ページ内ジャンプ:
スラッシュドット・ジャパン 全文検索

アレゲなニュースと雑談サイト

NoScriptにAdblock Plusを一部無効化させるコードが追加され問題になる

hylomによる 2009年05月07日 12時54分の掲載
ブロックをブロック部門より。
セキュリティ

あるAnonymous Coward 曰く、

本家/.記事「NoScript Adds Subscriptions To Adblock Plus」でも話題になっているが、Firefox用の著名なアドオンとして知られる「NoScript」の作者(Giorgio Maone氏)が、「Adblock Plus」(広告を遮断するアドオン)の機能に制限を加えるコードを密かにNoScriptに追加して配布したことが発覚、非難の的となった。事の顛末は「NoScriptの全面譲歩で決着」で日本語で読むことができる。

事の始まりは、Adblock PlusがNoScriptのサイトに貼られている広告をブロック対象としたことからだった。NoScriptの作者は、これに対抗し、NoScriptのサイト上ではAdblock Plusが広告を遮断しないようにするコードをNoScriptの新バージョンに仕込んで、Mozilla Add-onsで配布した。

これに対し、Mozilla Add-onsのNoScriptの配布ページのレビュー欄は批判の嵐となり、Mozilla Add-onsからは「次のバージョンではオプトイン用のダイアログを追加すべき」との提案が出される事態となった。Maone氏は反省し、ユーザーの承諾を求めるよう変更したNoScript 1.9.2.5を配布しようとしたが、Mozilla Add-onsの審査が厳しくなり、「そもそもAdblock Plusのホワイトリストへの追加はNoScriptの機能と関連しないから、そのような措置は認められない」と通告された。Maone氏は降参し、余計なコードを取り除いたNoScript 1.9.2.6をリリースした。

Mozilla Add-onsは今回の事態を受け、ブログエントリ「No Surprises」にて、新たな審査基準の提案として、

  1. アドオンの説明書は、そのアドオンがどんな変更をするのかを明確に公表しなければならない
  2. 全ての変更はオプトイン(ユーザがその変更を有効にするにはデフォルトでない行動を必要とする)でなければならない
  3. アドオンのアンインストールでは、ユーザの設定を元に戻すこと

という3つの要件を示している。

NoScript作者のGiorgio Maone氏は5月4日付けのブログにて、「Dear Adblock Plus and NoScript Users, Dear Mozilla Community」と題する謝罪文を掲載した。

NoScriptは、US-CERTの「Securing Your Web Browser」のページでもその利用が推奨されるなど、セキュリティマニアの間で支持されてきたアドオンである。しかし、このような個人の利己的な目的で安易にコードが埋め込まれて自動アップデートされるようなアドオンをセキュリティの拠り所にするのはむしろ危険だとタレコミ人は思う。Mozilla Add-onsの審査基準の強化は全く妥当なものではないだろうか。

NoScriptにAdblock Plusを一部無効化させるコードが追加され問題になる | ログイン/アカウントの作成 | 97 個のコメント | コメント検索
表示オプション しきい値:

  • そもそも (スコア:3, 興味深い)

    phason (22006) : 2009年05月07日 13時09分 (#1560333) 日記

    何で標準のFirefoxでスクリプトだ何だを切れないんでしょうかね?
    #いや,使い慣れてないんで,実は出来るんでしたらすいません.
    通常はIEでホワイトリスト式に使ってるんですが(設定ですべてoff,一部サイトのみ信頼済みサイトのリストに追加し,信頼済みサイトでの各種設定をIEの標準レベルに再設定),同じようなことをFirefoxでやろうとしたら出来ないし.アドオンいろいろ入れるのも個人的には好みではないので,そういう設定は標準で出来て欲しいなと.

    ところで,オープンソース推進派の人たちはFirefox用のプロプライエタリな拡張類に関してはどう思ってるんでしょ?ベースはオープンなのに,得体の知れない拡張が山ほどある状態ってのも気持ち悪いような.

    • Re:そもそも (スコア:2, 興味深い)

      Anonymous Coward : 2009年05月07日 18時09分 (#1560565)

      >ベースはオープンなのに,得体の知れない拡張が山ほどある状態ってのも気持ち悪いような.

      それは私も感じてるので、最近まで一切のアドオンを入れてませんでした。せめてコード署名くらい入れて欲しいってのもありましたし。それじゃなくてもフリーウェアやシェアウェアに悪意を仕込むバカは昔からいるもんですので。

      まぁ、昔は純粋な悪意を仕込む輩が少数いただけ(WinGrooveとか・・・)なので食らうことも少なければ食らっても「分かりやすい」というのがありましたが、昨今は利益目的で仕込む輩が多いので厄介な話です。自身を隠蔽するアドウェアの類は非常に多いですし、それならまだいい方でキーロガーやルートキットが入ってたりすることもあるので作者の身元が明らかでないソフトウェアは基本的に信用出来ないと考えています。もっとも、身元が明らかでもWindowsUpdateで個人情報を収集してニュースにされたベンダーとかもあるので、「世に出て評価が固まっていないソフトウェア」は信用しないといった方が正しいかもしれません。ソースが見れる&読めるコード量の場合は中身を確認して信用することも多いですけど。

      とは言っても、便利なものを使わないってのも何なのでVM上で動かしてますけどね。ブラウザ関連なんて評価が固まるまで待ってたらセキュリティホールを放置してしまうことにも繋がりますし。逆に、信頼できて(と言うより信頼せざるを得なくて)、かつ破られたらダメージの大きいサイト(銀行など)にアクセスする時は素のOSとブラウザ以外に何も入っていない別のVMからアクセスしています。

