- uBlock Origin Lite artık Firefox Add-ons Store üzerinden dağıtılmıyor ve geliştirici Raymond Hill, eklentiyi kendi barındırdığı sürüme taşıdı
- Mozilla inceleme ekibi eylül başında tüm sürümleri politika ihlali olarak işaretledi; gerekçe olarak kullanıcı verisi toplama ve “minified, concatenated or otherwise machine-generated code” içermesini gösterdi
- Hill, JavaScript’i temel düzeyde anlayan biri için bu iddiaların anlamsız olduğunu söyleyerek karşı çıktı ve inceleme sürecini “nonsensical and hostile” olarak nitelendirdi
- Mozilla daha sonra GitHub issue’sunda paylaşılan bir e-postada hatayı kabul edip özür diledi, ancak uBlock Origin Lite hâlâ addons.mozilla.org üzerinde bulunamıyor
- Firefox kullanıcılarının en son sürümü GitHub’dan indirmesi gerekiyor; mevcut uBlock Origin for Firefox ise sunulmaya ve desteklenmeye devam ediyor
Firefox Add-ons Store dağıtımı durduruldu
- uBlock Origin Lite geliştiricisi Raymond Hill, Firefox Add-ons Store inceleme ekibinin “nonsensical and hostile” olarak tanımladığı inceleme sürecini defalarca yaşadıktan sonra mağaza desteğini sonlandırdı
- Eylül başında Mozilla, uBlock Origin Lite’ın tüm sürümlerini politika ihlali olarak işaretledi
- İncelemeciler, eklentinin kullanıcı verisi topluyor gibi göründüğüne karar verdi
- Ayrıca “minified, concatenated or otherwise machine-generated code” içerdiğini de sorun olarak gösterdiler
- Hill, JavaScript’i temel düzeyde anlayan herkesin bu iddiaların mantıksız olduğunu birkaç saniye içinde fark edebileceğini savundu
Kendi barındırdığı sürüme geçiş ve kullanıcı etkisi
- Hill, eklentiyi Firefox Add-ons Store’dan kaldırıp kendi barındırdığı sürüme taşıdı
- Firefox’ta uBlock Origin Lite kullanmaya devam etmek isteyen kullanıcıların en güncel sürümü GitHub üzerinden indirmesi gerekiyor
- Bu sürüm kendi kendine otomatik güncellenebiliyor
- Kapatılmış GitHub issue’sundaki son mesajda, Mozilla’nın hatayı kabul edip özür dilediği bir e-posta yer alıyor
- Buna rağmen uBlock Origin Lite, Mozilla Add-ons Store’dan kaldırılmış durumda ve artık addons.mozilla.org üzerinde bulunamıyor
uBlock Origin ve Manifest sürümü bağlamı
- Mevcut uBlock Origin for Firefox hâlâ sunuluyor ve destekleniyor
- Lite sürümü, Manifest V3 tabanlı bir eklenti; işlemci ve bellek gibi kaynakları daha hafif kullandığı için daha verimli
- Hill, Chrome’un uBlock Origin’i desteklenmeyen bir eklenti olarak göstermeye başlamasının ardından uBlock Origin Lite’a geçilmesini önermişti
- Mozilla, yakın gelecekte Manifest V2 tabanlı eklentilere desteği sonlandırmayı planlamadığı için uBlock Origin, Firefox’ta ve MV2 destekleyen tarayıcılarda varlığını sürdürüp çalışmaya devam edecek
1 yorum
Hacker News yorumları
İş yerinde orta ölçekli bir tarayıcı eklentisi yönetiyorum ve Firefox için de sunuyorduk; ancak manuel incelemeden sonra Mozilla mağazasına yeniden girmeye çalışırken son bir yıldır uğraşıyoruz.
ABD'deyim; incelemeyi yapanlar Avrupa'da, muhtemelen Romanya tarafında, yalnızca iki kişi kadar görünüyor. Yanıt süreleri uzun; “gizlilik politikasına ihtiyacınız var” gibi zaten var olan bir şeyi görmemeleri, derleme çıktısına bakıp “makine tarafından üretilmiş/obfuscate edilmiş kod” demeleri ya da yönergeleri izlemeyip yanlış dizinde “kaynak yeniden üretilemiyor” demeleri gibi basit hataları çözmek iki hafta sürüyor ve bu çok bunaltıcı.
