2007/08/08

Robert Kairo が SeaMonkey バグ報奨金プログラムを発表

原文:Robert Kairo announces SeaMonkey bug bounty program by Percy Cabello -- August 6, 2007

SeaMonkey プロジェクトのリーダ Robert Kairo(KaiRo)は、重要でまだ誰も担当していないいくつかのバグを解決した開発者に、最大で$1000を支払う SeaMonkey バグ報奨金プログラム発表しました

7個の WANTED! バグには簡単といわれる Firefox の情報バーを SeaMonkey に移植するバグ($100)から、より複雑な SeaMonkey メールにフィード購読機能を追加したり($800)、SeaMonkey 用に dynamic user agent spoofing を実装する($1,000)ものまで含まれています。

Dynamic UA spoofing とは、ウェブサーバにSeaMonkey を別のブラウザのように見せかけて、いくつかのウェブサイトが利用している貧弱なブラウザ認識機能を回避するといういささか議論の余地がある機能です。SeaMonkey、Camino、Firefox、Netscape、Flock、K-Meleon やその他のブラウザは同じ Gecko レンダリングエンジンを利用しているので、これらはすべて同じように取り扱われるべきです。しなしながらいくつかのサイトでは、明確なレンダリングエンジン Gecko を探すのではなく、とりわけ Firefox だけを認識しようとし、その結果ばかげたことに、他の Gecko ベースブラウザでは機能が制限されたり、まったく動作しなかったりします。

このバグはまた、SeaMonkey が成りすましをするべきサイトリストを更新・保存し、それを動的に適用するための集約サービスを規定しています。

このアイデアはよく考えられており実用的ではありますが、最終的にはウェブ標準サポート不足の解決を手助けするものではありません。いずれは消えてなくなる技術です。

ブラウザ認識は90年代後半の狂気の第一次ブラウザ戦争の結果であり、またくウェブ標準に反するものです。ユーザエージェント(ブラウザ)やレンダリングエンジン(WebKit、Trident、Gecko、Presto など)に応じてコンテンツや機能を振り分けることは、複数のバージョンに対応する開発コストの増加や、さらに重要なこととして特定の種類のソフトウェアやハードウェアからのアクセスに制限されてしまうといった深刻な結果をもたらします。

この問題に対する簡単で即効性のある答えはありません。SeaMonkey プロジェクトは user agent spoofing 路線を選択しました。

報奨金プログラムに戻りましょう。バグ報奨金プログラムの実施はこれが最初ではないことに触れておく必要があります。現在、Mozilla はセキュリティバグのプログラムを実施しています。Mark Shuttleworth (Ubuntu’s Self Appointed Benevolent Dictator for Life) は 同じような試みを2003年に行っています。
Copyright (c)2005 by the Mozilla Links Contributors. Mozilla Links(TM) is a publication of the Mozilla Newsletter project under the Creative Commons Attribution-NonCommercial-ShareAlike 2.0 License.