- uBlock Origin Lite tidak lagi didistribusikan melalui Firefox Add-ons Store, dan pembuatnya, Raymond Hill, memindahkan ekstensi tersebut ke hosting mandiri
- Pada awal September, tim peninjau Mozilla menandai semua versinya sebagai melanggar kebijakan, dengan alasan pengumpulan data pengguna dan adanya “minified, concatenated or otherwise machine-generated code”
- Hill membantah bahwa tuduhan tersebut tidak masuk akal bagi siapa pun yang memahami dasar-dasar JavaScript, dan menilai proses review itu “nonsensical and hostile”
- Mozilla kemudian mengakui kesalahan dan meminta maaf lewat email yang dimuat dalam issue GitHub, tetapi uBlock Origin Lite tetap tidak dapat ditemukan di addons.mozilla.org
- Pengguna Firefox kini harus mengambil versi terbaru dari GitHub, sementara uBlock Origin for Firefox yang lama tetap tersedia dan didukung
Distribusi di Firefox Add-ons Store dihentikan
- Pembuat uBlock Origin Lite, Raymond Hill, menghentikan dukungan untuk Firefox Add-ons Store setelah beberapa kali mengalami proses review dari tim peninjau yang ia sebut “nonsensical and hostile”
- Pada awal September, Mozilla menandai semua versi uBlock Origin Lite sebagai melanggar kebijakan
- Peninjau menilai ekstensi tersebut tampak mengumpulkan data pengguna
- Mereka juga mempermasalahkan adanya “minified, concatenated or otherwise machine-generated code”
- Hill membalas bahwa siapa pun yang memahami JavaScript pada tingkat dasar akan tahu dalam hitungan detik bahwa tuduhan itu tidak masuk akal
Beralih ke hosting mandiri dan dampaknya bagi pengguna
- Hill menarik ekstensi itu dari Firefox Add-ons Store dan memindahkannya ke versi hosting mandiri
- Pengguna yang ingin terus memakai uBlock Origin Lite di Firefox harus mengunduh versi terbaru dari GitHub
- Versi tersebut dapat memperbarui dirinya sendiri secara otomatis
- Pesan terakhir dalam issue GitHub yang sudah ditutup memuat email dari Mozilla yang mengakui kesalahan dan meminta maaf
- Meski begitu, uBlock Origin Lite tetap dihapus dari Mozilla Add-ons Store dan tidak lagi dapat ditemukan di addons.mozilla.org
Konteks uBlock Origin dan versi Manifest
- uBlock Origin for Firefox yang lama tetap tersedia dan didukung
- Versi Lite adalah ekstensi berbasis Manifest V3, dengan beban penggunaan sumber daya seperti prosesor dan memori yang lebih ringan dan efisien
- Hill sebelumnya pernah menyarankan beralih ke uBlock Origin Lite setelah Chrome mulai menandai uBlock Origin sebagai ekstensi yang tidak didukung
- Mozilla tidak memiliki rencana untuk menghentikan dukungan bagi ekstensi berbasis Manifest V2 dalam waktu dekat, sehingga uBlock Origin akan tetap ada dan berfungsi di Firefox serta browser yang mendukung MV2
1 komentar
Pendapat di Hacker News
Saya mengelola ekstensi browser berukuran menengah di tempat kerja dan juga menyediakannya untuk Firefox, tetapi selama setahun terakhir kami kesulitan untuk masuk kembali ke Mozilla Store setelah peninjauan manual.
Kami berada di AS, dan tampaknya hanya ada sekitar dua peninjau di Eropa, mungkin di Rumania; waktu responsnya lama, dan sangat membuat frustrasi karena butuh dua minggu untuk menyelesaikan kesalahan sederhana, seperti mereka tidak melihat hal yang sudah ada lalu berkata “perlu kebijakan privasi”, melihat hasil build lalu menyebutnya “kode yang dihasilkan mesin/diobfuscasi”, atau tidak mengikuti instruksi dan berkata “tidak dapat mereproduksi sumber” dari direktori yang salah.
Mereka meminta build yang dapat direproduksi, tetapi tidak bisa memasang versi yarn yang benar, dan bahkan tidak bisa mengikuti langkah-langkah dasar seperti perintah instalasi yang tepat yang sudah ditulis tebal berkali-kali di README, prosedur pemasangan versi Node, serta skrip otomasi.
