5-b9c6-96d7e38861c5}
    {c115eb3a-4746-472b-8f1f-d8596c49b3b6}
    {deaa22e5-33ed-440f-a734-c3175e6228a7}
    {e34d5840-6b3b-49d8-92c2-9696798c4e2a}
    更に、次の「コメント」に続く…

  • owl
    owl
    投稿数: 324件

    そのブロックリストについて:前の「コメント」からの続き
    aapbdbdomjkkjkaonfhkkikfgjllcleb@chromeStoreFoxified-¥d+
    babelfox_client@rami
    blndkmebkmenignoajhoemebccmmfjib@chrome-store-foxified-¥d+
    bridge-translate-app@chrome-store-foxified-2125721878
    dephbpajmknbniclommefdlnflkfnpgh@chrome-store-foxified-¥d+
    extension@newtab.biz
    generated-74o6bact7xu7y32fvfju4s@chrome-store-foxified-¥d+
    generated-axbwzwbksnnig1ug9v5dly@chrome-store-foxified-¥d+
    googletranslateelement@developer.org
    icdahkkjdchifpnbebileaelbcgipepe@chrome-store-foxified-¥d+
    ifgljfjnflaadalpmkkgdailepedeehd@chrome-store-foxified-¥d+
    knpgbkpddpcepnloiijojmgbdhihkjkl@chrome-store-foxified-¥d+
    translate-4@chrome-store-foxified-¥d+

    しかしながら、
    そのリンク先(Bug 1593243)には、断続的に「報告・要調査」の投稿が続いています。

  • owl
    owl
    投稿数: 324件

    余談ですが、
    それらの「不正」と認定された拡張機能を眺めてみると、
    それらのほとんどが、Google Web Store(Google Chrome 及び Chromium 向け)の拡張機能だったものを「Firefox」用に調整し、AMO(addons.mozilla.org)に登録したものだったようです。
    その「出自」の傾向が顕著なので、相変わらず Google Web Store に潜在的な問題(欠陥性や、Google の意図的なバックグラウンドなど)が感じられます。

  • owl
    owl
    投稿数: 324件

    その関連情報:
    「Google の Chrome ウェブストアは、近年、不当な拡張機能によってさらに大きな打撃を受けました」他
    【公知】Firefox や Thunderbird が、お気に入りの拡張機能を削除しなければならなかった理由 | forums.mozillazine.jp
    https://forums.mozillazine.jp/viewtopic.php?f=16&t=17719