2 คะแนน โดย GN⁺ 2024-10-02 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • uBlock Origin Lite ยุติการเผยแพร่ผ่าน Firefox Add-ons Store แล้ว และผู้สร้าง Raymond Hill ได้ย้ายส่วนขยายไปเป็นแบบ โฮสต์เอง
  • เมื่อต้นเดือนกันยายน ทีมรีวิวของ Mozilla ทำเครื่องหมายทุกเวอร์ชันว่าละเมิดนโยบาย โดยชี้ปัญหาเรื่องการเก็บข้อมูลผู้ใช้และการมี “minified, concatenated or otherwise machine-generated code”
  • Hill โต้แย้งว่าหากเข้าใจ JavaScript ในระดับพื้นฐานก็จะรู้ทันทีว่าคำชี้แจงดังกล่าวไม่สมเหตุสมผล และมองว่ากระบวนการรีวิวนี้ “nonsensical and hostile”
  • หลังจากนั้น Mozilla ยอมรับว่าทำผิดพลาดและขอโทษในอีเมลที่รวมอยู่ใน GitHub issue แต่ uBlock Origin Lite ก็ยังไม่สามารถค้นหาได้บน addons.mozilla.org
  • ผู้ใช้ Firefox ต้องดาวน์โหลดเวอร์ชันล่าสุดจาก GitHub ขณะที่ uBlock Origin for Firefox รุ่นเดิมยังคงให้บริการและได้รับการสนับสนุนต่อไป

ยุติการเผยแพร่ผ่าน Firefox Add-ons Store

  • Raymond Hill ผู้สร้าง uBlock Origin Lite ยุติการรองรับบน Firefox Add-ons Store หลังเผชิญกระบวนการรีวิวจากทีมรีวิวของ Firefox Add-ons Store ที่เขามองว่า “nonsensical and hostile” หลายครั้ง
  • เมื่อต้นเดือนกันยายน Mozilla ทำเครื่องหมายทุกเวอร์ชันของ uBlock Origin Lite ว่าละเมิดนโยบาย
    • ผู้รีวิวมองว่าส่วนขยายนี้มีการเก็บข้อมูลผู้ใช้
    • อีกประเด็นที่ถูกทักท้วงคือมี “minified, concatenated or otherwise machine-generated code”
  • Hill โต้กลับว่าคนที่เข้าใจ JavaScript ขั้นพื้นฐานจะใช้เวลาไม่กี่วินาทีก็รู้ได้ว่าคำทักท้วงดังกล่าวไม่สมเหตุสมผล

การย้ายไปโฮสต์เองและผลกระทบต่อผู้ใช้

  • Hill ถอดส่วนขยายออกจาก Firefox Add-ons Store และย้ายไปเป็น เวอร์ชันโฮสต์เอง
  • ผู้ใช้ที่ต้องการใช้ uBlock Origin Lite ต่อบน Firefox ต้องดาวน์โหลดเวอร์ชันล่าสุดจาก GitHub
    • เวอร์ชันดังกล่าวสามารถอัปเดตอัตโนมัติได้ด้วยตัวเอง
  • ข้อความสุดท้ายใน GitHub issue ที่ปิดไปแล้วมีอีเมลซึ่ง Mozilla ยอมรับความผิดพลาดและขอโทษรวมอยู่ด้วย
  • ถึงอย่างนั้น uBlock Origin Lite ก็ยังถูกถอดออกจาก Mozilla Add-ons Store และไม่สามารถค้นหาได้บน addons.mozilla.org อีกต่อไป

บริบทของ uBlock Origin และเวอร์ชัน Manifest

  • uBlock Origin for Firefox รุ่นเดิมยังคงเปิดให้ใช้งานและได้รับการสนับสนุนต่อไป
  • รุ่น Lite เป็นส่วนขยายที่พัฒนาบน Manifest V3 ซึ่งใช้ทรัพยากรอย่างหน่วยประมวลผลและหน่วยความจำน้อยกว่า จึงเบากว่าและมีประสิทธิภาพมากกว่า
  • ก่อนหน้านี้ Hill เคยแนะนำให้เปลี่ยนไปใช้ uBlock Origin Lite หลัง Chrome เริ่มแสดง uBlock Origin เป็นส่วนขยายที่ไม่รองรับ
  • Mozilla ไม่มีแผนจะยุติการรองรับ ส่วนขยายที่ใช้ Manifest V2 ในอนาคตอันใกล้ ดังนั้น uBlock Origin จะยังคงมีอยู่และทำงานได้ต่อไปบน Firefox และเบราว์เซอร์ที่รองรับ MV2

1 ความคิดเห็น

 
GN⁺ 2024-10-02
ความคิดเห็นบน Hacker News
  • ที่ทำงานผมดูแล ส่วนขยายเบราว์เซอร์ ขนาดกลาง และเคยปล่อยให้ใช้บน Firefox ด้วย แต่ตลอดปีที่ผ่านมาเราลำบากมากกับการพยายามกลับเข้าไปอยู่ในสโตร์ของ Mozilla หลังจากผ่านการตรวจสอบแบบแมนนวล
    ผมอยู่ในสหรัฐฯ แต่ดูเหมือนมีผู้ตรวจสอบอยู่แค่ราวสองคนในยุโรป น่าจะฝั่งโรมาเนีย เวลาตอบกลับก็นาน และน่าหงุดหงิดมากที่ต้องใช้ทีละ 2 สัปดาห์เพื่อแก้ ข้อผิดพลาดง่าย ๆ เช่น บอกว่า “ต้องมีนโยบายความเป็นส่วนตัว” ทั้งที่มีอยู่แล้วแต่ไม่เห็น, เห็นผลลัพธ์จากการ build แล้วบอกว่าเป็น “โค้ดที่เครื่องสร้าง/ถูกทำให้อ่านยาก”, หรือบอกว่า “สร้างซอร์สซ้ำไม่ได้” เพราะไม่ทำตามคำแนะนำและไปทำในไดเรกทอรีผิด