Yeniden üretilebilir derleme istiyorlar ama doğru yarn sürümünü kuramıyorlar; README'de kalın yazıyla defalarca belirttiğimiz tam kurulum komutlarını, Node sürümünü kurma adımlarını ve otomasyon betikleri gibi temel kurulum aşamalarını bile izleyemiyorlar.
Özel bir şirketin özel NPM modülleri kullanma “çılgınlığını” yapması işleri daha da zorlaştırıyor. Önceden ayarlanmış bir hesap erişimi sağlamayı ya da inceleme hesabına yetki vermeyi teklif etsek bile Mozilla, “inceleme sırasında dış hesap kullanmak zor” diyor.
Tarayıcı inceleme ekibiyle etkileşmek zorunda kalmak başlı başına artık Firefox'u önermememin büyük bir nedeni. En iyi ihtimalle beceriksizler; Google arama anlaşması gelirini sonuna kadar sömürmekten başka, alternatif ve güvenli bir tarayıcıyı ciddiyetle sunmaya çalışıyor gibi görünmüyorlar.
Oysa eklenti, Rust'tan wasm dosyası derleyen bir yapıda ve birkaç yazışmadan sonra o wasm'in yeniden üretilebilir olması gerekmediği sonucuna vardılar. Halbuki eklentinin çekirdeği ve mantığın %99'u onun içinde.
wasm'in içine keyfi, potansiyel olarak kötü amaçlı kod saklanabiliyorsa JS'nin yeniden üretilmesinin ne anlamı var, bilmiyorum.
Bir süre AMO tarafındaki “yeniden üretilebilir derlemeyi” basitleştirmek için önceden derlenmiş wasm'i kaynak paketine ya da npm'e koymayı bile ciddi ciddi düşündüm; ama bu, gerçek derleme biçiminden daha da uzaklaşıyor.
Bazı durumlarda incelemecinin sanal makineyi yeniden kullandığını ya da hiç kullanmadığını da duydum.
İnceleme formunda git bağlantısını yapıştırmak için bir alan olduğunu; belirlenmiş bellek ve disk özelliklerine sahip bir VM ayağa kaldırıp git'i klonlayan ve ardından
docker build -t ./docker/review/Dockerfileçalıştıran, iyi belgelenmiş bir otomasyon hattı bulunduğunu sanırdım.İncelemecilerin de iş tatmini açısından bu tür araçları kurum içinde güçlü şekilde talep etmiş olacağını düşünürdüm; şaşırtıcı. Kızgın uygulama sahipleriyle ne kadar uğraştıklerini hayal etmek bile zor.
Sonunda şirket, kullanım düşük ve inceleme çok sancılı olduğu için Firefox eklentisi güncelleme sıklığını azalttı. O şirkette Firefox kullanan tek mühendis, belki de tek çalışan olarak bu benim için üzücüydü.
Bir miktar teknik beceri gerektiren ama aynı zamanda epey sıkıcı bir iş; o daha ilginç işlerin ücretinin de daha iyi olma ihtimali yüksek.
Mozilla'da çalışıyorum ama Addons tarafına oldukça uzağım; bu yüzden orada ne tür baskılar olduğunu bilmiyorum.
Yine de ben yönetiyor olsaydım, karşımdaki kişi şu anda gorhill. Onu doğrudan tam yetkili bir eklenti incelemecisi yapar ve yalnızca kendi eklentilerini incelemesinin yeterli olduğunu söylerdim.
Yetkinliğini ya da güvenilirliğini doğrulamaya gerek yok. Herhangi bir yüklenici ya da çalışandan çok daha fazla geçmiş veri onu destekliyor.
Üstelik tekil bir örnek de değil. Eskisi kadar gönüllü odaklı değiliz ama hâlâ birçok önemli katkı gönüllülerden geliyor ve en azından SpiderMonkey ekibinde dış katkıcılarla ücretli katkıcılar arasında bir duvar yok.
gorhill'i inceleme ekibinin resmî bir üyesi yapamamak için bir neden göremiyorum. Mevcut duruma bakılırsa bunu hemen kabul edecek gibi görünmüyor ama başka bir kişiye ya da kuruluşa verilebilecek özel bir istisnadan daha makul.
