パスワードを忘れた? アカウント作成
13901473 story
Firefox

MozillaがFirefoxの拡張機能で難読化コードの使用禁止を発表した2日後、全拡張機能が動作しなくなるトラブルが発生 99

ストーリー by headless
禁止 部門より
Mozilaは2日、難読化コードの禁止などを盛り込んだアドオン(拡張機能)レビューポリシー変更を発表した(Mozilla Add-ons Blogの記事BetaNewsの記事The Next Webの記事ポリシー改訂版)。

これまでのレビューポリシーではコードの圧縮処理やトランスパイルとともに、元のソースコードと再現方法の提供を条件として難読化コードの使用も認められていた。新しいポリシーでは許可される処理から難読化コードが削除され、難読化コードの使用を禁止する記述が別途追加された。また、悪意ある拡張機能のブロッキングを迅速化するため、ブロッキングに関する記述がより明確化され、ブロッキングプロセスの新しい解説記事も公開されている。新ポリシーは6月10日に発効するため、現在拡張機能で難読化コードを使用している開発者は、それまでに修正版を送ることが必要となる。GoogleはChromeウェブストアで1月初めから難読化コードの使用を禁止している。

なお、この件とは無関係に、Firefoxの拡張機能がすべて動作しなくなって(再)インストールもできなくなる問題が発生しており、修正およびテストが進められているそうだ(MozillaのアナウンスBug #1548973)。原因は中間証明書の期限切れとみられている。手元の作業環境ではFirefoxを起動したままになっていたためか発生していなかったが、別の環境でFirefoxを起動してみると再現した。具体的な証明書の期限は5月4日00:09:46 GMTで、この時刻よりも前に時刻を変更して拡張機能を再インストールすれば動作するようになった。ただし、時刻を現在時刻に戻すと、しばらくして再び動作しなくなるようだ。

追記: 19時50分に修正のロールアウトが発表された。今後数時間で自動的に適用されるので、ユーザー側は特に何もする必要はないという。ただし、修正の提供にはFirefox調査のシステムを使用しているため、Firefoxのオプションで「プライバシーとセキュリティ→Firefoxに調査のインストールと実行を許可する」をオン(デフォルト)にしておく必要があるとのこと。修正適用後はオフにしても問題ない。

追記[2]: 修正に関するブログ記事も公開されている。Firefox調査を通じた修正が適用されるまでには最大6時間かかり、適用状況は「about:studies」で「hotfix-update-xpi-signing-intermediate-bug-1548973」の有無で確認できるとのこと。ただし、適用しても拡張機能が有効にならないという報告も出ているそうだ。なお、Firefox調査を通じた修正はFirefox ESRやFirefox for Android、一部のLinuxディストリビューションに同梱のFirefoxには適用されず、別途更新が必要になる。現在、MozillaではFirefox調査を使用しない修正の準備を進めており、準備ができたら同ブログ記事で告知するとのことだ。

追記[3]: 問題を修正したFirefox 66.0.4が6日にリリースされた。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年05月04日 19時16分 (#3609595)

    サーバーに繋がりづらくなっているので、Twitterもどうぞ。 https://twitter.com/mozamo [twitter.com]

    手元の作業環境ではFirefoxを起動したままになっていたためか発生していなかったが、

    起動したままでも、アドオンの更新チェックが走るタイミングで無効化されると思います。

  • by Anonymous Coward on 2019年05月04日 17時56分 (#3609565)

    自己責任でどうぞ
    臨時の回避策
    about:config
    "xpinstall.signatures.required"
    True を 
    False
    に変更。
    Firefox 再起動
    Android8.0 Firefox 66

    これで復旧しました。

    • by Anonymous Coward on 2019年05月04日 18時05分 (#3609574)

      しかし、セキュリティ対策の施策に障害があった場合に、
      それを無効にすることで対処するというのは、
      セキュリティ的にどうなのだろうか。

      # 使いたいソフトが、セキュリティソフトから嫌疑をかけられているとして、
      # セキュリティソフトを停止させて使うものだろうか?

      親コメント
      • by Anonymous Coward

        個別に除外する方策が提供されてなければ、仕方なくやるかもしれないね。

      • by Anonymous Coward

        インストール済みも含めてアドオンが全て無効になる、という挙動は困りました
        せめてインストール済みは警告表示のまま使い続けられるようにしてほしい

        これ、Windowsのデバイスドライバのデジタル署名とかはどうなんだろう
        中間証明書の有効期限切れで、ある日突然ドライバが削除されるとか起きたら悲惨