    • อยู่ในสถานการณ์คล้ายกันเลย ผมปล่อยส่วนขยายสำหรับงานซึ่งมียอดติดตั้งรวม Chrome/Firefox/Edge ประมาณ 1 ล้านครั้ง แต่ กระบวนการตรวจสอบของ Firefox ซึ่งเป็นแพลตฟอร์มที่มีการใช้งานน้อยที่สุด กลับผิดปกติสุด ๆ
      เขากำหนดให้ build แบบทำซ้ำได้ แต่กลับติดตั้ง yarn เวอร์ชันที่ถูกต้องไม่ได้ และทำตามขั้นตอนตั้งค่าพื้นฐานอย่างคำสั่งติดตั้งที่ถูกต้องซึ่งเขียนตัวหนาไว้หลายครั้งใน README, ขั้นตอนติดตั้ง Node เวอร์ชันที่กำหนด หรือสคริปต์อัตโนมัติไม่ได้
      ถ้าบริษัทเอกชนทำ “เรื่องบ้า ๆ” อย่างใช้โมดูล NPM แบบ private ก็ยิ่งลำบากขึ้นอีก ต่อให้เราเสนอให้เข้าถึงบัญชีที่ตั้งค่าไว้ล่วงหน้า หรือให้สิทธิ์บัญชีสำหรับการตรวจสอบ Mozilla ก็ยังบอกว่า “การใช้บัญชีภายนอกระหว่างตรวจสอบทำได้ยาก”
      การต้องปฏิสัมพันธ์กับทีมตรวจสอบของเบราว์เซอร์นี่แหละเป็นเหตุผลใหญ่ที่ผมไม่แนะนำ Firefox อีกต่อไป อย่างดีที่สุดก็คือไร้ความสามารถ และดูเหมือนแค่กำลังรีดรายได้จากสัญญา Google Search ให้ได้มากที่สุด ไม่ได้จริงจังกับการเสนอเบราว์เซอร์ทางเลือกที่ปลอดภัย
    • “สร้างซอร์สซ้ำไม่ได้” เป็นปัญหาใหญ่ที่สุด และเราต้องเพิ่มองค์ประกอบที่ค่อนข้างซับซ้อนเข้าไปในกระบวนการ build เพื่อรองรับ การ build ที่ทำซ้ำได้ ตามวิธีที่เขาต้องการพอดี
      แต่ส่วนขยายนั้นมีโครงสร้างที่ build ไฟล์ wasm จาก Rust และหลังจากคุยกลับไปกลับมาหลายรอบ ก็ได้ข้อสรุปว่า wasm นั้นไม่จำเป็นต้องทำซ้ำได้ ทั้งที่มันเป็นแกนหลักของส่วนขยายและมีลอจิกอยู่ 99%
      ผมไม่เข้าใจว่าการทำให้ JS ทำซ้ำได้จะมีความหมายอะไร ถ้าเรายังซ่อนโค้ดอันตรายที่อาจเป็นอะไรก็ได้ไว้ใน wasm ได้
      ช่วงหนึ่งเราถึงขั้นพิจารณาอย่างจริงจังว่าจะใส่ wasm ที่ build ไว้ล่วงหน้าเข้าไปในแพ็กเกจซอร์สหรือ npm เพื่อทำให้ “การ build ที่ทำซ้ำได้” ฝั่ง AMO ง่ายขึ้น แต่นั่นก็ยิ่งห่างจากวิธี build จริงเข้าไปอีก
    • ทุกครั้งที่ได้ยินเรื่องกระบวนการตรวจสอบส่วนขยายเบราว์เซอร์ ผมตกใจที่ยังต้องให้คนอ่าน README แล้วค่อย ๆ ปรับกระบวนการ build ด้วยมือ
      บางกรณีผมยังได้ยินด้วยว่าผู้ตรวจสอบ reuse VM หรือไม่ใช้ VM เลยด้วยซ้ำ
      ผมนึกว่าในแบบฟอร์มตรวจสอบจะมีช่องให้วางลิงก์ git แล้วมี pipeline อัตโนมัติ ที่ทำเอกสารไว้อย่างดี เช่น สร้าง VM ที่กำหนดหน่วยความจำ/ดิสก์ไว้, clone git แล้วรัน docker build -t ./docker/review/Dockerfile
      แปลกใจเหมือนกัน เพราะคิดว่าผู้ตรวจสอบเองก็น่าจะเรียกร้องเครื่องมือแบบนี้จากองค์กรอย่างจริงจังเพื่อความพึงพอใจในการทำงานด้วยซ้ำ นึกไม่ออกเลยว่าพวกเขาต้องโดนเจ้าของแอปที่โมโหถล่มหนักแค่ไหน
    • ตอนดูแลส่วนขยายของที่ทำงานก่อนหน้านี้ก็เจอปัญหาเดียวกัน กระบวนการตรวจสอบของ Firefox เป็นฝันร้ายจริง ๆ ทั้งความล่าช้าและความเข้าใจผิดก็เหมือนที่ว่ามา
      สุดท้ายบริษัทลดความถี่ในการอัปเดตส่วนขยาย Firefox เพราะการใช้งานต่ำและกระบวนการตรวจสอบทรมานเกินไป ในฐานะวิศวกรคนเดียวในบริษัทนั้นที่ใช้ Firefox หรืออาจเป็นพนักงานคนเดียวเลยด้วยซ้ำ ผมรู้สึกเสียดายมาก
    • ปัญหาของงานแบบนี้คือ คนที่มีคุณสมบัติพอจะทำการตรวจสอบได้ดี มักจะได้ทำงานที่น่าสนใจกว่ามากอย่างการสร้างอะไรบางอย่าง แทนที่จะมาตรวจโค้ด
      มันเป็นงานที่ต้องใช้ทักษะระดับหนึ่ง แต่ในขณะเดียวกันก็ค่อนข้างน่าเบื่อ และงานที่น่าสนใจกว่านั้นก็น่าจะให้ค่าตอบแทนดีกว่าด้วย
  • ผมทำงานที่ Mozilla แต่ห่างไกลจากทีม Addons เลยไม่รู้ว่าฝั่งนั้นกำลังเจอแรงกดดันอะไรบ้าง
    แต่ถ้าเป็นผมดูแลเรื่องนี้ ตอนนี้อีกฝ่ายคือ gorhill นะ ผมก็แค่ทำให้เขาเป็น ผู้ตรวจสอบส่วนเสริม ที่มีสิทธิ์เต็ม และบอกว่าเขาตรวจเฉพาะส่วนขยายของตัวเองก็ได้
    ไม่จำเป็นต้องพิสูจน์ความสามารถหรือความน่าเชื่อถือของเขาเลย ข้อมูลย้อนหลังของเขามีมากกว่าผู้รับเหมาหรือพนักงานคนไหน ๆ เสียอีก
    เขาไม่ใช่กรณีหนึ่งเดียวด้วย แม้ทุกวันนี้จะไม่ได้ขับเคลื่อนด้วยอาสาสมัครเท่าเมื่อก่อน แต่ผลงานสำคัญจำนวนมากยังมาจากอาสาสมัคร และอย่างน้อยในทีม SpiderMonkey ก็ไม่มีเส้นแบ่งระหว่างผู้มีส่วนร่วมภายนอกกับผู้มีส่วนร่วมที่ได้รับค่าจ้าง
    ผมไม่เห็นเหตุผลว่าทำไมจะทำให้ gorhill เป็นสมาชิกอย่างเป็นทางการของทีมตรวจสอบไม่ได้ จากสถานการณ์ตอนนี้ เขาคงไม่ตอบรับทันทีหรอก แต่ก็สมเหตุสมผลกว่าการให้ข้อยกเว้นพิเศษที่อาจมอบให้คนหรือองค์กรอื่น
    เขามีส่วนช่วยความสามารถและความสำเร็จของ Firefox อย่างมากอยู่แล้ว ก็ให้เขามีส่วนช่วยในงานตรวจสอบที่มีอยู่และมีคุณค่าด้วยก็พอ ผมว่าต่อให้ตรวจแค่ของตัวเองก็เพียงพอแล้ว
    ตอนนี้คงต้องไปหาว่าควรไปรบกวนใครใน Slack