Kalau perusahaan swasta melakukan “hal gila” seperti memakai modul NPM privat, situasinya jadi lebih rumit. Meski kami menawarkan akses ke akun yang sudah disiapkan sebelumnya atau memberi hak akun untuk peninjauan, Mozilla berkata “sulit menggunakan akun eksternal selama peninjauan”.
Keharusan berinteraksi dengan tim peninjau browser itu sendiri kini menjadi alasan besar mengapa saya tidak lagi merekomendasikan Firefox. Paling banter mereka tidak kompeten, dan tampaknya hanya sedang memeras pendapatan kontrak pencarian Google semaksimal mungkin, bukan serius menyediakan browser alternatif yang aman.
Namun ekstensi kami memiliki struktur yang membangun file wasm dari Rust, dan setelah beberapa kali bolak-balik, kesimpulannya adalah wasm itu tidak perlu dapat direproduksi. Padahal itu adalah inti ekstensi dan berisi 99% logikanya.
Saya tidak tahu apa gunanya JS direproduksi kalau di dalam wasm kita bisa menyembunyikan kode berbahaya potensial apa pun.
Untuk sementara, demi menyederhanakan “build yang dapat direproduksi” di sisi AMO, kami bahkan sempat serius mempertimbangkan memasukkan wasm yang sudah dibuild ke paket sumber atau npm, tetapi itu justru makin menjauh dari cara build sebenarnya.
Saya juga pernah mendengar bahwa dalam beberapa kasus peninjau menggunakan ulang mesin virtual, atau bahkan tidak menggunakannya sama sekali.
Saya mengira formulir peninjauan akan memiliki kolom input untuk menempelkan tautan git, lalu ada pipeline otomasi yang terdokumentasi dengan baik: membuat VM dengan memori dan disk yang ditentukan, meng-clone git, lalu menjalankan
docker build -t ./docker/review/Dockerfile.Saya heran karena para peninjau pun, dari sisi kepuasan kerja, seharusnya cukup kuat menuntut organisasi menyediakan alat seperti ini. Sulit membayangkan seberapa sering mereka harus menghadapi pemilik aplikasi yang marah.
Pada akhirnya perusahaan mengurangi frekuensi pembaruan ekstensi Firefox karena penggunaannya rendah dan proses peninjauannya terlalu menyakitkan. Sebagai satu-satunya engineer, mungkin satu-satunya karyawan di perusahaan itu, yang memakai Firefox, saya merasa sedih.
Ini pekerjaan yang membutuhkan tingkat keterampilan tertentu, tetapi sekaligus cukup membosankan, dan pekerjaan yang lebih menarik itu kemungkinan juga bayarannya lebih baik.
Saya bekerja di Mozilla, tetapi jauh dari Addons, jadi saya tidak tahu tekanan seperti apa yang mereka hadapi di sana.
Namun kalau saya yang menjalankannya, pihak yang kita hadapi sekarang adalah gorhill. Saya akan langsung menjadikannya peninjau add-on dengan hak penuh dan mengatakan bahwa ia boleh meninjau ekstensinya sendiri saja.
Tidak perlu memverifikasi kompetensi atau keandalannya. Ada jauh lebih banyak data historis yang mendukungnya dibandingkan kontraktor atau karyawan mana pun.
Ia juga bukan satu-satunya kasus seperti itu. Meski sekarang tidak lagi seberpusat pada relawan seperti dulu, masih banyak kontribusi penting datang dari relawan, dan setidaknya di tim SpiderMonkey tidak ada tembok antara kontributor eksternal dan kontributor berbayar.
Saya tidak melihat alasan mengapa gorhill tidak bisa dijadikan anggota resmi tim peninjau. Melihat situasi sekarang, rasanya ia tidak akan langsung menerimanya, tetapi itu lebih masuk akal daripada memberi pengecualian khusus yang bisa diberikan kepada orang atau organisasi lain.
Ia sudah berkontribusi besar pada kemampuan dan keberhasilan Firefox, jadi biarkan ia juga berkontribusi pada peninjauan yang sudah ada dan memang bernilai. Menurut saya, meninjau miliknya sendiri saja sudah cukup.
