uBlock Origin Lite (也就是 MV3 版本) 放棄在 Mozilla Add-ons 平台上繼續上架

整包故事大概都在「uBOL version updates missing in Firefox add-ons store #197」這邊了。

Raymond Hill (uBlock Origin 以及這次提到的 uBlock Origin Lite 的作者) 被 Mozilla 的 Add-ons Team 亂搞以後不爽,決定徹下 Mozilla Add-ons 平台上的 uBlock Origin Lite,改成自己 host。

先是「#issuecomment-2329365796」這邊提到他收到 Mozilla Add-ons Team 兩封信件,開頭就提到這是 manual review:

Your Extension uBlock Origin Lite was manually reviewed by the Mozilla Add-ons team in an assessment performed on our own initiative of content that was submitted to Mozilla Add-ons.

然後 Raymond Hill 提到三個 Mozilla 亂搞的問題,其中第三個我覺得是第一個的延伸,所以我這邊就只講第一個與第二個。

第一個是 Mozilla 指控他傳輸資料但卻沒有取得使用者同意:

Consent, specifically Nonexistent: For add-ons that collect or transmit user data, the user must be informed and provided with a clear and easy way to control this data collection.

這邊 Mozilla 提出來的檔案是 web_accessible_resources/googlesyndication_adsbygoogle.js

第二個 Mozilla 指控的問題是放了 minified 的檔案但沒有提供 source:

Sources, specifically Sources or instructions missing: Your add-on contains minified, concatenated or otherwise machine-generated code. You need to provide the original sources, together with instructions on how to generate the exact same code used in the add-on.

這邊 Mozilla 提出來的檔案是 web_accessible_resources/fingerprint2.jsweb_accessible_resources/google-analytics_analytics.jsweb_accessible_resources/google-analytics_ga.js 以及 web_accessible_resources/googletagservices_gpt.js 這四個。

然後這五個檔案打開來看,完全可以同意 Raymond Hill 說明的,完全看不到 Mozilla 指控的東西。

最後是 Mozilla 的處置方法也超級奇怪,將除了最早的版本以外的所有版本都 takedown,但最早的版本也被 flag 上面五個檔案... 這樣就導致用戶會裝到一堆 bug 的版本,逼的 Raymond Hill 也得把最早的這個版本 disable。

最後他已經講的很客氣了:「I am unable to see this as a mistake」,原文大概是「他媽的你 Mozilla 故意搞事」:

@Rob--W I appreciate you trying to build a bridge, but as much as I have tried over and over, I am unable to see this as a mistake, it takes only a few seconds for anyone who has even basic understanding of JavaScript to see the raised issues make no sense, and that the steps taken (disable all but the oldest version instead of all but the most recent) were the worse for both the extension and new users interested in it.

BCD Watch:觀察 MDN 的 Browser Compatibility Data 有什麼變化

看到 Eric Meyer 弄了 BCD Watch 觀察 MDN 上面的 Browser Compatibility Data 變化:「Announcing BCD Watch」。

看起來是每個禮拜更新一次,而網站有提供 RSS feed 可以訂閱,所以不用自己一直跑去翻。

這種網站果然是掛在 GitHub Pages 上面 (+ GitHub Actions),專案則是在 https://github.com/bkardell/bcd-watch 這邊可以看到。

這次 Arc Browser 的安全問題的觀察

人還在東京,不過看到這次 Arc Browser 安全問題的處理方式覺得值得先寫一下...

這次的問題是「gaining access to anyones browser without them even visiting a website」這個,另外在 Hacker News 上「Gaining access to anyones Arc browser without them even visiting a website (kibty.town)」的討論也值得看一看,因為 The Browser Company 的 CTO (Arc 背後的公司) 有出來回應,ha470 帳號的回應可以參考。

主要的疑慮在於對 security advisory 的態度,另外可以看看的是 CTO 出來回應的文字 (畢竟 C-level 出來回應都算是相當具有「權威性」的回應)。

整體看起來比較大的問題在於 CTO 回太快了,內部有些想做的是還沒做完 CTO 就先回了?像是 security advisory 的公告。另外一點是 security advisory 在首頁不算好找,而且用字偏... marketing?也因此技術社群的人不太愛這份說明。

算是個觀察,先看看就好... (雖然我沒在用 Arc,但周邊不少朋友跑去用了以後都蠻喜歡的?)

Stripe 的 Dashboard 停止支援 Firefox

在「Tell HN: Stripe Dashboard no longer supports Firefox」這邊看到有人提到 Stripe 抽掉 Firefox 支援...

看起來是 corporation-facing 的系統,而非 user-facing 的,但還是頗蠻意外這個時間點就開始動手了,而且還是 Stripe?