Zaten Firefox'un yeteneklerine ve başarısına büyük katkı sağlıyor; o halde zaten var olan ve değerli olan incelemeye de katkı vermesini sağlayın. Sadece kendi incelemelerini yapması bile yeterli bence.
Şimdi Slack'te kimi rahatsız etmem gerektiğini bulmam lazım.
Süperstar olsa bile, güvenlik uygulamalarının gevşememesi için koduna başka birinin bakması gerekir.
Böyle bir ayrıcalığa izin verirseniz sınırda duran diğer süperstarlar da aynı yetkiyi isteyecektir.
Bilimsel yayıncılıkta da baş editör olsa bile kendi makalesini başkası değerlendirir ve karar süreci, kendisinin görmediği bir yerde yürütülür. Bilim için iyi olan budur.
İyi bir fikir olabilir, ama Mozilla'nın itibarı tutarlı şekilde değerlendirmediğine dair yeni şikâyetler doğabilir.
https://wiki.mozilla.org/Add-ons/Reviewers/Guide/Reviewing
Bunun yerine ESR/Developer/Nightly sürümünü kullanıp
xpinstall.signatures.requireddeğerini false yapmak gerekiyor; bu da güvenliği ciddi ölçüde düşürüyor.Bir hafta içinde geri döneceğini düşünüyorum; Firefox'ta normal uBlock Origin'e göre pil tasarrufu sağlayabildiği için önemli.
Zaman çizelgesini doğru anladıysam gorhill biraz aşırı tepki vermiş gibi. Bunu, son 5 yıldan uzun süredir Mozilla’nın yaptığı neredeyse her şeye genelde sert eleştirel bakan biri olarak söylüyorum.
Mozilla’nın tüm eklenti revizyonlarını manuel olarak, güvenli ve zamanında incelemesi gerçekçi olarak zor; eninde sonunda otomasyon ile uzun gecikmeler arasında seçim yapmak zorunda kalmış olmalılar. Otomasyonda yanlış pozitifler kaçınılmazdır.
Alternatif ne olurdu? Yayın öncesi incelemeyi tamamen kaldırmak mı? Bir kullanıcı olarak bunun olmamasını isterim. Gerçekten de gösterişli tedarik zinciri saldırılarının sahada yürütüldüğüne dair doğrulamalar var.
İnceleme politikası gorhill’in kendisini de korur. Casus yazılım eklemesi için tehdit edilse bile, bunun yayın öncesinde yakalanma ihtimali varsa, onu fiziksel olarak tehdit edilecek bir hedef hâline getirmek biraz daha az cazip olur.
Gorhill ve diğer üst düzey eklenti geliştiricileri Firefox’a gerçek değer katıyor ve yıllardır iyi niyetli davranış sergiliyor.
Bu, istediklerini yayımlayabilmeleri gerektiği anlamına gelmez; ama bir inceleyici tanınmış bir eklentiyi reddetmek üzereyse ikinci bir kişinin de bakması gerekir. Bu hata da elbette yakalanırdı.
Bu, “Firefox geliştirici ilişkilerine yeterince yatırım yapmıyor” görüşünün bir başka örneği gibi hissettiriyor. Onlara bu kadar bağımlı oldukları düşünülünce şaşırtıcı.
uBlock Origin Lite’ın 8,4 milyon kullanıcısı varsa, gorhill’in Mozilla’da kendisine atanmış özel bir sorumlusunun olmaması anlaşılması zor. Eklentide bir sorun varsa telefonla haber verilecek düzeyde olmalı.
Mozilla’nın kullandığı otomatik tarama aracının “bu Google Tag Manager” diye yakalayıp, şüpheli betik içeren eklentilere normalde gönderdiği uyarıyı üretmiş olması oldukça muhtemel.
Ancak e-postada açıkça “Mozilla Add-ons ekibi tarafından manuel olarak incelendi” yazıyor.
Ya bu bir yalan, ya da manuel inceleyici çalıştırdığı otomatik aracın yanlış pozitif üretebileceğini anlamamış.
Mozilla gibi bir platformda otomatik kötüye kullanım tespiti yapmak sorun değil; ama iletişimde yalan söylememek gerekir. Ya da eklenti engellemeleriyle uğraşırken ne yaptığını bilen insanlar işe alınmalı.