Sekarang saya harus mencari tahu siapa yang perlu saya ganggu di Slack.
Bahkan kalau ia seorang superstar, orang lain tetap harus melihat kodenya agar praktik keamanan tidak mengendur.
Jika hak istimewa seperti ini diizinkan, superstar lain yang berada di garis batas juga akan menginginkan hak yang sama.
Dalam penerbitan ilmiah pun, meski seseorang adalah pemimpin redaksi, makalahnya sendiri ditinjau oleh orang lain, dan proses pengambilan keputusannya berlangsung di tempat yang tidak bisa ia lihat. Itu baik untuk sains.
Bisa jadi ide yang bagus, tetapi Mozilla mungkin akan menerima keluhan baru bahwa mereka tidak menilai reputasi secara konsisten.
https://wiki.mozilla.org/Add-ons/Reviewers/Guide/Reviewing
Sebagai gantinya kita harus memakai versi ESR/Developer/Nightly dan menyetel
xpinstall.signatures.requiredke false, yang sangat menurunkan keamanan.Saya rasa ia akan kembali dalam seminggu, dan ini penting karena di Firefox bisa menghemat baterai dibanding uBlock Origin biasa.
Jika saya memahami linimasanya dengan benar, gorhill tampaknya bereaksi berlebihan. Begitu juga menurut saya, meski biasanya saya sangat kritis terhadap hampir semua hal yang dilakukan Mozilla selama lebih dari 5 tahun terakhir
Secara realistis, sulit bagi Mozilla untuk meninjau setiap revisi add-on secara manual dengan aman dan tepat waktu; pada akhirnya mereka mungkin harus memilih antara otomatisasi dan penundaan panjang. Dalam otomatisasi, false positive tak terhindarkan
Apa alternatifnya? Menghapus sama sekali peninjauan sebelum rilis? Sebagai pengguna, saya berharap tidak demikian. Apalagi sudah ada konfirmasi bahwa serangan rantai pasok yang mencolok benar-benar terjadi di dunia nyata
Kebijakan peninjauan juga melindungi gorhill sendiri. Jika seseorang mengancamnya agar memasukkan spyware, adanya kemungkinan itu tertangkap sebelum rilis sedikit mengurangi daya tarik untuk menjadikannya target ancaman fisik
Gorhill dan para pengembang ekstensi papan atas lainnya memberikan nilai nyata bagi Firefox, dan selama bertahun-tahun menunjukkan perilaku yang baik
Itu bukan berarti mereka boleh menerbitkan sesuka hati, tetapi jika seorang peninjau hendak menolak plugin terkenal, seharusnya ada orang kedua yang melihatnya. Kesalahan kali ini pun tentu akan tertangkap
Ini terasa seperti contoh lain bahwa “Firefox kurang berinvestasi pada relasi dengan developer”. Mengingat betapa besar ketergantungan mereka pada para developer itu, ini mengejutkan
Jika uBlock Origin Lite memiliki 8,4 juta pengguna, sulit dipahami bila gorhill tidak punya kontak khusus di Mozilla. Kalau ada masalah dengan ekstensi itu, semestinya mereka memberi tahu lewat telepon
Besar kemungkinan alat pemindaian otomatis yang dipakai Mozilla mendeteksi “ini Google Tag Manager” lalu mengirim peringatan yang biasanya dikirim untuk add-on yang menyertakan skrip mencurigakan
Namun emailnya dengan jelas menyatakan bahwa “tim Mozilla Add-ons telah meninjaunya secara manual”
Itu berarti mereka berbohong, atau peninjau manualnya tidak memahami bahwa alat otomatis yang ia jalankan bisa menghasilkan false positive
Tidak masalah bagi platform seperti Mozilla untuk melakukan deteksi penyalahgunaan otomatis, tetapi mereka tidak boleh berbohong dalam komunikasi. Atau mereka harus mempekerjakan orang yang tahu apa yang mereka lakukan saat menangani pemblokiran add-on
Bahkan untuk ekstensi yang di-host sendiri, saat pengajuan tetap harus menunggu waktu yang tidak menentu sampai lolos peninjauan, dan ketika aturan filtering dipaketkan ke dalam ekstensi, waktu menjadi penting. Konon setelah menerima notifikasi persetujuan, mereka harus mengunduh file ekstensi lagi secara manual, mengganti namanya, mengunggahnya ke GitHub, lalu mem-patch
update_urlsecara manual ke versi baruSetelah mengajukan
2024.9.12.1004, butuh 5 hari hingga mendapat persetujuan self-hosting, dan pada saat penulisan2024.9.22.986juga masih belum disetujuiSama sekali tidak terdengar menyenangkan untuk dilakukan sebagai hobi
https://github.com/uBlockOrigin/uBOL-home/issues/197
