Mozilla Foundation は、最新のベータ版のリリースにより、Firefox のすべてのプラグインにポイント&クリックでアクセスできるようにするための新たな一歩を踏み出しました。
「時代遅れのプラグインはセキュリティの脆弱性の大きな原因となります。
このシステムでは、ページを開くと、Firefoxはプラグインを自動的に実行するのではなく、ポップアップウィンドウでプラグインの脆弱性の可能性についてユーザーに警告します。マルウェアが存在する感染経路であるプラグインをユーザーが確実に有効化する場合、警告の内容はヒントとしてのみ機能します。
唯一の例外はAdobe Flash Playerプラグインで、Mozillaはあまりにも多くのウェブサイトに適用されていると考えているため、ユーザーが手動で有効にする必要があります。しかし、ユーザーがこのFlashプラグインの最新バージョンをインストールすると、Firefoxユーザーは警告のポップアップウィンドウを閉じるだけです。
"ユーザが古いバージョンのFlashを使用している場合、そのセキュリティが不明であるため、ユーザは「クリックしてアクティブにする」ユーザインターフェイスが表示され、プラグインを最新バージョンにアップグレードするよう促されます。"MozillaのBenjamin Smedberg氏は9月にこう書いています。"セキュリティチームとプラグインチームの両方がAdobeの問題について緊密に協力し、Flashプラグインの安定性とセキュリティの問題からFirefoxユーザーを安全に保つことを目指しています。"
Mozilla がこのようなセキュリティ対策を導入したのは今回が初めてではありません。9月にリリースされたFirefox 24では、MozillaはOracle Javaプラグインの最新バージョンを含むすべてのバージョンを「安全でない」とマークしました。
プラグインがもたらす可能性のあるセキュリティ脅威を検討しているのはMozillaだけではありません。ChromeでFlashをブロックするためのGoogleのアプローチは、プラグインをブラウザにバンドルし、ユーザーが古いバージョンのプラグインを実行できないように自動的にアップデートするというものです。
1月以来、MozillaはFirefoxのベータ版で "click-to-play "プラグインシステムをテストしてきました。金曜日のベータ版リリースにより、この技術はFirefoxのメインストリーム製品に一歩近づきました。
ブラウザの最新メインストリームバージョンであるFirefox 25が火曜日にリリースされ、いくつかの新機能が追加されました。そのほとんどがWeb Audio APIをサポートし、暗号化されたウェブページ上の安全でないコンテンツをブロックするものです。
すべてが計画通りに進めば、Firefox 26は12月10日にベータ版から大量リリースに移行し、「click-to-run」プラグインがデフォルトで有効になる見込みです。
