はじめに結論を書いておきます。

extensions.checkUpdateSecurityをfalseにする（安全な「アドオンの更新」が提供されているか確認する設定を無効にする）ということは、 一度塞がれたセキュリティホールを自らの手で開けるということ である。

である。 この設定項目はMozilla製品やアドオンの開発者がテストなどに用いるために存在するものと思われる。一般ユーザはこの設定を初期設定から変えるべきではない[註1]。

Firefox 3では、「アドオンの更新」を提供しているアドオンのうちで安全な「アドオンの更新」を提供していないものはインストールできなくなりました。それで、Webを見てると、Mozilla Re-MixやFirefox更新情報 WikiなどのWebサイトや、それにやすっち。さん（例1・例2）やGomitaさん[註2]などの人々が危険なことを他の人に薦めているので、面倒ですが[註3]この記事を書いています。

Q1：extensions.checkUpdateSecurityをfalseにする（無効にする）とどうなりますか？

A1：以下のようなことが起こり得ます。

あなたのコンピュータ内の重要なデータが消失する。

あなたのコンピュータ内から重要な個人情報が流出する。

あなたのコンピュータを乗っ取られ攻撃者の攻撃の踏み台にされてネットワークに繋がっている他の人々に迷惑をかける。

セキュリティホールが開いているわけですから該当のセキュリティホールを突く攻撃をされた場合は基本的に防ぎようがなくされるがままとなります。通信の経路に割りこまれるという攻撃ですから、extensions.checkUpdateSecurityをfalseに設定されていて、extensions.checkUpdateSecurityをfalseにしなくてはならないようなアドオンがインストールされているという2点の条件さえ揃えば攻撃を受ける可能性があります。アドオンの質やアドオンの作者（ベンダ）の信頼性などは関係ありません。

人気のあるアドオンではユーザ数が数十万から百万を超えるものもある（「ユーザが多い拡張」の一例）ので攻撃者にとって標的として悪いものではないでしょう。また、最近ではFirebugやDownThemAll!などのよく知られたアドオンのホームページが攻撃を受けて改変されるということも実際に起こっています。

Q2：「安全な更新方法が用意されていないため、インストールされません」という警告が出てインストールできないアドオンをどうしても使いたいです！

A2：アドオンパッケージの中にあるinstall.rdf内のupdateURLの部分の記述を削除してください。それでインストールできるようになります。自分でできない場合はアドオンの開発者に連絡を取って、下の3つからいずれかの対策をするように依頼してください。

「アドオンの更新」を提供したいアドオンはMozilla Add-onsで配布する。 Mozilla Add-ons以外でのアドオンの「アドオンの更新」の提供をやめる。 McCoyを使うなり、「updateURLにSSL接続のURIを使う＋updateHashを記載」するなりして安全な「アドオンの更新」を提供する。

Q3：どのようにアドオン開発者に報告したらいいの？

A3：英語が苦手でも下記をコピー＆ペーストすればとりあえず相手に意図は通じるはずです。

Securing Updates http://developer.mozilla.org/en/docs/Extension_Versioning%2C_Update_and_Compatibility#Securing_Updates McCoy http://developer.mozilla.org/en/docs/McCoy

以下に簡単な経緯。

追記（2008年5月19日6時）：

Amigomrさんがこの記事で云いたいことを一言で表現してくだすっています。

about:config 自体を編集すること自体が危険を伴うことだが、その中でも、セキュリティ関連の設定をむやみに変更することは危険だ。 Amigomrの徒然日記 より引用

追記（2008年5月19日19時30分）：

Piroさんが言及してくだすっています。

註1：というか、標準でabout:configの設定名の一覧になかったり、設定するとアドオンマネージャに警告が表示されたりするわけだから、ちょっとした日本語理解力や警戒心や洞察力があったらこの設定変更はしないと思うんだけど……日本語言語パックのほうでこの警告の文言をもう少し強い表現に変えるというのはありかもしれない。

註2：たぶん技術的なことを理解した上でユーザを危険にさらすようなことを云っているのでこの件では一番タチが悪い一人だと思う。

註3：こんなのMozilla Japanとかもじら組とかlevelさんの領分の記事じゃないですか。私やPiroさんはこの件に関心があるから情報収集をしてるわけだけど、「アドオンを提供する立場」目線でそれを記事にするので（そりゃ当事者だからね）アドオンの一般ユーザには分かりにくい記事になるのはしょうがないです。

註4：ちなみにlevelさんの記事もあるけどコメント欄も含めて非常に誤解を招きやすい記事になっちゃってるので、注意して読む必要があります。

註5：どこかITmediaとかCNET Japanみたいな企業がやってるIT系の情報サイトで日本語の記事としてこの情報を見たんだけどリンクを忘れちゃった……情報ソースのリンクをご存知のかたは教えてください。