Firefox拡張のセキュリティモデルを考える

今日は、午前中自動車の免許更新手続きをした後、Mozilla Party JP 7.0に行ってきました。
いろいろ、興味深い話も聞けましたし、英語のヒヤリング能力の衰えを実感したりと、中々有意義な半日でした。(^^;

最後の Piro氏のセッションのとき、質問させてもらったのですが、自分の考えの表明を無理に質問にしようとして、ちょっと支離滅裂にになってしまったんで、もう一度文章にしてみようと思います。(^^;;;;

Piro氏がセッションで指摘していましたが、現状の Firefoxの拡張機能は、インストールされてしまえば、やり放題だそうです。
とりあえず、運用的な対処としては、作者を信頼するか、悪意のないことをレビューしてくれる信頼できる再配布元からダウンロードするしかないのかもしれないですが、そもそもインストールされたらやりたい放題という方もなんとかできるのではないかというのが、セッションと後の質疑を聞いていて考えたことです。

つまり、拡張が利用できる権限を「特権なし」から「フルアクセス可」までで、何段階かにレベル分けして、拡張をインストールするときに、インストーラで与えて欲しい権限を利用者に提示するようにすれば、不自然な権限を欲する拡張は、有る程度の知識があるひとならば、インストール時に不審に思ってチェックできるのではないかということです。(気づくひとがいれば、すぐ掲示板なんかでも情報が流れるでしょう)

あるいは、これは、今考えたことなのですが、Addonsのような専門サイトに再配布を依頼するのなら、こういったサイトには必要な権限を、ここの操作レベルまで詳細化された項目で設定する形で申請するようにして、配布サイトは不必要な権限まで設定されていないことを、詳細に審査・確認するようにすれば、プログラム全部をチェックするよりも簡単で、実効性のあるチェックができるのではないかなぁとか思うわけです。この場合、インストーラでは、権限を確認した再配布元の署名と、署名者によるインストール後与えられる権限の概略説明ぐらいを利用者に提示して、インストールの許可を確認することになるという感じです。

この方法なら、プログラムの更新も追加で新たな権限が必要にならない限りは、簡単な確認ですむとか、悪意のある者がソースを入手して改ざんしても、権限が弱ければ、結局大したことはできないだろうというメリットがあるんではないかと考えます。

でも、このやり方だと、どっかの Windowsのように、横着で不必要に最大権限で動作させなければならないプログラムが氾濫するのをどれだけ従わせることができるかが、やはり鍵のような気はしますが...