    • ผมไม่เห็นด้วยกับเรื่องนี้ ไม่ควรอนุญาตให้เขา ตรวจสอบโค้ดตัวเอง นั่นทำลายจุดประสงค์ของการตรวจสอบ
      ต่อให้เป็นซูเปอร์สตาร์ ก็ควรให้คนอื่นดูโค้ด เพื่อไม่ให้แนวปฏิบัติด้านความปลอดภัยหย่อนลง
      ถ้าอนุญาตสิทธิพิเศษแบบนี้ ซูเปอร์สตาร์คนอื่น ๆ ที่อยู่ก้ำกึ่งก็จะอยากได้สิทธิ์เดียวกัน
      ในการตีพิมพ์ทางวิทยาศาสตร์ ต่อให้เป็นบรรณาธิการบริหาร บทความของตัวเองก็ต้องให้คนอื่นตรวจ และกระบวนการตัดสินใจจะดำเนินในที่ที่เจ้าตัวมองไม่เห็น แบบนั้นดีต่อวิทยาศาสตร์
    • เรื่องนี้ฟังดูเหมือนเป็นข้อเสนอให้ให้น้ำหนักกับ ชื่อเสียง มากขึ้น ต่างจากกระบวนการตรวจสอบที่ควรเป็นเชิงเทคนิคทั้งหมดเหมือนในปัจจุบัน
      อาจเป็นไอเดียที่ดีก็ได้ แต่ Mozilla ก็อาจได้รับข้อร้องเรียนใหม่ว่าไม่ได้ประเมินชื่อเสียงอย่างสม่ำเสมอ
      https://wiki.mozilla.org/Add-ons/Reviewers/Guide/Reviewing
    • อาจเป็นคำขอที่ใหญ่ไปหน่อย แต่ช่วยลองถามให้ได้ไหมว่าทำไม FF ถึงไม่ให้เราเพิ่ม ใบรับรองราก ของตัวเองแล้วเซ็นส่วนเสริมเองได้
      แทนที่จะต้องใช้เวอร์ชัน ESR/Developer/Nightly แล้วตั้ง xpinstall.signatures.required เป็น false ซึ่งทำให้ความปลอดภัยลดลงมาก
    • ผมคิดว่าเขาคงใจเย็นลงหน่อย คนไม่รู้เรื่องมาถอดสิ่งที่เขาทุ่มเวลาหลายพันชั่วโมงลงไป ย่อมน่าหงุดหงิด ผมไม่โทษพฤติกรรมของเขาเลย
      น่าจะกลับมาภายในหนึ่งสัปดาห์ และมันสำคัญเพราะบน Firefox ประหยัดแบตได้มากกว่า uBlock Origin ตัวปกติ
  • ถ้าเข้าใจไทม์ไลน์ถูกต้อง ดูเหมือนว่า gorhill จะตอบสนองเกินไป แม้จากมุมมองที่ปกติวิจารณ์แทบทุกอย่างที่ Mozilla ทำในช่วงกว่า 5 ปีที่ผ่านมาอย่างรุนแรง ก็มองแบบนั้น
    ในทางปฏิบัติ Mozilla คงยากที่จะตรวจสอบส่วนเสริมทุกฉบับแก้ไขด้วยมือให้ปลอดภัยและทันเวลา สุดท้ายก็คงต้องเลือกระหว่างระบบอัตโนมัติกับความล่าช้านาน ๆ และระบบอัตโนมัติก็ย่อมมี ผลบวกปลอม เกิดขึ้นอย่างหลีกเลี่ยงไม่ได้
    ทางเลือกคืออะไร ยกเลิกการตรวจสอบก่อนปล่อยไปเลยหรือ ในฐานะผู้ใช้ก็หวังว่าจะไม่เป็นแบบนั้น เพราะมีการยืนยันแล้วด้วยซ้ำว่าการโจมตีซัพพลายเชนที่ซับซ้อนเกิดขึ้นจริงในโลกภายนอก
    นโยบายตรวจสอบยังช่วยปกป้อง gorhill เองด้วย ถ้ามีคนข่มขู่ให้เขาใส่สปายแวร์ แต่มีโอกาสถูกจับได้ก่อนปล่อย ก็จะทำให้เขาน่าจะเป็นเป้าหมายของการข่มขู่ทางกายภาพน้อยลงบ้าง