    • Re:そもそも by phason (スコア:1) 2009年05月07日 14時20分
    • 6個のコメント が現在のしきい値以下です。

  • 争点は、、、 (スコア:3, すばらしい洞察)

    GG (21918) : 2009年05月07日 13時10分 (#1560334)
    利己的な目的でコードを埋め込んだ事じゃなくて、
    それを明確に公表しなかった事だと思います。
    • Re:争点は、、、 by Anonymous Coward (スコア:1) 2009年05月07日 13時16分

    • Re:争点は、、、 (スコア:2, すばらしい洞察)

      Anonymous Coward : 2009年05月07日 15時23分 (#1560435)
      >じゃあ、公表したうえでなら、自分のサイトの広告は表示できるようにしていいんだね?

      良いと思います。
      「この拡張機能をインストールすると、私のサイトの広告は常に強制的に表示されるようになります」
      と宣言して配布すれば、後はそれを受け入れるか拒否するかはユーザーにゆだねられます。
    • 1個のコメント が現在のしきい値以下です。

  • NoScriptがやたらアップデートしていたワケ (スコア:2, 興味深い)

    Anonymous Coward : 2009年05月07日 13時21分 (#1560343)
    前からNoScriptがしょっちゅうアップデートするので、いったい何を変更しているんだ?と気になっていましたが、こういうワケでしたか。

    NoScriptが自動アップデートされるたびに、NoScriptのサイトが新規タブに開かれてウザいと思ってましたが、あれは、広告を表示させて収入を得るためだったわけですね。

    アップデートするたびに広告クリック数が出るので、もはや広告のために些細なアップデートを繰り返していたんじゃないかと疑われます。

  • NO! NoScript! (スコア:2, 参考になる)

    Anonymous Coward : 2009年05月07日 16時24分 (#1560481)
    NoScript を削除したら Firefox が軽くなりました。
    ページを開く最初でもたつく感じがなくなった気がします。

  • Adblock同等機能が標準で付いています。

  • 本文はともかく、そのタイトルは煽りに過ぎるんじゃないかと...。

  • Re:タレコミから削られた部分 (スコア:1, 興味深い)

    Anonymous Coward : 2009年05月07日 14時30分 (#1560397)
    コピペミスで文章が中抜けするとか、はたして起こりうるのか?

  • Re:NoScriptの作者かわいそう (スコア:2, 興味深い)

    konitan (37890) : 2009年05月07日 17時28分 (#1560539)
    同意です。

    良質なプログラムを作成できる人には
    これからもさらに良いツールを開発して欲しいと思います。

    フリーソフト開発と言えど周りめぐって自身に利益が必要です。
    それは直ぐに現金として反映されるものに限るわけではありません。

    開発者は利益につながる状況を作り出さなければなりませんし、
    それは開発スキルのみで対処できることではないと思います。

    もちろん、騙し取る体裁を選択してしまったことは悪いと思いますが、
    気持ちはわかります。

    大小はあれ、フリーソフト開発者の方が抱えている問題だと思っています。

    これを機に開発ストップなどにはなってほしくはありません。


    ※他のいくつかのコメントは極端で稚拙です。
    「フリーソフトの開発をやるよりもパン工場でアルバイトしたほうが金になる」
    とういう例えに対して問題となる要件はパンの価値をはかると言うことではありません。
    貴重な開発スキルを有した人材が埋もれてしまうことが不利益だと言うことです。

  • Re:思い出す (スコア:1)

    SkyAngel (9501) : 2009年05月07日 19時57分 (#1560651)

    あれはインストールオプションで明示的にオフにできますし,そもそもJaneStyleそのものの目的とは関係のないものだと思います.
    おそらく有限会社化したので,その辺の事情もあるのでしょう,と理解しました.
    # 個人的に,無関係なツールバーをデフォルトで入れる設定は,あまり好きではありませんが...

    今回の件は,
    ・ユーザに対する通知無し
    ・ソフト(add-on)そのものの目的を満たさない例外を埋め込んだ
    てのが問題なのではないでしょうか.

    --
    そうじゃないだろう!

  • Re:NoScriptの作者かわいそう (スコア:2, 興味深い)

    Penguin (6638) : 2009年05月07日 23時42分 (#1560813)

    それを言ったのはAdblock Plusの作者Wladimir Palant氏です。
    wilderssecurity.comでNoScriptはセキュリティ対策として使えないと言ってました。
    書かれていたことの詳細は忘れましたが、正常に動かないサイトでScriptを許可するのが癖になるとか、XSSやWhitelist制の欠点なんかを指摘していたと思います。
    Palant氏の容赦のない指摘にMaone氏がギブアップ。
    よほど悔しかったのか、その直後から何かにとり憑かれたかのように毎日どころか一日に何度も更新していた時期もありました。
    AMOのNoScriptの更新履歴で今でも確認できます。
    まあ、以前から因縁のあるお二人ですから、今回のことも驚きませんでしたが。

  • いくら偉そうなことを言おうと、必要もしてない事を騙して使わせて儲けるのはサギと言うんだ。

  • 7個のコメント が現在のしきい値以下です。

このページのすべての商標と著作権はそれぞれの所有者が有します。 コメントやユーザ日記に関しては投稿者が有します。
のこりのものは、© 2001-2010 OSDN です。