Latest topics - outsider reflex > Firefox 41以降での、アドオンの署名義務化の影響について

Feb 12, 2015

Firefox 41以降での、アドオンの署名義務化の影響について

より安全なアドオン体験を提供するため、拡張機能に署名を導入します | Mozilla Developer Street (modest)

具体的にアドオンを作る・使う側の人間はどう対処すれば良いのか、というのを自分の理解でまとめてみる。判断のソースは原文のコメント欄での質問と回答で示されている情報です。

AMOでFull Review済みのアドオン: 作業フローは変わらない。公開されるファイルが勝手に署名されるようになるだけ。
AMOでPreliminary Review済みのアドオン: 作業フローは変わらない。公開されるファイルが勝手に署名されるようになるだけ。
既存アドオンの勝手翻訳版、既存アドオンの勝手改造版などで、公表している・公表しても問題ない物: AMOにアカウントを作り、アドオンのIDを元の物から変更した（アドオンマネージャ上で明確に別のアドオンとして認識できるようにした）上で、XPIをアップロードして、自動検証を（場合によってはそれに加えてPreliminary Review相当の目視レビューも）受け、署名されたXPIを入手する。
AMOに掲載していない自作のアドオンで、公表している・公表しても問題ない物: AMOにアカウントを作り、XPIをアップロードして、自動検証を（場合によってはそれに加えてPreliminary Review相当の目視レビューも）受け、署名されたXPIを入手する。
AMOに掲載していない自作または改造版のアドオンで、公表できない物: 現在公表されている範囲の情報では、対処法無し。署名を要求しないようにするオプションも無い。リリース版Firefoxの利用を諦め、開発者向けのノーブランド版、Nightly、あるいは独自ビルド版を使うしかない。
AMOに掲載していない自作または改造版のアドオンで、Preliminary Reviewを通過できない物: 現在公表されている範囲の情報では、対処法無し。署名を要求しないようにするオプションも無い。リリース版Firefoxの利用を諦め、開発者向けのノーブランド版、Nightly、あるいは独自ビルド版を使うしかない。
自己署名証明書やベリサイン等で購入したオブジェクト署名証明書を使って署名して頒布しているアドオン: Mozillaの証明書による署名以外は許可されなくなると明言されており、それ以外の方法での署名は無意味になる。取れる対処方法は、公表できるアドオンかどうかによって変わる（上記参照）。
Thunderbird用のアドオン: 作業フローは変わらない。Thunderbirdではアドオンの署名は要求されないままとなるので、勝手改造アドオン等も変わりなく使える。（ただし、今後もずっとそうであるかは不明。）
distribution/bundles/以下にインストールしたアドオン: この方法でインストールされたアドオンはアドオンマネージャの管理下に置かれないため、短期的には影響は無いようだが、そもそもこの機能は将来のバージョンで削除する意向だとのこと。よって、この方法でカスタマイズを適用している場合はアドオンとしてのインストールに移行する必要があり、公表できるアドオンかどうかによって対応が変わってくる（詳細は上記を参照）。

現在AMOでのアドオンの公開に際してはPreliminary ReviewとFull Reviewの2段階のレビューがあり、Preliminary Reviewを通過できればサイト上に掲載され、その上でさらにFull Reviewを通過できれば検索結果にヒットしたり一覧に表示されたりするようになる、という感じなんだけど、Preliminary Reviewではセキュリティ上の重大な脅威が無いならとりあえずは通過できる事が多い。しかし、Firefoxのセキュリティ機構をバイパスするためのアドオン、例えばThunderbirdでメールに添付されたWindowsショートカットを直接実行できるようにするアドオンのような物は、どれだけ多くのユーザが切望していても、例え顧客企業で必要とされていても、レビューを通過できない。今回の件の記事のコメント欄でも、署名チェック機構をバイパスするようなアドオンは審査を通過できない（＝XPIに署名して貰えない＝インストールは許可されない）という事が明言されている。

「公表できない物」っていうのは、例えばクリティカルな情報を含んでいるとか、組織内利用専用とか、そういうこと。なぜ公表できるかどうかが焦点になるのかというと、AMOのサイト上で一般向けに公開されないとしても、インターネット上のサービスにパスワードもかけずにファイルをアップロードし、どこの誰かも分からないボランティアのスタッフに自由にソースコードを見られる、という事を許容できるかどうかという話になるから。

