Mozilla、ホワイトリストに登録されていない「Firefox」プラグインを原則ブロックへ

“Mozilla Security Blog”

　Mozillaは2月28日、公式ブログ“Mozilla Security Blog”で、“NPAPI”をベースとする「Firefox」プラグインのホワイトリスト登録の受付を開始すると発表した。指定された要件を満たすプラグインのみがMozillaが管理するホワイトリストに掲載され、それ以外のプラグインは近い将来“Click-to-Play”機能によって原則としてブロックされることになる。

　“NPAPI（Netscape Plugin API）”は古くから使われているプラグインアーキテクチャーで、ブラウザーだけではサポートが困難なコンテンツの再生を、OSネイティブの機能を借りることで実現してきた。しかし、近年ではWeb標準技術のサポートが進み、多くのメディアがプラグインなしで再生可能になったほか、カメラやマイクといったデバイスをブラウザー単体で扱えるようになってきている。それに伴いプラグインの重要性は次第に低下。最近では逆にブラウザーの動作速度やセキュリティを低下させるといった弱点が目立つようになってきた。

　そこで、Mozillaは「Firefox」から“NPAPI”プラグインを排除する方針を定め、推進してきた。今回発表されたプラグインホワイトリストの仕組みもその一環と言える。

　ホワイトリストに掲載されたプラグインはブロックされず、これまで通りコンテンツページを開けばユーザーの同意を得ずに読み込まれる。その代り、プラグインをホワイトリストへ申請・登録するにはMozillaが要求する条件を満たしていなければならない。たとえば、“NPAPI”からの移行計画などを明示する必要がある。

　ホワイトリストへの掲載は期間限定（初回申請で30週間）で、プラグインの開発者は「Firefox」のベータチャンネルで品質テストを行い、安定性とセキュリティの面でプラグインに問題がないことを保証する義務を負うほか、定期的に掲載期間を延長（24週間）するための申請が必要となる。またプラグインに問題があれば、いつでもホワイトリストから削除される。

　なお、ホワイトリストに掲載されていないプラグインは、コンテンツページを開いても、ユーザー側でコンテンツをクリックして明示的に実行を許可しない限り読み込まれなくなる（“Click-to-Play”機能）。