パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Tabbrowser Extensionsに深刻なセキュリティホール」記事へのコメント

  • by support_firefox (25197) on 2004年12月03日 2時24分 (#660861)
    以前、AC で書き込んだこと [srad.jp]がありますが、ここまでの書き込みを
    見ていて、やはり事実誤認や誤解があることがわかりました。

    まず、タレコミにある「update.mozilla.org に反映」ですが、そもそも、
    update.mozilla.org からは、インストールはおろか、ダウンロードすら
    できません。それは、この拡張機能が非推奨だからです。

    その理由として、Neowin.net から、一部ですが、引用 [neowin.net]します。

    TBE is one of the most buggest extensions. It has never been and most likely won't ever make it onto update.mozilla.org because of this. The firefox devs, other extension devs and many many people at mozillazine strongly discourage the use of TBE because of its buggyness. A lot, and I mean A LOT of bugs that are filed on bugzilla and new threads started on mozillazine are a result of this extension. Please just use the built in options (bangbang already explained how to turn these on) or if you feel you must use TabbedBrowserPreferences isntead.


    また、Firefox開発チームリーダーである Ben Goodger の Mozillazine Forum での
    発言を参照してください。これ以外にもありますが、とりあえず。

    http://forums.mozillazine.org/viewtopic.php?p=272721&highlight=#272721
    http://forums.mozillazine.org/viewtopic.php?p=274175&highlight=#274175
    http://forums.mozillazine.org/viewtopic.php?p=277768&highlight=#277768

    最後の発言では、この拡張機能の危険性に触れています。
    「イリーガルなこと」という、今回の作者のコメントを引くまでもありません。

    そして、update.mozilla.org には存在しない、現在の状況とのつながりですが、
    「危険な拡張機能」をインストールできないように、とまで発言しています。

    未だに使用できること、そして、薦めるユーザが多いこともあって、#660651の
    AC さん
    [srad.jp]の発言があるのだと思いますが、ある意味、「弊害」ですね。
    Firefox 開発チームとしては、容認していないし、したくない立場でしょう。

    このあたりは、オープンソースコミュニティで開発を制限できるのか、など、
    いろいろと考えなければならない点もあるとは思いますが、正直、Ben には
    インタビューされる機会が何度かあったのだから、もう少しこの点に触れても
    よかったのではないか、と、個人的には思っています。
    (ここで私が発言しても、どれほど認識してもらえるか)

    http://www.neowin.net/articles.php?action=more&id=96
    http://news.com.com/Unearthing+the+origins+of+Firefox/2008-1032_3-5406708.html

    Mozillazine Forum での Ben の発言にもありますが、Firefox への影響
    (シングルウィンドウモードなどのアイデア)があったことは否定しません。

    しかし、先日の拡張機能の話題 [srad.jp]を見るまでもなく、否定的な情報を
    隠したまま、「定番」 [itmedia.co.jp]として広まってしまうとすれば、それは
    オープンとは言えませんし、あまりにもアンバランスな状況です。
    また、Firefox 開発チームに、余計な負担をかけてしまうことにもなりかねません。

    ここ、/.J に限らず、IE の ActiveX などについては、セキュリティ面からの
    拒否反応があり、情報を知らないユーザへの批判が多いように思いますが、
    そのようなコミュニティにおいて、この機能拡張の危険性を検討しないまま、
    他のユーザに薦めている状況も、「危険」ではないかと思う次第です。
    • なるほど。
      自分にとっては必須の拡張という感じであり、また、色々な所でも「取り敢えず入れとけ」という扱いで薦められまくっているにもかかわらず、本家の「update.mozilla.org/extensions」に載らないのは何でだろー、とか、思っておりましたが、その辺の危険性を加味しての判断があったのですね。
      確かに、そのあまりの多機能性から「なんか穴が開いているか、穴が開き易いことになっているんだろうなー」とは思いつつも、やはりその機能ゆえに使い続けてきました。
      今までは、Firefox自体を更新した時とか、なんとなく気が向いたときとか、その程度での頻度でしか気にしてませんでしたが、これからは更新情報などをもっとマメに確認したほうがいいですね。

      #これを機会に、他のタブブラウジング機能拡張も試してみるかな?
      --
      -+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
      親コメント
    • by Anonymous Coward on 2004年12月03日 23時22分 (#661327)
      開発ポリシーのズレを認識しながら2年も音信不通を
      決め込んでたってこと?

      いっそ、Firefox + TBE は Firefox の fork したバージョン、
      とでもアナウンスしてくれればよかったのかも。
      親コメント
    • TBE の利用者の立場から発言します。

      挙げられている発言の内の1つ [mozillazine.org]には、このような意見 [mozillazine.org]も寄せられているようですが。

      But is this not one of the more popular extensions?? It may also be terrible that the developers give no indication of trying to incorporate into or give encouragement to others to fix the problem areas. And i hate to say this . . . but it smacks of MS's attitude of 'we know whats best for u!'

      あと、IE における ActiveX の問題と TBE の問題を同列に語られてもね……
      前者はシステムに最初か

      • by Anonymous Coward on 2004年12月03日 4時38分 (#660873)
        > 前者はシステムに最初から組み込まれているのに対して、後者は利用者が選択して明示的にインストールしなければ利用できないのだし。

        ActiveX の何が問題にされていたか、分かってないんじゃないの?

        > 「非推奨の機能拡張です」
        > 分かりました。では推奨される代替物は他にあるのでしょうか?
        > 利用者にとっては、そのソフトが自分のユーザ体験をいかに改善してくれるかだけが重要なのであって、問題が起こっても速やかに対応が取られている限りにおいては、実装がどうなっているのかなど、正直どうでもいいことです。

        これって、何年か前のマイクロソフトの態度そのものでは?
        親コメント
        • Mozilla Foundationがその実装をいくら嫌っていようと、
          機能そのものを求めている人間が多いこと、
          タブ関係の拡張が多すぎてスタンダードというべき機能拡張が必要とされていること
          という状況は変わっていない。
    • TbEの代わりになるエクステンションてどこかにあるんでしょうか。
      適当な代替品がない限りは、使われ続けるのを止めることなんて出来ないでしょう。
      私にとってはTbEあってのMozilla/Firefoxなんで、TbEが使えなくなったらブラウザごと乗り換えを検討しますね。

      # buggyだ
      • by support_firefox (25197) on 2004年12月04日 6時01分 (#661456)
        ひとまず、代わりになる拡張機能の情報について書いておきます。
        (どちらに返事を書くか迷いましたが、こちらにしました。ご了承ください)

        既にいくつかの拡張機能について、書き込まれている方もいるのですが、
        まとまった形としては、MozillaZine Knowledge Base にあります。
        Extensions That Replace TBE [mozillazine.org] を参照してください。

        また、それの日本語訳ではないのですが、hadakadenkyu 氏の「Firefox -
        ソフトウェア関連記事」に書かれたリスト [flnet.org]がまとまっていますね。

        一連の拡張機能の情報については、MozillaZine の Extensions forum で
        新規開発も含めて意見交換が行われていますので、そちらをどうぞ。
        以下の2つです。

        Rebuilding TBE's featureset with other plugins [mozillazine.org]
        Rebuilding TBE's featureset with other plugins, II [mozillazine.org]
        親コメント
      • by seraen (6928) on 2004年12月03日 12時28分 (#660976)
        Tabbrowser Preference [intraplanar.net]とTabX [mozdev.org]で大体、代替がきくと思いますが。。。
        親コメント
        • by kz78 (20202) on 2004年12月03日 19時52分 (#661201)
          私はTbEで使っていた機能と同等の機能を実現するために4つの拡張を入れました。結局めんどくさくなってTbEに戻しましたが。
          ・Tabbrowser Preference
          ・PrefButtons
          ・undoclosetab
          ・Flowing Tabs
          インストールした拡張の数が増えると設定が煩雑になるんですよね。特にタブ関係の機能は設定を変更しようとすると、どの拡張の機能か探すところから始めないといけなかったりして。
          親コメント
        • Tabbrowser Preference は 1.0 にインストールできませんでしたが。。。
        • TbEで提供される機能でブックマークのプロパティに追加される
          『タブの設定』も何かで代替出来るのでしょうか。
          私はこの機能を使ってFirefox本来のJavaScriptオン、
          タブのデフォルトのJavaScriptオフ、
          ブックマークで特定のサイトのみJavaScriptオンで使っています。
          この機能がないFirefoxには魅力を感じないです。
          • by eruchan (2221) on 2004年12月03日 23時06分 (#661315)
            私はこの機能を使ってFirefox本来のJavaScriptオン、
            タブのデフォルトのJavaScriptオフ、
            ブックマークで特定のサイトのみJavaScriptオンで使っています。
            さらにつけ足しておくとその設定に加えて、PrefButtons [mozdev.org] の JavaScript(this tab), Plug-Ins (this tab) 等を使うと、タブ毎に JavaScript の on/off もできますね。

            Java や Send Referer に this tab が無いのがちょっと悲しいところですが・・・。

            #というわけで俺も同じ理由で TbE が必須です・・・。
            親コメント
      • > # buggyだから使うななんて言葉をMozillaの開発者が口にするようになったんですねえ。
        > # マイルストーン時代からbuggyなMozillaに付き合ってくれるユーザがいたからこそ
        > # ここまでこれたんでしょうに。

        開発中で、事情が分かった内輪の連中で使うものと、
        リリースされて、よく分からずに薦められて使う人がいる
    • ちょっと待て。

      Piroさんの日記を見ると、このBenの発言やFirefox開発者の公式見解(?)を知らなかったみたいだぞ。
      2年も前に問題点がわかっておきながら、なんで本人に注意しなかったのだ?
      交渉はあったのか?

      Piroさんが割り切っていたならともかく、危険性を知っていながら放置するなんて、何がセキュリティだ
      ふざけている
      • というかそもそも、オープンソースなんだから修正して反映してもらえばいいだけの話じゃないの?

        大抵、こういう話題の時ってみんなそう言うじゃん。
        言い出しっぺがやれ、自分で手を動かせって:-P

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...