企業などの組織内で使うためのアドオンについては「第3の選択肢」を用意するという事になっているようだけれども、具体的な詳細が公表されていないので、現状では最悪のケースも想定しておいた方がいいんじゃないかって気がする。例えば「特別なパートナーシップ契約を結んで、非公開でレビューを受けられるようにする」みたいな話だったとして、Mozillaにとって特別なパートナーシップ契約を結ぶだけのメリットを感じられない規模の組織は、詰んでしまうことになるので。

正道はやはり、クリティカルな情報を含まなくていい形で公開できるアドオンとして開発しておき、クリティカルな情報はMCDなり何なりで後から反映できるようにしておく、という事だとは思うんですけどね。

率直な感想としては、「ウチの製品をユーザがどう使えるかはウチが決めますよ、使い手のあなたたちに使い方を決める権利はありませんよ」「ウチの製品の上で使いたいならそれなりの質の物じゃないと許しませんよ」って言ってるような印象で、tivoizationと似た感じのニオイを感じられてまったくウンザリする話だ、って感じではあります（現状でも、Firefox OS向けのアプリは既にそうだったと記憶してる）。ある程度普及して、「Mozillaという組織の名前を冠した信頼と実績のFirefoxというブランド」が一定の価値を持ち、自分がやろうとしている事のリスクもよくわからないままに致命的な操作をしてしまいかねない層のユーザの数が無視できないレベルに達しており、そしてそれを狙った悪質な攻撃が増加している、という前提に基づくと、やむを得ない判断だと理解はできるんですが。だから怨むべきは、Mozillaではなく、面白半分だったり悪意だったりで人に迷惑かけてる黒アドオン作者の方。

まあ、Firefoxの名前とブランドロゴを外したビルドを使う分には関知しないという抜け道は残してくれているようなので、そこがMozillaの良心だと思ってます。

分類：Mozilla > XUL, Firefox, Mozilla, XUL, 仕事, 拡張機能 , 時刻：03:33 | この記事へのリンク | Comments/Trackbacks (0) | Edit

エントリを編集します。

wikieditish message: Ready to edit this entry.

タイトル:

タグ:

本文:

* [より安全なアドオン体験を提供するため、拡張機能に署名を導入します | Mozilla Developer Street (modest)](https://dev.mozilla.jp/2015/02/extension-signing-safer-experience/ "より安全なアドオン体験を提供するため、拡張機能に署名を導入します | Mozilla Developer Street (modest)")

具体的にアドオンを作る・使う側の人間はどう対処すれば良いのか、というのを自分の理解でまとめてみる。判断のソースは[原文](https://blog.mozilla.org/addons/2015/02/10/extension-signing-safer-experience/ "Introducing Extension Signing: A Safer Add-on Experience | Mozilla Add-ons Blog")のコメント欄での質問と回答で示されている情報です。