    • สำหรับหนึ่งในผู้เผยแพร่ส่วนขยายที่ได้รับความนิยมที่สุดของ Firefox การคาดหวัง บริการตรวจสอบ ในระดับที่สูงขึ้นถือว่าสมเหตุสมผล
      Gorhill และนักพัฒนาส่วนขยายระดับบนคนอื่น ๆ มอบคุณค่าจริงให้กับ Firefox และแสดงพฤติกรรมที่ดีมาตลอดหลายปี
      ไม่ได้หมายความว่าควรโพสต์อะไรก็ได้ตามใจ แต่ถ้าผู้ตรวจสอบกำลังจะปฏิเสธปลั๊กอินที่มีชื่อเสียง ก็ควรมีคนที่สองช่วยดู ความผิดพลาดครั้งนี้ก็น่าจะถูกจับได้อย่างแน่นอน
      รู้สึกเหมือนเป็นอีกกรณีหนึ่งของ “Firefox ลงทุนน้อยเกินไปกับความสัมพันธ์กับนักพัฒนา” ซึ่งน่าประหลาดใจเมื่อคิดว่าพวกเขาพึ่งพานักพัฒนาเหล่านี้มากแค่ไหน
      ถ้า uBlock Origin Lite มีผู้ใช้ 8.4 ล้านคน ก็ยากจะเข้าใจว่าทำไม gorhill ถึงไม่มีผู้รับผิดชอบเฉพาะจาก Mozilla ถ้ามีปัญหากับส่วนขยาย ระดับนี้ควรโทรไปแจ้งกันเลย
    • การที่ส่วนเสริมถูกติดธงนั้นเองไม่น่าแปลกใจ ชื่อไฟล์ที่ลิงก์ใน GitHub issue ดูเหมือนเกี่ยวข้องโดยตรงกับตัวติดตามที่รู้จักกันทั้งหมด และแน่นอนว่า uBOL มีไว้บล็อกสิ่งเหล่านั้น
      เป็นไปได้สูงว่าเครื่องมือสแกนอัตโนมัติที่ Mozilla ใช้จับว่า “นี่คือ Google Tag Manager” แล้วส่งคำเตือนแบบที่มักส่งให้ส่วนเสริมที่มีสคริปต์น่าสงสัย
      อย่างไรก็ตาม ในอีเมลเขียนไว้อย่างชัดเจนว่า “ทีม Mozilla Add-ons ได้ตรวจสอบด้วยมือแล้ว”
      นั่นแปลว่าไม่ใช่เรื่องจริง หรือไม่ก็ผู้ตรวจสอบด้วยมือไม่เข้าใจว่าเครื่องมืออัตโนมัติที่ตนรันอาจมี ผลบวกปลอม ได้
      การทำระบบตรวจจับการใช้งานในทางที่ผิดแบบอัตโนมัติบนแพลตฟอร์มอย่าง Mozilla นั้นไม่ใช่ปัญหา แต่อย่าโกหกในการสื่อสาร หรือไม่ก็จ้างคนที่รู้ว่ากำลังทำอะไรอยู่เมื่อต้องจัดการกับการบล็อกส่วนเสริม
    • อย่างน้อย ๆ ก็น่าจะมี ระบบตรวจสอบ ที่เละเทะน้อยกว่านี้ได้ไม่ใช่หรือ
      แม้เป็นส่วนขยายที่โฮสต์เอง ก็ยังต้องรอเป็นเวลาที่ไม่แน่นอนหากส่งแล้วไม่ผ่านการตรวจสอบ และในสถานการณ์ที่กฎการกรองถูกแพ็กเกจมากับส่วนขยาย เวลาเป็นเรื่องสำคัญ พอได้รับแจ้งว่าอนุมัติแล้ว ก็ยังต้องดาวน์โหลดไฟล์ส่วนขยายด้วยมืออีกครั้ง เปลี่ยนชื่อ แล้วอัปโหลดขึ้น GitHub จากนั้นต้องแพตช์ update_url ด้วยมือให้ชี้ไปยังเวอร์ชันใหม่
      หลังส่ง 2024.9.12.1004 ใช้เวลา 5 วันกว่าจะได้รับอนุมัติสำหรับการโฮสต์เอง และ ณ เวลาที่เขียน 2024.9.22.986 ก็ยังไม่ได้รับอนุมัติ
      ดูไม่น่าสนุกเลยสักนิดสำหรับการทำเป็นงานอดิเรก
      https://github.com/uBlockOrigin/uBOL-home/issues/197
    • เห็นด้วยกับข้อพูดเรื่องจุดประนีประนอมของกระบวนการตรวจสอบ แต่ไม่เห็นด้วยอย่างยิ่งว่า Raymond Hill ตอบสนองเกินไป
      เขาเป็น นักพัฒนารายบุคคล ที่ทำ uBlock เป็นงานอดิเรก และไม่รับเงินบริจาคด้วย ดังนั้นเขาไม่ได้ติดค้างอะไรเรา
      เขามีสิทธิ์ตัดสินว่ากระบวนการตรวจสอบราบรื่นพอให้เขาทุ่มเวลาและพลังงานของตัวเองหรือไม่ และครั้งนี้เขาแค่ตัดสินว่าไม่
      เขาทำให้ส่วนขยายเป็นโอเพนซอร์สแล้ว ดังนั้นใครก็สามารถเผยแพร่ uBlock Origin Lite แทนได้
    • ดูไม่เหมือนว่าผู้เขียนจะตอบสนองเกินไป และย่อหน้าแรกก็ดูไม่ตรงกับไทม์ไลน์ บทความอาจถ่ายทอดได้ไม่ดีนัก ดังนั้นควรไปดู GitHub issue มากกว่า
      https://github.com/uBlockOrigin/uBOL-home/issues/197
      นี่ไม่ใช่การตรวจสอบอัตโนมัติ แต่เป็น การตรวจสอบด้วยมือที่บกพร่อง
      ผู้เขียนยังอธิบายเพิ่มเติมด้วยว่ากระบวนการตรวจสอบของ AMO ต้องเจอกับอะไรบ้าง และบอกว่าไม่อยากรับความเครียดนั้น อีกทั้งยังกล่าวว่ามีปลั๊กอินเวอร์ชันที่ค่อนข้างเป็นอันตรายหลงเหลืออยู่ด้วย
      การไม่อยากรับความเครียดนั้นเป็นปฏิกิริยาที่เข้าใจได้อย่างสมบูรณ์
  • การที่ต้องส่งส่วนขยายให้ ผู้คุมประตู ตรวจสอบก่อนจึงจะเผยแพร่ให้ผู้ใช้ทั่วไปได้นั้นน่าหงุดหงิดมาก
    อย่างที่ gorhill บอกไว้บน GitHub แม้แต่การอนุมัติเวอร์ชันที่โฮสต์เองก็ยังใช้เวลาหลายวัน ซึ่งยอมรับไม่ได้
    ลองนึกภาพว่าถ้าจะเผยแพร่ซอฟต์แวร์แล้วต้องได้รับอนุมัติจาก Microsoft ก่อนสิ แม้แต่ Android ก็ไม่ได้ปิดขนาดนี้
    การบังคับเซ็นลายเซ็นและการเอา XUL ออกคือสิ่งที่แย่ที่สุดที่ Mozilla เคยทำ Google ก็ทำเหมือนกันและแย่กว่าด้วย แต่นั่นเป็นสิ่งที่คาดได้จาก Google ไม่ใช่สิ่งที่คาดหวังจาก Mozilla

