【アナウンス】セキュリティアップデートに伴うサードパーティアプリへの影響に関して

[Hiroshiba]

内容

VOICEVOXエンジンのリクエスト周りについてセキュリティアップデートを行いました。
その関係で、一部のサードパーティアプリはレスポンスを受け取れないなどの影響が出ると思われるため、その解決策と経緯を紹介します。

影響範囲

localhost・127.0.0.1・app://・Originなし以外のOriginからリクエストを投げているサービス。
例えばブラウザの拡張機能などに影響があると考えられます。

実際に影響があるかはプレビュー版の0.14.0-preview.13ビルドで試すことができます。

解決策

• サードパーティアプリ側
  • Chrome拡張の場合、Originヘッダを削除する形で対応が可能です
  • ユーザーに下記の対応を案内
• ユーザー側
  • エンジン起動中に設定GUI（ http://localhost:50021/setting ）を開き、Allow OriginにOriginヘッダを記載して保存

リリース予定日

バージョン0.14.0で更新が導入される予定です。
0.14.0へのアップデートは1/31を予定しています。

経緯

詳細はこちらのIssueをご確認ください。

その他

もし大きな問題などがあればなんでもご相談ください。

[Hiroshiba]

思いつく解決策を列挙したいと思います。
（中には現実的ではないのもあると思いますが、別のアイデアにつながればと思い全部挙げています）

• 全Originを許可してエンジン起動できるようエディタに設定を設ける
  • ユーザーの操作は楽だけどセキュリティ的に良くない
  • 実装はちょっと大変
• 特定のOriginを許可してエンジン起動できるようエディタに設定を設ける
  • ユーザー操作が少し大変
  • 実装もちょっと大変
• 特定のOriginを許可してエンジン起動するショートカットファイルの作り方を案内する
  • VOICEVOX側の実装コストは０だけど、操作が複雑で難しい
  • windows以外で可能なのか不明
• 特定のOriginを許可してエンジン起動するショートカットファイルを配布して頂く
  • 開発者の方に対応して頂く必要がある
  • ショートカットファイルを配布できるのか不明
• VOICEVOXエンジンに直接リクエストしない方針を取って頂く（棒読みちゃんなど？）
  • アダプターアプリをインストールする方針であればそもそも問題が起こらない
  • もともとユーザーの文化的に受け入れられるならありかも
  • そうじゃない場合は追加でインストールの案内をして頂く必要がある

[Hiroshiba]

• エンジン側で簡単なGUIを提供する
  • ブラウザでGUI表示できるStreamlitなどが便利
  • エディタ側・サードパーティ開発者側・ユーザ側にとって全員簡単そう

[Hiroshiba]

十分案内をしたためcloseします。