Ia adalah developer individu yang mengerjakan uBlock sebagai hobi dan tidak menerima donasi, jadi ia tidak berutang apa pun kepada kita
Ia berhak menilai apakah proses peninjauan itu cukup mulus untuk sepadan dengan waktu dan energinya, dan kali ini ia hanya memutuskan bahwa jawabannya tidak
Karena ia menjadikan ekstensi itu open source, siapa pun bisa menerbitkan uBlock Origin Lite sebagai gantinya
https://github.com/uBlockOrigin/uBOL-home/issues/197
Ini bukan peninjauan otomatis, melainkan peninjauan manual yang buruk
Penulis juga menjelaskan lebih lanjut apa saja yang terlibat dalam proses peninjauan AMO, dan mengatakan tidak ingin menanggung stres itu. Ia juga menyebut bahwa versi plugin yang agak berbahaya masih tersisa
Tidak ingin menanggung stres adalah reaksi yang sepenuhnya bisa dipahami
Sangat menjengkelkan bahwa untuk mendistribusikannya ke pengguna umum, kita harus menyerahkan ekstensi kepada penjaga gerbang
Seperti yang dikatakan gorhill di GitHub, bahkan persetujuan untuk versi yang di-hosting sendiri pun memakan waktu beberapa hari, dan ini tidak bisa diterima
Bayangkan jika untuk mendistribusikan perangkat lunak kita harus mendapat persetujuan Microsoft. Android pun tidak setertutup ini
Pemaksaan tanda tangan dan penghapusan XUL adalah hal terburuk yang pernah dilakukan Mozilla. Google juga sama, bahkan lebih buruk, tetapi itu memang bisa diduga dari Google, bukan sesuatu yang diharapkan dari Mozilla
Saya tahu karena sempat memelihara VimFx selama beberapa waktu setelah XUL dihapus. Mengikuti API internal yang terus berubah memang sulit, tetapi karena mereka harus mengembangkan produk, saya tidak bisa menyalahkan mereka
Alasan sebenarnya saya menyerah memelihara VimFx adalah pemaksaan tanda tangan. Mereka terus memperketat aturan sampai bahkan “kode saya sendiri” tidak bisa dijalankan dengan pengalaman pengguna yang masuk akal
Arah yang saya inginkan adalah menyediakan WebExtensions sebagai cara yang direkomendasikan dengan jaminan kompatibilitas dan deprekasi, tidak memedulikan kompatibilitas API lain, tetapi tetap mengizinkan ekstensi eksternal “akses penuh” yang memakai API internal
Di toko, meskipun diberi peringatan “ekstensi ini menggunakan API yang tidak didukung, sehingga bisa rusak kapan saja dan dapat mencuri semua data pribadi Anda,” dan tombol instal dibuat merah menyala, tetap seharusnya diizinkan
Ekstensi yang didistribusikan sendiri dengan kunci tanda tangan dan URL pembaruan yang dikelola pengembang juga seharusnya tetap didukung
Karena API semacam ini tidak memiliki jaminan kompatibilitas, pekerjaan tambahan pun semestinya tidak banyak. Hanya sedikit pekerjaan UI untuk menambahkan peringatan menakutkan dan mempertahankan kode pembaruan di luar toko
Semakin banyak platform bergerak ke arah ini, dan saya tidak akan heran jika Windows juga begitu di masa depan
Di mobile, tampaknya perlu build Nightly untuk memasang ekstensi dari luar repositori Mozilla, dan ini menunjukkan bahwa cara berpikir mereka mulai tercemar oleh ekosistem mobile lainnya
Sebelum mengambil langkah ekstrem seperti menurunkan add-on dari toko, Mozilla seharusnya menghubungi pengembang terlebih dahulu jika ada pertanyaan atau kekhawatiran dalam proses peninjauan
Jika Anda bukan tokoh terkenal, tidak punya banyak pengikut, atau aplikasi/ekstensi Anda tidak sangat populer, sulit berharap masalahnya diselesaikan tepat waktu
uBlock Origin lengkap dari Gorhill mungkin hampir menjadi satu-satunya nilai jual yang tersisa bagi Firefox
Dengan jumlah uang konyol yang baru-baru ini diambil manajemen puncak Mozilla, mereka sebenarnya bisa membentuk satu tim berisi talenta kelas satu untuk menangani semua hal yang dibutuhkan Mr. Gorhill
Yang terbaru, mereka menambahkan fitur privacy preserving attribution yang tidak diminta oleh pengguna mana pun
Saya tidak tahu mengapa ekstensi ini ada di AMO. Menurut artikel, ini adalah “versi Lite/Manifest v3”; lalu mengapa memasang versi inferior untuk browser lama alih-alih versi Firefox yang benar-benar memblokir iklan dengan baik?