    • XUL ควรต้องหายไปอยู่แล้ว ปัญหาอื่น ๆ จริง ๆ แล้วไม่ได้เกี่ยวข้องโดยตรงมากนัก แต่ใกล้เคียงกับแนวคิดว่า “ในเมื่อส่วนขยายส่วนใหญ่ก็จะพังอยู่แล้ว งั้นก็ผลักดันอย่างอื่นที่เราอยากได้ไปพร้อมกันเลย” มากกว่า กลับกลายเป็นว่า XUL เป็นแพะรับบาป
      ผมรู้เพราะเคยดูแล VimFx ต่ออยู่พักหนึ่งหลังจากเอา XUL ออก การไล่ตาม API ภายในที่เปลี่ยนไปนั้นยาก แต่พวกเขาต้องพัฒนาผลิตภัณฑ์ จึงโทษพวกเขาไม่ได้
      เหตุผลจริง ๆ ที่ทำให้ผมเลิกดูแล VimFx คือ การบังคับเซ็นลายเซ็น พวกเขาค่อย ๆ ขันน็อตจนแม้แต่ “โค้ดของผมเอง” ก็ไม่สามารถรันด้วยประสบการณ์ผู้ใช้ที่สมเหตุสมผลได้
      ทิศทางที่ผมอยากเห็นคือให้ WebExtensions เป็นวิธีที่แนะนำพร้อมการรับประกันเรื่องความเข้ากันได้และการเลิกใช้งาน ไม่ต้องสนใจความเข้ากันได้ของ API อื่น ๆ และยังคงอนุญาตส่วนขยายภายนอกแบบ “เข้าถึงได้เต็มรูปแบบ” ที่ใช้ API ภายในต่อไป
      แม้ในสโตร์จะเตือนว่า “ส่วนขยายนี้ใช้ API ที่ไม่รองรับ จึงอาจพังได้ทุกเมื่อและอาจขโมยข้อมูลส่วนบุคคลทั้งหมดของคุณ” และทำปุ่มติดตั้งเป็นสีแดงสด ก็ยังควรอนุญาตให้ติดตั้งได้
      ส่วนขยายที่เผยแพร่เองซึ่งใช้คีย์เซ็นลายเซ็นและ URL อัปเดตที่นักพัฒนาดูแลเองก็ควรได้รับการรองรับต่อไป
      API แบบนี้ไม่มีการรับประกันความเข้ากันได้อยู่แล้ว จึงไม่น่าต้องมีงานเพิ่มมากนัก แค่มีงาน UI เล็กน้อยในการเพิ่มคำเตือนน่ากลัว ๆ และดูแลโค้ดอัปเดตนอกสโตร์เท่านั้น
    • ที่ว่า “ต้องได้รับอนุมัติจาก Microsoft จึงจะเผยแพร่ซอฟต์แวร์ได้” หมายถึงแบบเดียวกับที่ต้องขออนุญาตเพื่อเผยแพร่ซอฟต์แวร์บน MacOS/iOS หรือเปล่า
      แพลตฟอร์มจำนวนมากขึ้นเรื่อย ๆ กำลังมุ่งไปทางนี้ และผมคงไม่แปลกใจถ้า Windows จะเป็นแบบนั้นในอนาคต
    • ใน Firefox สามารถติดตั้งส่วนขยายได้ง่าย ๆ โดยไม่ต้องผ่านสโตร์ส่วนขยาย XUL ควรถูกเลิกใช้แล้วจริง ๆ
    • บน Firefox เดสก์ท็อป สามารถดาวน์โหลดและติดตั้งส่วนขยายจากที่ไหนก็ได้ สิ่งที่พวกเขาทำหน้าที่เป็นผู้คุมประตูมีแค่คลังของตัวเองเท่านั้น และคนส่วนใหญ่ก็น่าจะอยากให้เป็นแบบนั้น
      ส่วนบนมือถือ ดูเหมือนว่าหากจะติดตั้งส่วนขยายจากนอกคลังของ Mozilla ต้องใช้บิลด์ Nightly ซึ่งบ่งชี้ว่าแนวคิดของพวกเขากำลังถูกระบบนิเวศมือถือที่เหลือปนเปื้อน
  • ก่อนจะใช้มาตรการสุดโต่งอย่างการถอดส่วนเสริมออกจากสโตร์ หาก Mozilla มีคำถามหรือข้อกังวลในการรีวิว ก็ควรติดต่อมาก่อน