      • しかし、アドオン無しだと、アクセスしたサイトのジャバスクが自分のパソコンで勝手に実行されるんだよ?
        それどころか、広告ブロッカーも当然無効なので、スラドにアクセスしただけでも数十ものドメインからiframeやジャバスクがロードされてそれが実行されてしまう
        万が一にもゼロデイ攻撃でサンドボックスが突破されたら権限昇格で任意のコードが実行されてしまう
        こんな恐ろしい事はない

        スラドを開いたとき、Firefoxの障害でアドオンが無効になっていたため、訳の分からない広告が山ほど表示され、ネットワークモニターに追いきれない

        • JavaScriptや画像表示の無効化ぐらいは最低限のセキュリティ機能なのだから、IEやGoogle Crhomeのようにデフォルトでできるようにしていただきたいものです。
          アドオンが無いとJavaScriptすら無効化できない今のFirefoxは絶対におかしいです。

          • by Anonymous Coward on 2019年05月04日 22時09分 (#3609665)

            両方ともFirefox単体でできますよ。
            JavaScript無効化はjavascript.enabledをfalseに、
            画像読み込み無効化はpermissions.default.imageを2に [mozillazine.org]
            するだけです。

            もっと簡単に設定できるようにしろという主張なら分からないでもないですが、殆どのユーザーは必要としない設定ですし、
            現状でも妥当だと思います。

            親コメント
          • by Anonymous Coward

            いやスクリプトの有効無効切り替えはabout:configで可能だから。
            アドオンはjavascript.enabledを切り替えてるだけ。

            • by Anonymous Coward

              > アドオンはjavascript.enabledを切り替えてるだけ。
              それはないでしょ。
              それだとドメイン毎にON/OFFできないから使い物にならないはず。

    • by Anonymous Coward

      自己責任でどうぞ
      臨時の回避策
      about:config
      "xpinstall.signatures.required"
      True を 
      False
      に変更。
      Firefox 再起動
      Android8.0 Firefox 66

      これで復旧しました。

      書き忘れました。
      Add-Onは再インストールが必要かも

      • by Anonymous Coward

        Android 7.0 / Firefox 66 ですが、アドオンの再インストールも、Firefoxの再起動も不要でした
        アドオンを削除しなかったからかな?

  • by Anonymous Coward on 2019年05月04日 20時56分 (#3609630)

    【注意喚起】Tor Browser で生IPアドレスが漏れる非常事態

    普通 Tor Browser を使う場合は「Tor Browserセキュリティの設定」でセキュリティレベル「最も安全」にするもので、
    説明には「すべてのサイトでJavaScriptが無効化されます。」とあります。

    しかし、このFirefoxの障害で、
    ・JavaScript
    ・カスタムフォント
    ・WebGL
    など、あらゆるキャンバスフィンガープリントに使える機能が勝手に有効になってしまいました。

    しかも警告メッセージの表示も無し。

    アドオン設定画面を表示すると「NoScript は Tor Browser での使用が検証できないため無効化されています。」と出ます。
    Tor Browser はスクリプトやIPアドレスが漏れたりキャンバスフィンガープリントされたりする危険要素をアドオンでブロックしていただけなようです。

    Tor Browserで児童ポルノなどをやり取りしている人は大勢いますが、そういう人は今回のFirefoxの障害で逮捕されるかもしれませんね。
    特に普段使っているPCで Tor Browser を使っていただけの人(仮想化無し)は、JavaScriptが実行された時点で即 キャンバスフィンガープリント でメイン環境と紐づけされちゃいますからね。

    署名の検証ができないときにアドオンを無効にするというのはFirefoxとしては安全側に折れるフェールセーフのつもりかもしれませんが、
    セキュリティのためにアドオンで JavaScript・カスタムフォント・WebGL 等を無効にしていた人たちは、一気に危険に晒されたのでした。

  • 無関係 (スコア:2, すばらしい洞察)

    by hakikuma (47737) on 2019年05月04日 17時52分 (#3609563)
    >なお、この件とは無関係に

    無関係ならこのストーリーとは独立させて、別のストーリーに分けるべきじゃないのかな?
    • by Anonymous Coward

      今ところ4コメント全部がそっちの話題という……

    • by Anonymous Coward

      GW進行でたくさん記事立ててらんないんじゃないかな

    • by Anonymous Coward

      オフトピコメントも気にせずOKって考えていいから、自分としてはそっちのほうがいいかな。

  • by Anonymous Coward on 2019年05月04日 19時41分 (#3609604)

    Twitterや掲示板を巡回していたら、「Firefoxが軽いと思ったら拡張機能が無効化された」というコメントが複数あった。

  • (スマホでアドオン入れられるのがこれしかなかったので)
    スマホと、(スマホに合わせて)PCで、Firefoxに乗り換えようと試していたところ、
    急に無効化されたから、てっきり、使っていたものが安全ではないものとなったのかと…

    # でも、モバイル版のは昨日から無効になっていたような…
    # そして、証明書とかドメインとかの更新は、
    # やはり誰でも忘れてしまうものなのか…

  • by Anonymous Coward on 2019年05月04日 19時18分 (#3609598)

    と、真っ先に思った俺は病んでいるかもしれない

    • 複数のサービスで、(バグが発生したなどの大義名分で)障害を発生させ、
      その対応によって競合ソフト開発者のリソースを消費させることで、
      定期的に必要なタスクが滞るように誘導する攻撃!