Daftar domain deklaratif mudah di-cache dan mengurangi aktivasi ekstensi yang tidak perlu. Dengan izin yang lebih sedikit, dampaknya juga jauh lebih kecil jika suatu versi yang terinfeksi malware di masa depan diunggah ke toko
Mesin aturan uBlock sangat kuat, sampai-sampai set aturan khusus dapat menyuntikkan kode ke situs web mana pun. Ini berlaku bukan hanya untuk aturan khusus, tetapi juga untuk aturan bawaan yang akunnya atau hosting-nya bisa diretas, atau kelak dijual
Tentu saja ini bukan berarti saya akan memakai versi Lite, atau bahwa saya setuju dengan pilihan Google. Mereka membunuh API pemblokiran iklan tanpa menyediakan API pengganti
Bagaimanapun kodenya tersedia, dan masih ada orang yang terus memakai Google Chrome, jadi versi ini bisa saja disediakan juga di Firefox
Pertanyaan yang lebih baik adalah: jika Firefox menolak apa yang saya inginkan, mengapa saya harus memakai Firefox?
Ini terlihat cukup keras. Mozilla melakukan kesalahan, meminta maaf, memperbaiki kesalahannya, dan mungkin juga memperbaiki prosedurnya, tetapi pembuatnya tetap menarik ekstensi itu dan mengkritik Mozilla
Menurut saya, pembuatnya menganggap ini terlalu personal, atau ia ingin perbaikan proses peninjauan sehingga mengirim pesan yang keras. Dalam prosesnya, visibilitas proyek sedikit dirugikan
https://github.com/gorhill/uBlock/issues/38#issuecomment-918...
Jadi bisa diprediksi jika ia juga muak dengan proses peninjauan Mozilla lalu mengatakan akan berhenti
Saat itu ia menyerahkan proyeknya kepada orang acak yang tidak punya hati nurani, orang itu segera mencoba memonetisasinya, dan Raymond tidak menyukai hasilnya sehingga harus mengkritik proyek lamanya sendiri; pada akhirnya, setelah banyak pekerjaan tambahan di tengah jalan, semuanya hampir kembali ke titik awal
Proyek seperti ini berjalan baik ketika pembuat merasa ia memberi hadiah yang bernilai kepada komunitas, dan komunitas menerimanya serta berterima kasih
Jika harus menyerahkan karya sendiri ke proses “peninjauan” yang dingin tanpa emosi, lalu ditolak dengan cara yang jelas menunjukkan tak ada yang benar-benar melihatnya dengan baik, itu bukan sekadar menurunkan motivasi, melainkan penghinaan
Saya pun akan pergi
Mereka bahkan tidak memberi jaminan kepada pembuat bahwa add-on itu tidak akan dihapus lagi tanpa komunikasi dua arah sebelumnya
Mozilla punya halaman siaran pers, jadi mereka bisa saja menjelaskan secara publik dan jelas apa yang salah dan bagaimana mereka akan mengubahnya ke depan. Mereka juga bisa mengakui bahwa ekstensi ini luar biasa dan menyumbang dana agar tetap tersedia bagi pengguna
Namun alih-alih itu, setelah reviewer melakukan kesalahan besar, mereka hanya melakukan seminimal mungkin untuk menyelamatkan muka. Alasan yang dikemukakan dalam peninjauan pertama jelas keliru, pada level yang bahkan developer JS pemula pun bisa tahu
Bahkan reviewer AI mungkin akan bekerja lebih baik. ChatGPT 4o mini menilai bahwa file ini tidak tampak seperti kode yang di-obfuscate, bukan bentuk minified yang menghapus spasi, baris baru, dan komentar, serta memiliki komentar, indentasi, dan fungsi terstruktur, sehingga bukan ciri-ciri kode yang di-obfuscate