    • ดูเหมือนว่าทุกบริษัทที่ดูแลแอป ส่วนขยาย หรือสิ่งที่ผู้ใช้สร้างในลักษณะเดียวกัน จะรีบตอบสนองเกินเหตุเร็วเกินไป
      หากไม่ใช่บุคคลมีชื่อเสียง มีผู้ติดตามมาก หรือแอป/ส่วนขยายได้รับความนิยมมาก ก็ยากที่จะคาดหวังว่าจะได้รับการแก้ไขทันเวลา
  • uBlock Origin ตัวเต็มของ Gorhill อาจเป็น จุดขาย แทบจะเพียงอย่างเดียวที่ Firefox ยังเหลืออยู่
    ด้วยเงินจำนวนมหาศาลไร้เหตุผลที่ผู้บริหารระดับสูงของ Mozilla เพิ่งรับไป พวกเขาน่าจะเอาไปตั้งทีมที่มีบุคลากรชั้นยอดเพื่อดูแลทุกอย่างที่ Mr. Gorhill ต้องการแทนได้

    • พวกเขายุ่งเกินไปกับการทำงานให้บริษัทโฆษณาที่ Mr. Gorhill บล็อกอยู่
      ล่าสุดคือการเพิ่มฟีเจอร์ privacy preserving attribution ที่ไม่มีผู้ใช้คนไหนร้องขอ
  • ไม่เข้าใจว่าส่วนขยายนี้มาอยู่บน AMO ทำไม ตามบทความบอกว่าเป็น “เวอร์ชัน Lite/Manifest v3” แล้วทำไมถึงจะติดตั้งเวอร์ชันด้อยกว่าสำหรับเบราว์เซอร์รุ่นเก่า แทนที่จะใช้เวอร์ชันสำหรับ Firefox ที่บล็อกโฆษณาได้อย่างถูกต้อง

    • หนึ่งในไม่กี่เหตุผลที่ดีที่ Google จำกัด manifest ของส่วนเสริมคือประสิทธิภาพและความปลอดภัย
      รายการโดเมนแบบ declarative แคชได้ง่ายและลดการเปิดใช้งานส่วนขยายที่ไม่จำเป็น หากมีสิทธิ์น้อยกว่า ผลกระทบก็จะเล็กลงมากเมื่อในอนาคตมีเวอร์ชันที่ติดมัลแวร์ถูกอัปโหลดขึ้นสโตร์
      เอนจินกฎของ uBlock ทรงพลังมากจนชุดกฎที่ผู้ใช้กำหนดเองสามารถฉีดโค้ดเข้าไปในเว็บไซต์ใดก็ได้ เรื่องนี้ไม่ได้ใช้กับกฎที่กำหนดเองเท่านั้น แต่ยังรวมถึงกฎในตัวที่บัญชีหรือโฮสติ้งอาจถูกแฮ็ก หรืออาจถูกขายต่อในภายหลังด้วย
      แน่นอนว่านี่ไม่ได้หมายความว่าผมจะใช้เวอร์ชัน Lite และไม่ได้หมายความว่าผมเห็นด้วยกับการตัดสินใจของ Google พวกเขาฆ่า API บล็อกโฆษณา โดยไม่เสนอ API ทดแทน
      อย่างไรก็ตาม โค้ดก็มีอยู่แล้ว และยังมีคนที่ใช้ Google Chrome ต่อไป ดังนั้นการให้เวอร์ชันนี้บน Firefox ก็ทำได้
    • ใช้พลังงานน้อยกว่า และบน Firefox สำหรับ Android เรื่องนี้สำคัญ
    • ต่างจาก UBO ตรงที่สามารถรันด้วย สิทธิ์ ที่น้อยกว่ามาก
    • เร็วกว่าและมีนัยด้านความปลอดภัยน้อยกว่า ผมยอมรับว่า UBO ทรงพลังกว่า แต่ footprint ด้านความปลอดภัยเป็นตัวเลือกที่ปลอดภัยน้อยกว่านิดหน่อย และคนอื่น ๆ อาจเลือกความปลอดภัยที่สูงกว่าของ V3 ได้
    • นี่คือคอมพิวเตอร์ของผม ผมจ่ายเงินซื้อเองและผมเป็นคนดูแล ผมจะทำอะไรก็ได้ตามต้องการ
      คำถามที่ดีกว่าคือ ถ้า Firefox ปฏิเสธสิ่งที่ผมต้องการ แล้วผมจะใช้ Firefox ไปทำไม
  • เรื่องนี้ดูค่อนข้างโหดไปหน่อย Mozilla ทำผิด ขอโทษ แก้ไขข้อผิดพลาดแล้ว และบางทีอาจปรับปรุงกระบวนการด้วย แต่ผู้เขียนก็ยังถอดส่วนขยายออกและวิจารณ์ Mozilla
    ในความคิดผม ผู้เขียนอาจรับเรื่องนี้เป็นเรื่องส่วนตัวเกินไป หรือไม่ก็ต้องการส่งสารแรง ๆ เพื่อให้ปรับปรุงกระบวนการรีวิว ซึ่งระหว่างนั้นโปรเจกต์ก็เสียการมองเห็นไปบ้าง

