Firefox web browser - Faster, more secure & customizable

FirefoxではFirefox 2のころからブロックリスティングサービスを提供している。危険性のあるエクステンションを検出して無効にするための機能で、Firefox 3からはプラグインも検出対象に含められている。Firefoxは定期的にブロックリスティングサービスにアクセスしてXMLファイルを取得し、そのデータに従って機能の無効化を実施する。

Firefox Blocklisting: the quest for Safe and Happy « Mozilla Webdevにおいて、こうした取り組みがとても「難しいもの」であることと、ほかにどういった対策を実施しているかが紹介されている。

ユーザの安全性を確保するという面では、ブロックリスティングサービスは効果的な方法のひとつ。しかし、数億というユーザを抱えるFirefoxにとっては、ブロックリスティングサービスを通じてユーザ体験に介入することになるという問題がある。ユーザは危険な状況になることを好まないが、今まで使ってきたエクステンションやプラグインがいきなり使えなくなるのも嫌がる。どのタイミングでブロックリスティングサービスをつかつべきかという判断がとても難しいという。

こうした取り組みを通じて、次のことを学んだと説明がある。

  • 多くのユーザは自分がどのプラグインをインストールしたかということを気に止めていない。
  • ユーザはインストールしたソフトウェアが停止することを快く思わない。
  • 多くのユーザは使っているプラグインやエクステンションがブロックリストに入った場合に何が行われるのか把握していない。
  • 古いバージョンのプラグインはユーザ体験とセキュリティの双方にとって重大な脅威になりうる。
  • プラグインは日々のWebブラウジングにおける一部として機能している。

ユーザのセキュリティを確保するための取り組みとして、現在進められている次の取り組みも紹介されている。

  • Plugin Check - ブラウザにインストールされているプラグインを一覧表示するとともに、バージョン状態やアップグレードサイトへのリンクを提供するWebサービス。Firefoxのみならずほかの主要ブラウザにも対応。
  • Plugin Directory - Firefoxで利用できるプラグインへのディレクトリサービス。
  • Plugin Update Service - プラグインをもっと簡単にアップグレードするための機能。将来のバージョンのFirefoxに導入される見通し。
  • Out of Process Plugins - プラグインを別プロセスで実行する機能。セキュリティを高めるほかプラグインを原因としたクラッシュへの回避機能となる。Firefox 3.6.4で導入の見通し。

プラグインの実行を別プロセスにすることで、耐クラッシュ性の向上とセキュリティの向上が実現される。この機能はFirefox 3.6.4で登場する見通し。プラグインの自動アップデートといった取り組みに関してはGoogleなどと協議しながら作業が進められており、さまざまなブラウザで同様の機能が実現されることになるとみられる。