<dl>
<dt>AMOでFull Review済みのアドオン</dt>
<dd>作業フローは変わらない。公開されるファイルが勝手に署名されるようになるだけ。</dd>
<dt>AMOでPreliminary Review済みのアドオン</dt>
<dd>作業フローは変わらない。公開されるファイルが勝手に署名されるようになるだけ。</dd>
<dt>既存アドオンの勝手翻訳版、既存アドオンの勝手改造版などで、公表している・公表しても問題ない物</dt>
<dd>AMOにアカウントを作り、<a href="https://blog.mozilla.org/addons/2015/02/10/extension-signing-safer-experience/comment-page-1/#comment-212521">アドオンのIDを元の物から変更した（アドオンマネージャ上で明確に別のアドオンとして認識できるようにした）上で</a>、XPIをアップロードして、自動検証を（場合によってはそれに加えて<a href="https://blog.mozilla.org/addons/2015/02/10/extension-signing-safer-experience/comment-page-1/#comment-212612">Preliminary Review相当</a>の目視レビューも）受け、署名されたXPIを入手する。</dd>
<dt>AMOに掲載していない自作のアドオンで、公表している・公表しても問題ない物</dt>
<dd>AMOにアカウントを作り、XPIをアップロードして、自動検証を（場合によってはそれに加えてPreliminary Review相当の目視レビューも）受け、署名されたXPIを入手する。</dd>
<dt>AMOに掲載していない自作または改造版のアドオンで、公表できない物</dt>
<dd>現在公表されている範囲の情報では、対処法無し。署名を要求しないようにするオプションも無い。リリース版Firefoxの利用を諦め、開発者向けのノーブランド版、Nightly、あるいは独自ビルド版を使うしかない。</dd>
<dt>AMOに掲載していない自作または改造版のアドオンで、Preliminary Reviewを通過できない物</dt>
<dd>現在公表されている範囲の情報では、対処法無し。署名を要求しないようにするオプションも無い。リリース版Firefoxの利用を諦め、開発者向けのノーブランド版、Nightly、あるいは独自ビルド版を使うしかない。</dd>
<dt>自己署名証明書やベリサイン等で購入したオブジェクト署名証明書を使って署名して頒布しているアドオン</dt>
<dd><a href="https://blog.mozilla.org/addons/2015/02/10/extension-signing-safer-experience/comment-page-1/#comment-212611">Mozillaの証明書による署名以外は許可されなくなると明言されており</a>、それ以外の方法での署名は無意味になる。取れる対処方法は、公表できるアドオンかどうかによって変わる（上記参照）。</dd>
<dt>Thunderbird用のアドオン</dt>
<dd>作業フローは変わらない。Thunderbirdではアドオンの署名は要求されないままとなるので、勝手改造アドオン等も変わりなく使える。（ただし、今後もずっとそうであるかは不明。）</dd>
<dt><a href="http://www.mozilla.jp/business/faq/tech/addons/#faq3">distribution/bundles/以下にインストール</a>したアドオン</dt>
<dd>この方法でインストールされたアドオンはアドオンマネージャの管理下に置かれないため、短期的には影響は無いようだが、<a href="https://blog.mozilla.org/addons/2015/02/10/extension-signing-safer-experience/comment-page-1/#comment-212974">そもそもこの機能は将来のバージョンで削除する意向</a>だとのこと。よって、この方法でカスタマイズを適用している場合はアドオンとしてのインストールに移行する必要があり、公表できるアドオンかどうかによって対応が変わってくる（詳細は上記を参照）。</dd>
</dl>

現在AMOでのアドオンの公開に際してはPreliminary ReviewとFull Reviewの2段階のレビューがあり、Preliminary Reviewを通過できればサイト上に掲載され、その上でさらにFull Reviewを通過できれば検索結果にヒットしたり一覧に表示されたりするようになる、という感じなんだけど、Preliminary Reviewではセキュリティ上の重大な脅威が無いならとりあえずは通過できる事が多い。しかし、Firefoxのセキュリティ機構をバイパスするためのアドオン、例えば[Thunderbirdでメールに添付されたWindowsショートカットを直接実行できるようにするアドオン](https://github.com/clear-code/openshortcuts)のような物は、どれだけ多くのユーザが切望していても、例え顧客企業で必要とされていても、レビューを通過できない。今回の件の記事のコメント欄でも、<a href="https://blog.mozilla.org/addons/2015/02/10/extension-signing-safer-experience/comment-page-1/#comment-212637">署名チェック機構をバイパスするようなアドオンは審査を通過できない（＝XPIに署名して貰えない＝インストールは許可されない）という事が明言されている</a>。

率直な感想としては、「ウチの製品をユーザがどう使えるかはウチが決めますよ、使い手のあなたたちに使い方を決める権利はありませんよ」「ウチの製品の上で使いたいならそれなりの質の物じゃないと許しませんよ」って言ってるような印象で、[tivoization](http://ja.wikipedia.org/wiki/TiVo%E5%8C%96)と似た感じのニオイを感じられてまったくウンザリする話だ、って感じではあります（現状でも、Firefox OS向けのアプリは既にそうだったと記憶してる）。ある程度普及して、「Mozillaという組織の名前を冠した信頼と実績のFirefoxというブランド」が一定の価値を持ち、自分がやろうとしている事のリスクもよくわからないままに致命的な操作をしてしまいかねない層のユーザの数が無視できないレベルに達しており、そしてそれを狙った悪質な攻撃が増加している、という前提に基づくと、やむを得ない判断だと理解はできるんですが。だから怨むべきは、Mozillaではなく、面白半分だったり悪意だったりで人に迷惑かけてる黒アドオン作者の方。