    • ต้องนึกย้อนก่อนว่า uBlock Origin เกิดขึ้นมาได้อย่างไร Raymond Hill เบื่อหน่ายกับ งานจิปาถะด้านการดูแลจัดการ สารพัดรอบ ๆ uBlock และสิ่งที่เคยเป็นงานอดิเรกก็เริ่มรู้สึกเหมือนงานประจำ
      https://github.com/gorhill/uBlock/issues/38#issuecomment-918...
      ดังนั้นการที่เขาเบื่อกระบวนการรีวิวของ Mozilla จนบอกว่าจะเลิกทำ จึงเป็นเรื่องที่คาดเดาได้
      ตอนนั้นเขาโอนโปรเจกต์ให้คนสุ่ม ๆ ที่ไร้จรรยาบรรณคนหนึ่ง แล้วคนคนนั้นก็พยายามทำเงินทันที Raymond ไม่ชอบผลที่ตามมา จึงต้องออกมาวิจารณ์โปรเจกต์เดิมของตัวเอง และสุดท้ายก็แทบวนกลับมาจุดเริ่มต้นเดิม เพียงแต่ต้องผ่านงานเพิ่มเติมมากมายระหว่างทาง
    • ผู้เขียนเป็นอาสาสมัคร และซอฟต์แวร์นี้เป็นผลงานที่ทำด้วยใจรัก ดังนั้นย่อมเป็นเรื่องส่วนตัวอยู่แล้ว
      โปรเจกต์แบบนี้จะไปได้ดีเมื่อผู้เขียนรู้สึกว่าตนกำลังมอบของขวัญที่มีค่าให้ชุมชน และชุมชนก็ยอมรับและขอบคุณสิ่งนั้น
      การต้องส่งผลงานสร้างสรรค์ของตัวเองเข้าสู่กระบวนการ “รีวิว” ที่ไร้อารมณ์ แล้วถูกปฏิเสธในแบบที่เห็นชัดว่าไม่มีใครดูอย่างจริงจัง ไม่ใช่แค่ทำให้หมดกำลังใจ แต่เป็น การดูหมิ่น
      ถ้าเป็นผมก็คงไปเหมือนกัน
    • Mozilla แค่ส่งอีเมลเทมเพลตมา แต่พูดเหมือนทำอะไรมากกว่านั้น
      พวกเขาไม่ได้แม้แต่ให้คำมั่นว่าฟีเจอร์เสริมจะไม่ถูกถอดออกอีก หากไม่มีการสื่อสารสองทางล่วงหน้ากับผู้เขียน
      Mozilla มีหน้าข่าวประชาสัมพันธ์อยู่แล้ว จึงสามารถประกาศต่อสาธารณะอย่างชัดเจนได้ว่าอะไรผิดพลาด และจะเปลี่ยนแปลงอย่างไรต่อไป พวกเขายังอาจยอมรับว่าส่วนขยายนี้ยอดเยี่ยม และสมทบทุนเพื่อให้ผู้ใช้ยังเข้าถึงได้
      แต่แทนที่จะทำเช่นนั้น หลังจากผู้รีวิวพลาดอย่างหนัก พวกเขากลับทำแค่ขั้นต่ำที่สุดเพื่อรักษาหน้า เหตุผลที่ยกมาในการรีวิวครั้งแรกนั้นผิดอย่างชัดเจน ระดับที่นักพัฒนา JS มือใหม่ก็น่าจะรู้
      แม้แต่ผู้รีวิว AI ก็น่าจะทำได้ดีกว่า ChatGPT 4o mini ตัดสินว่าไฟล์นี้ดูไม่ใช่โค้ดที่ถูกทำให้อ่านยาก ไม่ใช่รูปแบบบีบอัดที่ลบช่องว่าง การขึ้นบรรทัด และคอมเมนต์ออก และเพราะมีคอมเมนต์ การเยื้อง และฟังก์ชันที่มีโครงสร้าง จึงไม่ใช่ ลักษณะของโค้ดที่ถูกทำให้อ่านยาก
    • “ผู้เขียนรับเรื่องนี้เป็นเรื่องส่วนตัวเกินไป” งั้นหรือ นักพัฒนาไม่รับค่าจ้างที่น่ารำคาญนี่ช่างมีปัญหาจริง ๆ ที่เอาอารมณ์มาปนกับโปรเจกต์ส่วนตัวของตัวเอง
      ทำไมถึงเย็นชาไร้อารมณ์เหมือนคนที่บริหาร “สโตร์” ของ Firefox ไม่ได้กันนะ
    • จะโทษ gorhill ไม่ได้ที่เขาไม่อยากเล่นเกม “ให้โอกาสครั้งที่สองอย่างไม่จำกัดแก่บริษัทใหญ่ร่ำรวย”
      แม้ถ้าเป็นผมอยู่ในสถานการณ์เขาอาจทำต่างออกไป แต่ถึงจุดหนึ่งก็พอแล้ว
      และ Mozilla ไม่ได้ขอโทษจริง ๆ ด้วย ไม่ได้จะทำตัวเป็นตำรวจตรวจคำขอโทษหรอกนะ แต่นั่นเป็นแค่ประโยคแบบฝ่ายซัพพอร์ตลูกค้าที่เป็นพิธีการ ซึ่งมีคำว่า “apologize” อยู่เท่านั้น
      แค่นั้นก็พอแล้ว และไม่มีใครคาดหวังมากกว่านั้น แต่เราก็ยอมรับตามจริงได้ว่ามันคืออะไร
  • เป็นการตอบสนองที่สมเหตุสมผล uBO คือ ส่วนขยายระดับ killer app แต่ดูเหมือน Mozilla จะไม่คิดว่า หากจะยึดติดกับกระบวนการรีวิวส่วนขยายที่ขับเคลื่อนด้วยเครื่องจักรแย่ ๆ แบบ Google อย่างน้อยก็ควรมีข้อยกเว้นให้หนึ่งในส่วนขยายที่สำคัญที่สุดที่มีอยู่ตอนนี้
    แม้ Mozilla จะ “รู้ตัวว่าทำผิด” ก็เข้าใจได้ที่ gorhill จะโกรธเรื่องทั้งหมดนี้อย่างที่สุดจนปฏิเสธความร่วมมือ
    ความผิดพลาดของพวกเขาคือการคิดว่าเขาจะทนงานจิปาถะแลกกับคำขอบคุณเพียงเล็กน้อยและความต้องการที่เพิ่มขึ้น เหมือนนักพัฒนาส่วนขยายและโอเพนซอร์สจำนวนมาก
    ผลลัพธ์ไม่ใช่สิ่งที่เหมาะเลย แต่โชคร้ายที่ความรับผิดชอบอยู่ที่ Mozilla ทั้งหมด

