パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mozilla、リモートコードを実行する拡張機能をブロックリストに追加」記事へのコメント

  • by Anonymous Coward

    翻訳とかエンドユーザ環境にエンジン本体を提供できない系は全滅じゃん。
    拡張をローカルに置いて手動でインストール(例のブロックは自動インストールが対象)するか、
    ブラウザ本体でネイティブサポートして貰うよう働きかけるとかいうクソ面倒な手段しかないのか?

    なんかAppleみたいなことされても困惑するわ。

    • by Anonymous Coward on 2019年11月08日 9時51分 (#3712680)

      なんか誤解しているような気がする。
      本家を見ずにかいているけど、「リモートでコードを実行」といった場合、javascript を送り付けられて、それをブラウザが実行するということ。
      別に Ajax / REST call 禁止するとは書いていないから、
      リモートコード実行で問題になるとは思えないんだけど、どういう場合にリモートコード実行する必要があるの?

      親コメント
      • by Anonymous Coward

        Ajaxでもjsonp返して実行するやつは全部ひっかかるのでは
        あれって仕組み的にそのリモートコード実行だよね

        • by Anonymous Coward

          どこまでを実行コードとするのかの定義でモメそうな気がする
          JSで言う所のunsafe-evalを全部禁止にするとか?

          iOSでは
          https://developer.apple.com/jp/app-store/review/guidelines/#business [apple.com]
          >2.5.2 Appはバンドル内で完結している必要があります。他のAppを含め、指定されたコンテナエリア外に対するデータの読み書き、またはAppの特徴や機能を導入したり変更したりするコードをエリア外からダウンロード、インストール、実行することは許可されません。

          ってあるけど、ゲームでリソースファイルを初回起動時にダウンロードするやつは普通にあるし
          まあiOSなら「アップルが駄目と言ったら駄目」が通るんだろうけど。

        • by Anonymous Coward

          この件は拡張機能の制限の話でwebページとかは関係ないのだし、
          拡張機能ではjsonp使えない、使わないで済むようにしろってのはありえなくもないかも。
          jsonpを返す第三者のWebAPIとかを利用してると対応が難しそうだけど。

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...