ため、短期的には影響は無いようだが、そもそもこの機能は将来のバージョンで削除する意向だとのこと。よって、この方法でカスタマイズを適用している場合はアドオンとしてのインストールに移行する必要があり、公表できるアドオンかどうかによって対応が変わってくる（詳細は上記を参照）。現在AMOでのアドオンの公開に際してはPreliminary ReviewとFull Reviewの2段階のレビューがあり、Preliminary Reviewを通過できればサイト上に掲載され、その上でさらにFull Reviewを通過できれば検索結果にヒットしたり一覧に表示されたりするようになる、という感じなんだけど、Preliminary Reviewではセキュリティ上の重大な脅威が無いならとりあえずは通過できる事が多い。しかし、Firefoxのセキュリティ機構をバイパスするためのアドオン、例えば[Thunderbirdでメールに添付されたWindowsショートカットを直接実行できるようにするアドオン](https://github.com/clear-code/openshortcuts)のような物は、どれだけ多くのユーザが切望していても、例え顧客企業で必要とされていても、レビューを通過できない。今回の件の記事のコメント欄でも、署名チェック機構をバイパスするようなアドオンは審査を通過できない（＝XPIに署名して貰えない＝インストールは許可されない）という事が明言されている。「公表できない物」っていうのは、例えばクリティカルな情報を含んでいるとか、組織内利用専用とか、そういうこと。なぜ公表できるかどうかが焦点になるのかというと、AMOのサイト上で一般向けに公開されないとしても、インターネット上のサービスにパスワードもかけずにファイルをアップロードし、どこの誰かも分からないボランティアのスタッフに自由にソースコードを見られる、という事を許容できるかどうかという話になるから。企業などの組織内で使うためのアドオンについては「第3の選択肢」を用意するという事になっているようだけれども、具体的な詳細が公表されていないので、現状では最悪のケースも想定しておいた方がいいんじゃないかって気がする。例えば「特別なパートナーシップ契約を結んで、非公開でレビューを受けられるようにする」みたいな話だったとして、Mozillaにとって特別なパートナーシップ契約を結ぶだけのメリットを感じられない規模の組織は、詰んでしまうことになるので。正道はやはり、クリティカルな情報を含まなくていい形で公開できるアドオンとして開発しておき、クリティカルな情報はMCDなり何なりで後から反映できるようにしておく、という事だとは思うんですけどね。率直な感想としては、「ウチの製品をユーザがどう使えるかはウチが決めますよ、使い手のあなたたちに使い方を決める権利はありませんよ」「ウチの製品の上で使いたいならそれなりの質の物じゃないと許しませんよ」って言ってるような印象で、[tivoization](http://ja.wikipedia.org/wiki/TiVo%E5%8C%96)と似た感じのニオイを感じられてまったくウンザリする話だ、って感じではあります（現状でも、Firefox OS向けのアプリは既にそうだったと記憶してる）。ある程度普及して、「Mozillaという組織の名前を冠した信頼と実績のFirefoxというブランド」が一定の価値を持ち、自分がやろうとしている事のリスクもよくわからないままに致命的な操作をしてしまいかねない層のユーザの数が無視できないレベルに達しており、そしてそれを狙った悪質な攻撃が増加している、という前提に基づくと、やむを得ない判断だと理解はできるんですが。だから怨むべきは、Mozillaではなく、面白半分だったり悪意だったりで人に迷惑かけてる黒アドオン作者の方。まあ、Firefoxの名前とブランドロゴを外したビルドを使う分には関知しないという抜け道は残してくれているようなので、そこがMozillaの良心だと思ってます。

トラックバックPingを送るURLのリスト（省略可）:

--> 記事の日付（省略すると現在時刻）:

拡張機能ファイルのアップロード:

ファイル名の変更:

パスワード: