Chrome、yt-dlp のダウンロード時に「疑わしいダウンロード」警告を表示

 (news.ycombinator.com)
1 ポイント 投稿者 GN⁺ 27 일 전 | 2件のコメント | WhatsAppで共有
  • Chromeブラウザが yt-dlp の実行ファイルをダウンロードする際に、ブロックまたは警告メッセージを表示する事例が報告されている
  • 警告文は「suspicious download」と表示され、ユーザーが警告を無視して手動で許可しないとファイルを受け取れない
  • yt-dlp は YouTube などさまざまなプラットフォームの動画ダウンロードをサポートするオープンソースツールとして広く使われている
  • この警告は、Chrome の セキュリティ検知システムが実行ファイルを潜在的なリスクとして分類することで発生する
  • 一部の利用者は Chrome のセキュリティポリシーが過度に厳格に適用された結果だと見ており、このような 自動セキュリティフィルタリングが合法的なオープンソースツールの配布とアクセス性に影響を与える可能性がある

関連記事

2件のコメント

 
ndrgrd 26 일 전

こうした警告は、コード署名システムへ置き換えるべきだと思います。
何かの主張を聞いたら根拠や出典を確かめるべきなのと同じように、ユーザーは基本的にすべてのアプリを疑うべきです。そうしなかったことで生じる被害は本人の責任でしょう。
 
GN⁺ 27 일 전
Hacker Newsの意見

  • この機能を動かしているヒューリスティックとWindows Defenderのホワイトリスト方針はお粗末
    特定のバイナリがある程度の人気を得て初めて警告が消える仕組みなので、ユーザーが警告を無視しない限り解除されないという鶏が先か卵が先かの問題を生んでいる
    こうした仕組みはインディー開発者や小規模なオープンソースプロジェクトに特に不利

    • これは単なる**見せかけのセキュリティ(bullshit security)**だと思う
      結局は開発者をOS提供者のインフラに縛り付けるための仕組みだ。Appleも同じことをしている
    • 自分のWebサイトも会社のファイアウォールでブロックされたことがある
      こういう場合はサイバーセキュリティ企業にプロフィールを作って、ホワイトリストに載せてもらえるのを待つしかない
    • Linuxでも似たような現象を経験している
    • 最近のnpm axiosハッキング事件を見ると、こういう方針もむしろ賢明な措置に思えてくる
    • Microsoftはこの問題を解決したければ署名証明書を買えと誘導している
      関連する内容はStack Overflowの議論にある

  • GitHubから最新の.exeをダウンロードすると、Firefoxが「このファイルは一般的にはダウンロードされていません」と警告する
    ウイルススキャンはすべて正常なので、単なる**ヒューリスティックの誤検知(false positive)**に見える
    Chromeの独占乱用のようなニュースとして扱う話ではない

    • こうした警告ダイアログが実際に効果があるのか分からない
      あまりに頻繁に出るので、もうどんな警告も読まなくなった
      特に自己署名証明書を使うときにブラウザがアクセスを阻止するUXは最悪だ。まるで危険なことをしている人扱いされる
    • FirefoxはGoogleのSafe Browsingデータベースを使っているのでは?
    • Chromeでは.tar.gzファイル(特にyt-dlp向け)を受け取るときにも同じ警告が出る。他の.tar.gzでは出ない

  • yt-dlpのバイナリはPyInstallerでビルドされているため、ウイルス対策で誤検知が起きることがある

    • Googleはyt-dlpがフォークされる前からすでに敵対的な態度を見せていた
      拡張機能ストアやAndroidのポリシーでもこうしたツールを排除しようとしているが、取り締まりが緩いときもある
      Googleはユーザーが自分の動画コンテンツを直接コントロールすることを恐れている
    • しかし、そもそもブラウザがこんなことを気にする理由が分からない

  • Bingで「Google」を検索するとGoogle.comを模したページに誘導されるのを見ると、大企業は信用できない
    今回の件は単なる偶然かもしれないが、確信は持てない

    • Googleは以前、Ad Nauseam拡張機能をマルウェアとして表示したことがある。あれは明らかな権力の乱用だった
      今回はまだはっきりしない
    • 「良い危機を決して無駄にするな」という言葉を思い出す

  • 自分もyt-dlpのダウンロードページで同じ現象を再現した
    「危険なダウンロードがブロックされました — yt-dlp_win_x86.zip は一般的にはダウンロードされておらず、危険である可能性があります」というメッセージが表示される

    • ただ、こうした説明がどれほど有用なのかは疑問だ
      どんな新しいソフトウェアでも(Chrome自身でさえ)最初は「一般的にはダウンロードされていない」状態だからだ

  • だから自分はLinuxディストリビューションのパッケージマネージャーでyt-dlpをインストールしている。Termuxでも可能だ

    • ただしyt-dlpは頻繁に更新が必要なので、ディストリビューション版は遅すぎる
      Telegram/MQTT/HomeAssistantラッパーを作って、母がJellyfinサーバーでオーディオブックを聴けるようにした
      yt-dlpのバージョンはしょっちゅう壊れるので、常に最新のHEADを使うために仮想環境の自動更新スクリプトを用意している
      自分のラッパーコード

  • こういう大企業がこんな小さなツールひとつすら放っておけないのは滑稽だ
    Googleは今や悪の枢軸のように感じる。GCPの料金は高いし、Android Play Storeの統計も1日1回しか更新されない
    データ企業を名乗りながらこの程度なのかと失望する

    • とはいえ、yt-dlpは単なるダウンロードツールではなく、他のツールを作るための基盤ツールでもある
      記者や政府機関も調査や証拠収集のために使っている
      Googleが本気で排除したかったなら、もっと強力に妨害していたはずだ。完全に消し去る意図まではないように思える

  • GoogleのブラウザがGoogleサーバーからファイルを取得するツールを「怪しい」とするのは皮肉

    • 同じ理屈なら、Chromeも「Googleサーバーからファイルを取得するツール」だ
      こうした振る舞い自体は驚くことではないが、だからといって非倫理的なミスリードと独占的乱用を批判しない理由にはならない
      RIAAの弁護士を倫理の手本として持ち出すことは、むしろ自分の主張を補強するだけだ

  • yt-dlpの最新リリースページで試したところ、警告はWindows向けexeにだけ出て、macOS版やLinux版は正常だった
    これを見ると自動化システムのミスに見え、反競争的な意図ではなさそうだ

  • 反トラスト規制の不在がこうした利益相反を可能にしている

    • ただしFirefoxも似たような警告を表示する