    • เรื่องนี้เกี่ยวกับ uBOL ผมไม่ค่อยเห็นความล่าช้าครั้งใหญ่ในส่วนขยายหลักนัก
      ส่วนขยายหลักบน Firefox มักใหม่กว่า Chrome/Edge เสมอ
    • พอเห็นคำว่า uBO เป็นส่วนขยายระดับ killer app ก็ทำให้นึกสงสัยว่าเป้าหมายสุดท้ายของ Google คือการเลี้ยง Mozilla ไว้ในบัญชีจ่ายเงินเดือน ลดแรงจูงใจด้านนวัตกรรมของผลิตภัณฑ์ แล้วปล่อยให้ผู้ใช้ Firefox ค่อย ๆ ไหลออกจนไม่มีใครใช้ เพื่อทำให้ตำแหน่งของ Chrome แข็งแกร่งขึ้นหรือเปล่า
      นั่นก็เท่ากับจัดการกับตัวบล็อกโฆษณาไปในตัว พวกเขามีอำนาจควบคุม Chromium อย่างกว้างขวางอยู่แล้ว ดังนั้นทางเลือกจริง ๆ ที่เหลืออยู่ก็มีแค่ Safari ซึ่งโจมตียากกว่ามาก
      Google อาจบล็อกส่วนขยายบล็อกโฆษณาบน Firefox ไม่ได้ แต่สามารถกระตุ้นให้ Mozilla บริหาร Firefox ราวกับเป็นซอฟต์แวร์ที่ถูกปล่อยทิ้งจนมันตายไปเองได้
      น่าอับอายที่ Mozilla Foundation ทำให้จุดยืนของตัวเองพังเละขนาดนี้ และยากจะโยนพฤติกรรมเหล่านี้ให้เป็นแค่ความไร้ความสามารถ
    • uBlock Origin อาจเป็นเหตุผลหลักที่ทุกวันนี้ Firefox ยังมีส่วนแบ่งตลาดเบราว์เซอร์ที่มีความหมายอยู่บ้าง
      ถ้า Firefox ไม่รองรับสิ่งนี้ ผมคงใช้เบราว์เซอร์อื่นไปแล้ว ในเมื่อสิ่งที่ Mozilla ทำได้ถูกต้องมีแต่น้อยลงเรื่อย ๆ พวกเขาควรดูแล gorhill อย่างดีที่สุด
  • หวังจริง ๆ ว่า Raymond Hill จะไม่ใช้มาตรการเดียวกันกับ uBlock Origin หรือก็คือเวอร์ชัน Manifest v2
    การแนะนำให้คนอื่นติดตั้ง ส่วนขยายที่โฮสต์เอง ไม่ได้รู้สึกสบายใจนัก
    น่าเสียดายที่ Mozilla กับ Raymond Hill ไม่สามารถหรือไม่ยอมแก้ปัญหานี้ร่วมกันได้ ผมเข้าใจว่าส่วนขยายแบบนี้ไม่ควรต้องเจอกับการรีวิวเช่นนั้น และก็เข้าใจว่าเขาไม่อยากใส่ใจอีกต่อไป แต่กังวลว่าสถานการณ์นี้จะส่งผลอย่างไรต่อเสถียรภาพระยะยาวของโปรเจกต์ uBlock Origin
    สถานการณ์ทั้งหมดดูไม่ปกติอย่างชัดเจน
    https://github.com/uBlockOrigin/uBOL-home/issues/197#issueco...

    • คงไม่น่าแปลกใจถ้า UBO มีผู้ใช้รวมทุกเบราว์เซอร์มากกว่าผู้ใช้ Firefox ทั้งหมด และอย่างน้อยก็น่าจะอยู่ในช่วงตัวคูณหลักเดียว
      การบอกเป็นนัยว่าโปรเจกต์ตกอยู่ในความเสี่ยงเพราะแพลตฟอร์มเล็ก ๆ แพลตฟอร์มหนึ่งดื้อดึงนั้นไร้สาระ
    • ตามอัปเดตล่าสุดในลิงก์ ทีมรีวิวของ Mozilla ยอมรับข้อผิดพลาดและแก้ไขแล้ว หวังว่าจะยังคงอยู่ต่อไปได้
    • uBlock Origin 1.60 ยังติดอยู่ในกระบวนการรีวิวของ Mozilla
      ออกมาได้ประมาณหนึ่งสัปดาห์แล้ว แต่เวอร์ชันล่าสุดที่ดาวน์โหลดได้จากไซต์ส่วนเสริมของ Firefox ยังเป็น 1.59