Tidak bisakah mereka bersikap dingin dan tanpa emosi seperti orang-orang yang menjalankan “store” Firefox
Bahkan jika saya merasa mungkin akan bertindak berbeda di posisinya, pada satu titik cukup ya cukup
Dan Mozilla tidak meminta maaf. Saya tidak berniat menjadi polisi permintaan maaf, tetapi itu hanya kalimat bergaya dukungan pelanggan formal yang memuat kata “apologize”
Itu sudah cukup dan tidak ada yang mengharapkan lebih, tetapi kita bisa mengakui apa adanya
Ini respons yang sah. uBO adalah ekstensi killer, dan Mozilla tampaknya tidak terpikir bahwa jika mereka bersikeras memakai proses peninjauan ekstensi yang digerakkan mesin ala Google yang mengerikan, setidaknya mereka harus membuat pengecualian untuk salah satu ekstensi paling penting yang ada
Bahkan jika Mozilla “menyadari kesalahannya”, dapat dimengerti jika gorhill benar-benar murka atas seluruh kejadian ini dan menolak bekerja sama
Kesalahan mereka adalah berasumsi bahwa ia, seperti banyak developer ekstensi dan open source lain, akan tahan menghadapi pekerjaan remeh dengan imbalan sedikit apresiasi dan tuntutan yang terus bertambah
Hasilnya sama sekali tidak ideal, tetapi sayangnya tanggung jawab sepenuhnya ada pada Mozilla
Ekstensi utama selalu lebih mutakhir di Firefox daripada di Chrome/Edge
Dengan begitu mereka menangani ad blocker. Mereka sudah punya kendali luas atas Chromium, jadi satu-satunya alternatif nyata yang tersisa adalah Safari, yang jauh lebih sulit diserang
Google tidak bisa memblokir ekstensi pemblokir iklan Firefox, tetapi mereka bisa mendorong Mozilla mengelola Firefox seperti abandonware secara de facto hingga mati
Memalukan bahwa Mozilla Foundation merusak posisinya sendiri separah ini, dan sulit menganggap tindakan-tindakan ini semata-mata sebagai inkompetensi
Jika Firefox tidak mendukungnya, saya mungkin sudah memakai browser lain. Dengan makin sedikitnya hal yang dilakukan Mozilla dengan benar, mereka seharusnya memperlakukan gorhill dengan sangat baik
Saya benar-benar berharap Raymond Hill tidak mengambil langkah yang sama terhadap uBlock Origin, yaitu versi Manifest v2
Saya tidak terlalu nyaman menyarankan orang lain memasang ekstensi yang di-host sendiri
Sangat disayangkan Mozilla dan Raymond Hill tidak bisa atau tidak mau menyelesaikan masalah ini bersama. Saya mengerti bahwa ekstensi seperti ini seharusnya tidak menerima peninjauan seperti itu, dan saya juga mengerti bahwa ia tidak ingin peduli lagi, tetapi saya khawatir bagaimana situasi ini akan memengaruhi stabilitas jangka panjang proyek uBlock Origin
Seluruh situasi ini jelas terlihat tidak sehat
https://github.com/uBlockOrigin/uBOL-home/issues/197#issueco...
Mengisyaratkan bahwa proyek ini terancam hanya karena satu platform kecil bersikeras itu tidak masuk akal
Sudah sekitar satu minggu sejak dirilis, tetapi versi terbaru yang tersedia di situs add-on Firefox masih 1.59