Kendi barındırdığın bir uzantı olsa bile gönderim sırasında incelemeden geçemeyip belirsiz bir süre beklemek gerekiyor; filtreleme kuralları uzantıya paketlendiğinde zaman önem kazanıyor. Onay bildirimi gelince uzantı dosyasını tekrar manuel indirip adını değiştirmek, ardından GitHub’a yüklemek ve
update_urldeğerini yeni sürüme manuel olarak yamamak gerektiği söyleniyor.2024.9.12.1004gönderildikten sonra kendi barındırma onayının alınması 5 gün sürdü; yazıldığı sırada2024.9.22.986hâlâ onaylanmamıştı.Hobi olarak yapılacak hiç de keyifli bir şeye benzemiyor.
https://github.com/uBlockOrigin/uBOL-home/issues/197
O, uBlock’u hobi olarak yapan bireysel geliştirici ve bağış da kabul etmiyor; dolayısıyla bize borçlu olduğu bir şey yok.
İnceleme sürecinin kendi zamanını ve enerjisini harcamaya değecek kadar sorunsuz olup olmadığına karar verme hakkı var; bu sefer de değmediğine karar vermiş.
Uzantıyı açık kaynak yaptığı için isteyen herkes onun yerine uBlock Origin Lite’ı yayımlayabilir.
https://github.com/uBlockOrigin/uBOL-home/issues/197
Bu otomatik bir inceleme değil, kötü yapılmış manuel incelemeydi.
Yazar ayrıca AMO inceleme sürecinde nelerin yer aldığını açıklıyor ve bu stresi üstlenmek istemediğini söylüyor. Ayrıca eklentinin biraz zararlı bir sürümünün geride kaldığını da belirtiyor.
Stresi üstlenmek istememek tamamen anlaşılabilir bir tepki.
Sıradan kullanıcılara dağıtmak için uzantıyı kapıcıya sunmak zorunda olmak çok can sıkıcı.
gorhill’in GitHub’da söylediği gibi, kendi barındırdığı sürümün onaylanması bile birkaç gün sürdü; bu kabul edilemez.
Yazılım dağıtmak için Microsoft’tan onay almak zorunda olduğunuzu hayal edin. Android bile bu kadar kapalı değil.
İmzalama zorunluluğu ve XUL’un kaldırılması, Mozilla’nın yaptığı en kötü şeylerdi. Google da aynısını yapıyor, hatta daha kötüsünü; ama bu Google’dan beklenir, Mozilla’dan beklediğimiz şey bu değildi.
XUL kaldırıldıktan sonra bir süre VimFx’i sürdürdüğüm için biliyorum. Değişen dahili API’leri takip etmek zordu ama ürün geliştirmeleri gerektiği için onları suçlayamazdım.
VimFx bakımını bırakmama yol açan asıl neden imzalama zorunluluğuydu. “Kendi kodumu” bile makul bir kullanıcı deneyimiyle çalıştıramayayım diye vidaları sürekli sıktılar.
İstediğim yön, WebExtensions’ı uyumluluk ve kullanımdan kaldırma garantileri olan önerilen yol olarak sunmaları; diğer API’lerin uyumluluğunu dert etmemeleri ve dahili API kullanan harici “tam erişimli” uzantılara izin vermeye devam etmeleriydi.
Mağazada “Bu uzantı desteklenmeyen API’ler kullanıyor; her an bozulabilir ve tüm kişisel bilgilerinizi çalabilir” diye uyarı gösterip yükle düğmesini kıpkırmızı yapsalar bile buna izin vermeliydiler.
Geliştiricinin yönettiği imzalama anahtarı ve güncelleme URL’si kullanan, kendi dağıtılan uzantıları da desteklemeye devam etmeliydiler.
Bu tür API’ler için uyumluluk garantisi olmadığından, fazladan iş de çok olmazdı. Korkutucu uyarılar eklemek için biraz UI işi ve mağaza dışı güncelleme kodunu korumak kadardı.
Giderek daha fazla platform bu yöne gidiyor ve Windows’un da ileride böyle olmasına şaşırmam.