      ・・・さすがに被害妄想が過ぎるか

  • by Anonymous Coward on 2019年05月04日 19時18分 (#3609599)

    今日、なにもアドオンいれてないのに「アドオンが動作しません」とか警告が出たのはこのせいか。
    #アドオンを入れないのにFirefoxを使っているのもどうかと思うが>自分
    #ま、実家帰省用の移動端末だし(汗)

  • by Anonymous Coward on 2019年05月04日 20時38分 (#3609620)

    参考となる、書籍や情報がほとんどない。
    あったとしても、初心者向けのありふれたチュートリアル。

    この状況は、なんとかしてほしい。

    • by Anonymous Coward

      Chrome extensionとほとんど同じなのでそっちを探したほうが早い

  • by Anonymous Coward on 2019年05月04日 20時40分 (#3609622)

    about:configの
    app.normandy.run_interval_seconds を21600→20 に変更。これで6時間更新が20秒

    オプションのセキュリティーの「Firefoxのデータ収集と利用について」の
    「送信する事を許可」と「~インストールと実行を許可」をON

    20秒くらいダラダラしてアプリ再起動

  • by Anonymous Coward on 2019年05月04日 21時04分 (#3609637)

    本日15時頃に動かしてたFirefoxのアドオンとテーマが使えなくなりましたが、
    20時半頃に復活しました。特にブラウザ再起動もアドオン更新確認もせずに、
    急に戻りました。
    アドオンの再インストも有効化の作業無く不必要で、テーマは再度選択するワンクリック必要な位。
    取り敢えず、良かった、嬉しい。

    モジラ運営が新しい中間証明用意した対応に、取り敢えず感謝を表明。
    恨み言は、まあ、ドジの原因解明の後でw

  • by Anonymous Coward on 2019年05月04日 21時53分 (#3609658)

    実家がネット環境無いのでスマホでテザリングしているんだが
    普段はテザリングでネットしても1日1GBぐらいしかいかないのに(動画は興味ないので見ない)
    今日だけで20GBもギガを消費してしまった

    広告ブロッカーがないとギガジンとか5chとかYahoo!ニュースとかを見ただけでも莫大な広告ギガが流れるようだ
    たった1日で課金額はドコモベーシックパック上限の7,000円に達してパケ死状態

    Mozillaにはパケ代弁償していただきたいものだ

    • by Anonymous Coward

      それが本来の通信量ってだけで、Mozilla関係ないでしょ。

    • by Anonymous Coward

      hostsに数十万行追加しても速度あんまり変わらないんだから、二度と広告サーバーに通信できないように入れておきな。

  • by Anonymous Coward on 2019年05月04日 19時25分 (#3609601)

    プログラム的要素解析が楽に行える時代になっているのだから、分析結果に乱数的要素を加えて散りばめるAIが作れそうな気がする

  • by Anonymous Coward on 2019年05月04日 20時17分 (#3609615)

    マヌケとしか言いようがない

    • by Anonymous Coward

      ほんとこれ
      袂を分かったWaterfoxやPalemoonは何ともなくて
      公式版使ってたやつだけが被害を受けるという笑えない状態
      これでシェアが増えるわけがない

  • by Anonymous Coward on 2019年05月04日 21時39分 (#3609652)

    支持された大きな理由に数多くの拡張機能があったと思うのですが、アップデートでまるごと使えなくしたり
    今回のようにケアレスミスから全無効にしたり、どうもなんというか機能拡張きらいというか無視したくて
    しょうがない意思が見え隠れしますね。

    • by Anonymous Coward

      それもあるがFirefox使いの民度の低さが
      コメントや日記に散見されて嘆かわしい

      ちょっと調べれば
      証明書エラーって即わかるのに
      証明書更新待たずにアドオン入れ直したり
      証明書チェック設定も検証しなかったり

      アレゲに使えるユーザーはもう殆ど残ってないんだなと

      # 令和を持たずにとっとと互換へ乗り換えちゃった

  • by Anonymous Coward on 2019年05月04日 22時22分 (#3609675)

    拡張が大幅機能ダウンしたから
    あってもなくても大して変わらない。
    設計って大事だね。

typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...