『Firefox 3.0』第8アルファ版公開、拡張機能更新の安全性を強化

Mozilla Foundation の Web ブラウザ『Firefox』が人気を集めた理由の1つに、拡張機能の作成とインストールが比較的容易なことが挙げられる。しかしその容易さには潜在的な問題もある。

Firefox の拡張機能アドオンは、一般にブラウザの利便性を高めるものだが、セキュリティ上のリスクともなり得る。Mozilla Foundation が20日に公開した『Firefox 3.0』の第8アルファ版ではこの点を改善するため、拡張機能アドオンの更新処理において、安全性を高める変更が加わった。

Mozilla Foundation が公開している安全なアドオン更新に関する文書のなかには、次のような記述がある。「Firefox は現在、アドオンのインストール マニフェストに記載された URL を使い、更新の有無を自動的にチェックしている。現在のところ、これらの URL に関する規定はなく、https (SSL 暗号化) を用いた URL でなくてもよい。このため、アップデート マニフェストやアップデート パッケージが危険にさらされ、悪意のあるアップデートが差し込まれる結果につながる恐れがある。既にセキュリティ侵害の実施例が、1件公開されている」

拡張機能に関する新しいセキュリティ機能では、アドオンの作者を識別し、その信頼性を担保するため SSL 暗号化やデジタル署名などの仕組みを利用して、アップデートの安全性向上を試みている。更新パッケージの完全性と、更新の仕組みのセキュリティが適切な状態にあることを保証することで、全体的な安全性が向上するというのが基本的な考え方だ。

しかし、アドオンのセキュリティをさらに高める上で、Mozilla Foundation が取り組むべき課題はこれだけではない。

Mozilla Foundation は拡張機能に関する今回の変更について、上述した文書のなかで次のように記している。「この機能はアドオン更新時のセキュリティ強化を狙ったもので、最初にアドオンをインストールする際には、なんの影響もないことを強調しておかねばならない」