Mobilde ise Mozilla deposu dışından uzantı yüklemek için Nightly derlemesi gerekiyor gibi görünüyor; bu da onların düşünce tarzının mobil ekosistemin geri kalanından etkilendiğini düşündürüyor.
Eklentiyi mağazadan kaldırmak gibi aşırı bir adım atmadan önce, Mozilla’nın inceleme sürecinde soruları veya kaygıları varsa önce iletişime geçmesi gerekir.
Ünlü biri değilseniz, çok takipçiniz yoksa ya da uygulama/uzantınız çok popüler değilse, işlerin zamanında çözülmesini beklemek zor.
Gorhill’in tam uBlock Origin’i, Firefox’un elinde kalan neredeyse tek satış noktası olabilir.
Mozilla’nın üst yönetiminin son dönemde aldığı saçma miktardaki parayla, bunun yerine birinci sınıf insanlardan oluşan bir ekip kurup Mr. Gorhill’in ihtiyaç duyduğu her işi üstlenebilirlerdi.
En son, hiçbir kullanıcının talep etmediği privacy preserving attribution özelliğini eklediler.
Bu uzantının AMO’da neden bulunduğunu bilmiyorum. Makaleye göre “Lite/Manifest v3 sürümü”ymüş; Firefox için reklamları düzgün engelleyen sürüm varken neden eski tarayıcılar için daha düşük bir sürümü yükleyeyim ki?
Bildirimsel alan adı listelerini önbelleğe almak kolaydır ve gereksiz uzantı etkinleştirmelerini azaltır. Yetkiler daha az olursa, ileride kötü amaçlı yazılımla enfekte edilmiş bir sürüm mağazaya yüklendiğinde etkisi de çok daha küçük olur.
uBlock’un kural motoru çok güçlü; kullanıcı tanımlı kural setleri herhangi bir web sitesine kod enjekte edebilecek kadar. Bu yalnızca özel kurallar için değil, hesabı veya barındırması hack’lenebilecek ya da daha sonra satılabilecek yerleşik kurallar için de geçerli.
Elbette bu, Lite sürümünü kullanacağım ya da Google’ın seçimine katılıyorum anlamına gelmiyor. Çünkü alternatif bir API sunmadan reklam engelleme API’sini öldürdüler.
Ne de olsa kod ortada ve Google Chrome kullanmaya devam eden insanlar da var; bu yüzden bu sürüm Firefox’ta da sunulabilir.
Daha iyi soru şu: Firefox benim istediğimi reddediyorsa neden Firefox kullanayım?
Bu oldukça sert görünüyor. Mozilla hata yaptı, özür diledi, hatasını düzeltti ve belki süreci de iyileştirdi; ama yazar yine de eklentiyi kaldırıp Mozilla’yı eleştiriyor.
Bence yazar bunu fazla kişisel algıladı ya da inceleme sürecinin iyileşmesini istediği için güçlü bir mesaj vermek istedi. Bu süreçte projenin görünürlüğü biraz zarar gördü.
https://github.com/gorhill/uBlock/issues/38#issuecomment-918...
Bu yüzden Mozilla inceleme sürecinden de bıkıp bırakacağını söylemesi öngörülebilir bir şey.
O zaman projeyi vicdansız rastgele birine devretmişti; o kişi de hemen paraya çevirmeye çalışmıştı. Raymond ortaya çıkan sonucu beğenmedi, kendi eski projesini eleştirmek zorunda kaldı ve sonunda arada birçok ek iş yapıldıktan sonra neredeyse başlangıç noktasına döndü.
Bu tür projeler, yazarın topluluğa değerli bir armağan verdiğini, topluluğun da bunu kabul edip takdir ettiğini hissettiğinde iyi yürür.
Kendi eserini duygusuz bir “inceleme” sürecine sunmak zorunda kalmak ve kimsenin doğru düzgün bakmadığının açıkça belli olduğu bir biçimde reddedilmek, basit bir motivasyon kaybı değil, hakarettir.
Ben olsam ben de giderdim.
Yazara, önceden iki yönlü bir iletişim olmadan eklentinin tekrar kaldırılmayacağına dair bir güvence bile vermediler.
Mozilla’nın bir basın bülteni sayfası var; neyin yanlış gittiğini ve bundan sonra bunu nasıl değiştireceklerini kamuya açık ve net biçimde duyurabilirlerdi. Bu eklentinin mükemmel olduğunu kabul edip kullanıcılara sunulması için maddi katkıda da bulunabilirlerdi.