Browser Market Share Worldwide 這邊看起來的確是沒什麼起色:

抓個趨勢來看也是:

讓 Flatpak 裡面的應用程式可以吃到系統的字型

先前在「測試 Zen Browser」這邊提到 Zen,但遇到中文字型用了文泉驛正黑而沒有用 Noto Sans CJK TC 的問題,當時先一直放著,後來想到應該是 Flatpaksandbox 造成的,用關鍵字找了一下資料可以在 GitHub 上看到這則說明:「[feature] Expose xdg-config/fontconfig to sandbox by default #3947」。

透過 cli 或是 Flatseal 在 Filesystem 的部分將 xdg-config/fontconfig:ro 設進去就可以了。

其中這邊的 magic word xdg-config 是出自「Sandbox Permissions」這邊,裡面也有提到 :ro 的部分,所以上面提到的 xdg-config/fontconfig:ro 就會是 ~/.config/fontconfig 的 readonly 權限了。

接著就可以在 ~/.config/fontconfig 裡面設定自己要的字型了。

測試 Zen Browser

在「Zen, a Arc-like open-source browser based on the Firefox engine (zen-browser.app)」這邊看到 Zen Browser 的,主打個功能類似於先前很多用 Mac 的朋友有用的 Arc Browser,包括了 workspace 以及在側邊欄放 tab 的設計,不過我對這點反而不是很愛,主要是因為我的桌機螢幕是打直的,左右寬度只有 1200px 已經不太夠用了,tab icon 在左邊其實對於會更容易觸發 mobile view。

但選擇從 Firefox 改出來這件事情有吸引我,少數 Gecko engine 的瀏覽器。

安裝的方式除了一般下載以外,在 Linux 上有支援透過 Flatpak 官方的 repository 安裝,所以對於已經有在用 Flatpak 的人還蠻簡單的,裝起來後就是一堆個人化設定要做。

現在已知的是 font settings 的問題要解,不過這個是以前在用 Firefox 時就遇到的問題,所以應該只是跟過來的問題,得想辦法繞...

關閉 Firefox 的廣告蒐集功能

前陣子有提到 Mozilla 併購了廣告公司後,就在 Firefox 裡面實作廣告投放的蒐集功能:「Firefox 128 實作廣告投放蒐集功能 (Ad measurement)」,然後看到「Make Firefox Private Again (make-firefox-private-again.com)」這篇,網站是 make-firefox-private-again.com

其中的設定就是把 dom.private-attribution.submission.enabled 設為 false,透過 GUI 介面改記得也是類似的效果。

但 Mozilla 已經變成廣告公司了,後續應該只會有更多動作;而廣告公司熟悉的 PR 方法應該都會被拿出來用,至於對 open source community 有沒有用就再看看了...

網站名字的梗... 應該就是 Donald TrumpMake America Great Again 口號。

uBlock Origin 與 Manifest v3 的進度

在「Chrome warns uBlock Origin may soon be disabled」這邊看到「About Google Chrome's "This extension may soon no longer be supported"」這個。

看起來 Chrome 127 開始會對 Manifest v2 的套件跳警告,不過我用 Brave 這邊的情況比較複雜,主要是看底層的 Manifest v2 的 code 支援的如何,在 2022 的時候有提到這段 code 看起來被 enterprise support 的部分用到,看起來不會直接被拔掉,所以支援 Manifest v2 應該是沒問題:

就算 Brave 支援 Manifest v2,另外一個問題是 Manifest v2 版的 uBlock Origin 要怎麼繼續更新?這點好像沒看到太多討論...

Firefox 128 實作廣告投放蒐集功能 (Ad measurement)

六月底的時候就有一些消息,然後這幾天熱起來了,先是 Hacker News 上這兩篇,在講 Firefox 128 (現在的 stable 版) 預設開啟了廣告蒐集行為:「Firefox 128 enables "privacy-preserving" ad measurements by default (mstdn.social)」、「"Firefox added [ad tracking] and has already turned it on without asking you" (mastodon.social)」。

這個消息剛好可以跟六月底的時候「併購」了 Anonym 這家廣告公司一起看:「Mozilla acquires ad analytics company, for some reason」。

愈來愈像廣告公司了...

Ladybird 瀏覽器計畫在 2026 夏天推出 Alpha 版

在「Welcome to Ladybird, a truly independent web browser (ladybird.org)」這邊看到的,指到官網 Ladybird 上。

最主要的資訊應該是這個日期,目前計畫是 2026 夏天在 LinuxmacOS 上推出 alpha 版:

We are targeting Summer 2026 for a first Alpha version on Linux and macOS. This will be aimed at developers and early adopters.

也就是大約再兩年,看起來得花不少時間開發... 畢竟是要完全獨立開發不使用現有瀏覽器的 code。