<div dir="ltr"><div>In the context of "Hybrid Content" (content presented to the user as being part of the Firefox UI, like about:addons), Telemetry has some needs we're currently satisfying using "The UITour Approach". We have documentation about its design and how we expect it to be used[1].</div><div><br></div><div>One concern that came up was that, by adding capabilities based on host, we could be ennobling any webextension that is permitted to run on that host. In about:addons' case, their host is on the restricted list so webextensions weren't permitted... but it was a concern that didn't occur to us at first.<br></div><div><br></div><div>Aside from this, I think our use case offers very little that is unique. We have APIs available to privileged code that we wish to privilege other parts to consume. Just like everyone else. _How_ we do this is almost immaterial as we already have our APIs in place and would build shim libraries to implement them over message passing or whatever means is necessary.</div><div><br></div><div>I like the idea of asking the Features What Wish To Be Privileged to package themselves as extensions with a permission model and everything, but from our current experience trying to find users for Hybrid Content Telemetry... unless you forbid the alternatives, you might find it difficult to recruit converts.<br></div><div><br></div><div>:chutten<br></div><div><br></div><div>[1]: <a href="https://firefox-source-docs.mozilla.org/toolkit/components/telemetry/telemetry/collection/hybrid-content.html">https://firefox-source-docs.mozilla.org/toolkit/components/telemetry/telemetry/collection/hybrid-content.html</a></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Mar 16, 2018 at 10:03 PM, Boris Zbarsky <span dir="ltr"><<a href="mailto:bzbarsky@mit.edu" target="_blank">bzbarsky@mit.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 3/16/18 6:22 PM, Dave Townsend wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
and exposing every API to every page<br>
</blockquote>
<br></span>
This came up on IRC the other day.  The answer there is we should not be doing that.  We should expose the relevant APIs only on the relevant about: pages.<br>
<br>
The "changes need a recompile" problem is much harder to solve when sticking with a webidl solution.<span class="HOEnZb"><font color="#888888"><br>
<br>
-Boris</font></span><div class="HOEnZb"><div class="h5"><br>
______________________________<wbr>_________________<br>
firefox-dev mailing list<br>
<a href="mailto:firefox-dev@mozilla.org" target="_blank">firefox-dev@mozilla.org</a><br>
<a href="https://mail.mozilla.org/listinfo/firefox-dev" rel="noreferrer" target="_blank">https://mail.mozilla.org/listi<wbr>nfo/firefox-dev</a><br>
</div></div></blockquote></div><br></div>