Hatena::ブログ(Diary)

Another 朝顔日記 Twitter

<ご指定のiframeタグは許可されていません。詳しくははてなダイアリーで使えるブログパーツをご覧ください><ご指定のiframeタグは許可されていません。詳しくははてなダイアリーで使えるブログパーツをご覧ください>

07-09-04 (Tue) 曇り時々雨

ロケーションバー回りのスクリーンショ

[]今日のナイトリー 12:33 今日のナイトリーを含むブックマーク

FXNEWREF-WIN32--trunk の ID:2007090318。拡張機能回りでかなりショッキングな変更が入っています。Bug 378216 – Disable insecure extension updates by default ですが、どういうことかというと、SSL を使ったセキュアな方法でアップデートを行うようになっていない拡張機能はすべて無効になるというものです。

私のところでは、あまり安全でないところからダウンロードした XUL/Migemo と、Text/Shadow、JSActions などが無効にされてしまいました。XUL/Migemo を例にとってみます。直接 Piro さんのサイトからダウンロードした XUL/Migemo の install.rdf を覗いて見ると以下のような記述があります。

em:updateURL="http://piro.sakura.ne.jp/xul/xul.rdf"

これはセキュアなサイトではないので、無効にされるわけです。安全なサイト(Mozilla Add-ons)からダウンロードした XUL/Migemo には、updateURL の記述はないので無効にはされません。記述がない場合はアップデートのチェックは Mozilla Add-ons にたいしてなされます。Mozilla Add-ons はセキュアな方法で拡張機能を提供しているので、安心というわけです。

ということで、この新機能によって無効にされた拡張機能があった場合は、istall.rdf の updateURL の項目を削除すればいいということになるようです。

「セキュアなアップデートを提供しないアドオンは無効」を無効にするスイッチ、extensions.checkUpdateSecurity というものもあるようです。これを false にセットすれば、セキュアでないアップデートを行うアドオンを使用することも可能ですが、危険なのでお勧めしません。

あと、Bug 383183 – Include an identity indicator in primary chrome が入っています。ロケーションバーの favicon をクリックすることで、何か(何)出てきます。また SSL を使ったサイトだと、favicon の他にも何か(何)出てくるようです。スクリーンショットは、https な Bugzilla のものです。

otokitiotokiti 2007/09/05 12:44 ガイシュツでしょうが extensions.checkUpdateSecurity false で
私は無効にできる事を今日初めて 2ch で知りました。

otokitiotokiti 2007/09/05 12:46 誤爆です。↑は忘れてください。

PremierPremier 2007/09/06 14:35 Bug 378216 – Disable insecure extension updates by default に関してですが、
拡張機能の配布場所が https:// であれば問題ないということになるのでしょうか?
istall.rdf の updateURL が無い場合は Mozilla Add-ons に限るという話なんでしょうか?

nyamanyama 2007/09/06 15:53 配布場所自体は、http でもインストール可能みたいです。ですが、updateURL で示されるアップデートマニフェストの所在地が https でないと刎ねられるようです。updateURL が記述されていない場合、Firefox は addons.mozilla.org に更新がないかを問い合わせるようになっています。
したがって、https が使えない拡張機能作者なんかだと、addons.mozilla.org などに登録しないと、拡張機能の自動更新ができないということですね。
MDC の以下のところが、updateURL について詳しいです。
http://developer.mozilla.org/ja/docs/install.rdf#updateURL

PremierPremier 2007/09/06 18:05 ありがとうございます。
なるほど、AMO に集約化してよりセキュアなアップデートを確保しようとする狙いですね。
https が使えない拡張機能の作者は AMO に集まりなさいと。
ユーザにとってはより安心感が向上しますね。
Firefox 3 がリリースされたらちょっとした騒ぎになるかな?(笑)

nyama = のり
Connection: close