MozillaのFirefox 26は現在,セキュリティ上の懸念を理由に,デフォルトですべてのJavaプラグインをブロックしている。ただしユーザが希望すれば,プラグインを実行することが可能だ。
ブラウザに対するセキュリティの懸念から,MozillaがブロックリストへのJavaの登録を検討したのは2011年のことだ。しかしその時点では,何の決定も下されなかった。今年に入ってMozillaでは,使用するプラグインをユーザが選択できるようにするClick-to-Play(CtP)機能を開発し,そのテストを続けてきた。しかしプロセスは順調に進まず,Javaに依存するWebサイトやユーザに影響を与えている。
9月になってMozillaは,全バージョンのJavaバージョンをunsafeとマークすると決定して,Firefox 24でそれを実行した。しかし,それによってアプリケーションやWebサイトが動作しなくなってしまったユーザのほとんどが,何が起こったのかを理解していなかった。彼らはCtPを使ってJavaを有効にできるということが分からなかったため,いくつかのプラグインを見ることができず,結果的にCtPは役に立たなかった。それどころかCtPのUIが表示されないケースさえあったのだ。少なくともいくつかの国では,多数のネットバンクユーザが影響を被っている:
Knud Berggreen: Java Plugin 7 update 45をブロックしないでください! 国中のログインがブロックされて,デンマーク国民すべてに影響します。
etoxsg: Javaプラグインをインストールしなくてもサービスを提供できるオンライン銀行は,ノルウェーには数えるほどしかありません。ノルウェー,スウェーデン,デンマークの全世帯の90%が,オンラインバンキングにJavaプラグインを必要としているのです。そうですから,Mozillaが事前の予告なくすべてのJavaをブロックすると決めたとき,私は友人や近所の人たちや家族を相手に,8件の訪問対応と15件の電話対応をしなければなりませんでした。
その他のコミュニティの反応は:
Tomasz: あからさまな言い方で申し訳ありません,でもユーザとして言いたい – FFがJavaをブロックするなんて,こんな超無責任な決定を一体誰がしたんですか!
おかげで私は,オンライン取引口座にログインできなくなってしまいました。銀行で使っているアプリが "Javaバージョン1.5以降が必要です" とメッセージボックスを表示するのです。セキュリティ問題どころではありません。単に動かないのです。
ipatrol: あなた方,頭がおかしくなったんじゃないですか? Javaは動的コンテントを支える3大テクノロジのひとつなんですよ! ハンマーを持ち出して些細なバグを叩き潰して,ちょっとしたUIの微調整って,落ち着き払って何を言ってるんですか?
Java SEエンジニアリングマネージャのRogerは,この問題についてこう述べている:
FFがJava 7u45の脆弱性を指摘していることについて,非常に多くの人々がjava.comサイトに報告を寄せています。その対策はIEを使用することだ,と言う人もたくさんいます。関連用語の検索結果数は天井知らずです。今回の処置を実施したFFチームの,これがエンドユーザのソリューションとして意図したことだったのでしょうか。メッセージ表示に関する混乱と,Javaを実行可能にする方法のユーザビリティに問題があったのではないかと思います。今回の新たなブロックが,FFユーザの行動にどのような影響を与えているか,何か統計情報はありませんか?
Mozillaは一旦はブロックを解除することにしたが,この措置はCtPが修正されるまでの一時的なものだった。10月末にMozillaは,再びセキュリティ上の問題を理由に,ベータ版のFirefoxでFlash以外のプラグインをブロックすると発表した。
結果的に,今年末にリリースされたFirefox 26では,すべてのWebサイトを対象としてJavaプラグインはデフォルトでブロックされている。CtPユーザインターフェースがユーザに対して,必要な場合にJavaを有効にする方法を知らせるのに十分役立っているか,疑問の余地は残る。
ユーザのコンピュータ内のセキュリティホールに関しては,長い間,WindowsとFlashが非難の的になってきた。そして今では,Javaがその圧力を感じるようになっている。Oracleはこれまで,この問題にそれほど注意を払っていないようだった。しかしその考え方は改められたらしく,この10月には四半期に最低1回提供されるCritical Patch Updateとして,127件のセキュリティを修正するアップデートがリリースされた。