Ama bunun yerine, incelemeyi yapan kişi büyük bir hata yaptıktan sonra yüzü kurtarmak için mümkün olan asgari şeyi yaptılar. İlk incelemede öne sürülen gerekçeler açıkça yanlıştı; yeni başlayan bir JS geliştiricisinin bile anlayabileceği düzeydeydi.
Hatta bir yapay zeka inceleyicisi daha iyi iş çıkarırdı. ChatGPT 4o mini, bu dosyanın obfuscate edilmiş kod gibi görünmediğine; boşlukları, satır sonları ve yorumları kaldırılmış sıkıştırılmış bir biçim olmadığına; yorumlar, girintiler ve yapılandırılmış fonksiyonlar içerdiğine ve bunun obfuscate edilmiş kodun özellikleri arasında olmadığına karar verdi.
Firefox “mağazasını” yöneten insanlar gibi soğuk ve duygusuz olamazlar mı?
Onun yerinde olsaydım farklı davranırdım gibi gelse de, bir noktada yeter artık denir.
Ayrıca Mozilla özür dilemedi. Özür polisi kesilmek istemem ama bu, içinde “apologize” kelimesi geçen biçimsel bir müşteri destek cümlesinden ibaretti.
Bu kadarı yeterliydi ve kimse daha fazlasını beklemiyor; ama onun ne olduğunu olduğu gibi kabul edebiliriz.
Haklı bir tepki. uBO bir killer extension; Mozilla, Google tarzı berbat, makine güdümlü eklenti inceleme sürecinde ısrar edecekse, en azından mevcut en önemli eklentilerden biri için istisna yapması gerektiğini düşünememiş gibi görünüyor.
Mozilla “hatasını fark etmiş” olsa bile, gorhill’in tüm bu olaya tamamen öfkelenip iş birliğini reddetmesi anlaşılır.
Hataları, onun da birçok eklenti ve açık kaynak geliştiricisi gibi az takdir ve artan talepler karşılığında angaryaya katlanacağını varsaymalarıydı.
Sonuç hiç ideal değil, ama ne yazık ki sorumluluk tamamen Mozilla’da.
Ana eklenti Firefox’ta her zaman Chrome/Edge’den daha güncel.
Reklam engelleyicileri böyle halletmiş olurlar. Chromium üzerinde zaten geniş bir kontrole sahipler; geriye kalan gerçek alternatif, saldırması çok daha zor olan Safari.
Google, Firefox’un reklam engelleme eklentilerini engelleyemez; ama Mozilla’yı Firefox’u fiilen sahipsiz bırakılmış yazılım gibi yönetmeye teşvik edip ölmesine yol açabilir.
Mozilla Foundation’ın kendi konumunu bu kadar kötü berbat etmesi utanç verici; bu davranışları yalnızca beceriksizlikle açıklamak zor.
Firefox bunu desteklemeseydi başka bir tarayıcı kullanıyor olurdum. Mozilla’nın doğru yaptığı işler giderek azalırken gorhill’e el üstünde davranmaları gerekir.
Raymond Hill’in uBlock Origin’e, yani Manifest v2 sürümüne aynı adımı atmamasını gerçekten umuyorum.
Başkalarına self-hosted eklenti kurmalarını önermek pek rahat bir şey değil.
Mozilla ile Raymond Hill’in bu sorunu birlikte çözememesi ya da çözmemesi üzücü. Böyle bir eklentinin böyle bir incelemeye maruz kalmaması gerektiğini anlıyorum, onun artık bununla uğraşmak istememesini de anlıyorum; ama bu durumun uBlock Origin projesinin uzun vadeli istikrarını nasıl etkileyeceğinden endişeleniyorum.
Tüm durum kesinlikle sağlıklı görünmüyor.
https://github.com/uBlockOrigin/uBOL-home/issues/197#issueco...
Küçük bir platformun inat etmesi yüzünden projenin tehlikede olduğu imasında bulunmak saçma.
Çıkalı yaklaşık bir hafta oldu, buna rağmen Firefox eklenti sitesinden alınabilen en son sürüm 1.59.