Firefoxの拡張機能に署名を義務付けへ

ユーザーの許可なくホームページや検索設定を変更してしまうなど悪質な拡張機能が横行する状況に対応するため、Firefoxの拡張機能に署名を義務付ける。

[鈴木聖子，ITmedia]

　米Mozillaは2月10日、Firefox向けの拡張機能に署名を義務付けると発表し、手順や移行スケジュールについて説明した。Firefoxの設定を勝手に変更してしまうなど悪質な拡張機能が横行する現状に対応する。

　Mozillaのブログによると、Firefoxのアドオンは現在、Mozillaのアドオンサイト「AMO」を経由しなくても開発者が自分のWebサイトで自由に配布することができる。しかしこの状況に突け込んで、ユーザーの許可なくホームページや検索設定を変更してしまう拡張機能や、Webページに広告を挿入したりソーシャルメディアサイトに悪質なスクリプトを埋め込んだりする拡張機能が横行しているという。

　そこでアドオンのエコシステム管理を強化する手段として、拡張機能に署名を義務付けることにした。

　今後の具体的な措置として、AMOに登録されて審査を通った拡張機能は、自動的に署名された上で配布される。現在公開中の拡張機能についても、審査済みの最新版についてはすべて自動的に署名される。

　AMOで配布されていない拡張機能はAMOに登録して署名する手順が必要になる。ファイルは自動審査プロセスを経て、すべてのチェックを通過すれば署名付きパッケージとして出力される。審査を通過しなかった場合、開発者は審査チームによる目視審査を申請できる。

　社内ネットワークなどで使われていて一般には公開されない拡張機能については、「3つ目の選択肢」を近いうちに提示するという。

　移行期間は2リリースサイクル（計12週間）とし、この間は未署名の拡張機能をFirefoxにインストールしようとすると警告が表示される。

　移行期間後は、未署名の拡張機能をFirefoxのリリース版やベータ版にインストールすることはできなくなり、これを無効化する設定やコマンドラインオプションは一切提供されない。

　一方、NightlyやDeveloper Editionなどでは、引き続き未署名の拡張機能もインストールできる。

　「今年はアドオンの開発に関して大きな変更が予定されている。いずれも安全性やパフォーマンス向上のために不可欠であると考えるが、ほとんどのアドオンに対応してもらう作業が必要になる」とMozillaは説明している。