パスワードを忘れた? アカウント作成

過去1週間(やそれより前)のストーリは、ストーリアーカイブで確認できますよ。

13998037 story
Chromium

MicrosoftのChromium採用により、Chromiumのコードベースから侮辱的・攻撃的表現を置き換える動きが進む 54

ストーリー by headless
変更 部門より
Microsoftが次期Microsoft EdgeでChromiumを採用したことで、Chromiumのコードベースに含まれる侮辱的・攻撃的表現を置き換える動きが進んだようだ(Issue 981129The Registerの記事)。

Microsoftのコントリビューターは7月初め、Microsoft内部で使用している機械学習によるツール「PoliCheck」でChromiumのコードベースをスキャンし、抽出結果の一部をバグとして報告している。このコントリビューターによればChromiumのコードベースはおおむね問題ないが、サードパーティーのコードを継承している部分に冒涜的な表現や地政学的に問題のある表現、多様性の面で問題のある表現の多くが含まれるという。

Google側ではコードベースに意図して侮辱的・攻撃的な表現を含めることはないとしつつ、これまで問題点を洗い出そうとしたことはなかったとして提案を歓迎。ただし、これらのバグをChromeチームが最優先事項として扱うことはないとし、Microsoftや他のChromiumコントリビューターが重要だと考えるなら必要なコードレビューを行うことには問題ないと回答している。

バグ報告では「wtf」「ho」「cracker」「dick」「cocksucker(s)」「molestation/unmolested」が冒涜的な表現、文字種の説明で使われている「Byelorussian」(白ロシア語、現在はベラルーシ語: Belarusian)とロケール設定で使われている「Macedonia」(今年2月にNorth Macedoniaに国名変更)が地政学的な問題がある表現として挙げられている。ただし、「Byelorussian」はユニコードの仕様で使われている表現だと指摘されている。
13996639 story
OS

Windows 10のシェア、NetApplications調べで50%を超える 19

ストーリー by hylom
まだまだ多い7 部門より

headless曰く、

NetApplicationsの8月分デスクトップOSバージョン別シェアデータによると、Windows 10のシェアが初めて50%を超えている。

Windows 10のシェアは前月から2.13ポイント増の50.99%。2位のWindows 7は1.49ポイント減の30.34%となっている。このほかのOSバージョンで前月から1ポイント以上変動したのは4位のWindows 8.1(1.09ポイント減、4.2%)のみで、1位~12位まで順位の変動もみられない。OS種別シェアデータではWindowsが0.56ポイント減(87.89%)、Linuxが0.38ポイント減(1.72%)、Chrome OSが0.04ポイント減(0.36%)などとなっており、前月から増加したOSはMac OS(0.7ポイント増、9.68%)のみ。Unknownは0.28ポイント増加(0.35%)している。

StatCounterのWindowsバージョン別シェアデータでは、Windows 10が1.19ポイント増加して59.82%となる一方、Windows 7は0.3ポイント減の30.92%にとどまる。このほかのバージョンはすべて減少しているが、いずれも1ポイント未満の減少幅となっている。デスクトップOS種別ではWindowsが0.71%増(78.32%)、OS Xが0.05ポイント増(13.22%)、Linuxが0.07ポイント増(1.72%)、Chrome OSが0.32ポイント増(0.86%)と軒並み増加した。一方、Unknownは1.16ポイント減(5.87%)、Otherが0.01ポイント減(0%)となっている。

StatCounterのWindowsバージョン別シェアデータを国・地域別にみると、シリアで1年以上にわたって1位を保っていたWindows 10が急減(29.57ポイント減、22.68%)してWindows 7(33.61ポイント増、75.01%)が1位に再浮上し、イランでWindows 10が初めて1位になっている。このほか、毎月の変動が大きい5か国・地域でWindows 10が再び1位となっており、全体ではWindows 10が1位の国・地域が前月から5か国・地域増加し、235か国・地域中215か国・地域となっている。

日本では今年に入ってWindows 8が急増し、7月にはWindows 8.1を上回っていたが、8月は3.36ポイント減の3.99%となり、5.99%(0.03ポイント増)のWindows 8.1が再び上回っている。一方、今年に入って動きが小さくなっていたWindows 10は3.86ポイント増の65.74%となっている。Windows 7は0.25ポイント減の22.86%となった。

13994973 story
インターネット

Microsoft製ブラウザーのFlashサポート終了計画が更新、現行版ブラウザーでは2019年中のデフォルト無効化を中止 23

ストーリー by hylom
着々と終了への環境整備が進んでいる 部門より

headless曰く、

Microsoftは8月30日、Microsoft Edge/Internet ExplorerにおけるFlashサポート終了計画の更新版を発表した(Microsoft Edge BlogWindows CentralNeowinSlashGear)。

Microsoftは2017年7月、AdobeがFlashの終息計画を発表したのにともない、Microsoft Edge/Internet Explorerで段階的にFlashのサポートを終了する計画を発表していた。その後MicrosoftはChromiumベースの次期Microsoft Edge開発計画を発表しており、Microsoft製の全ブラウザーをカバーするためにFlashサポート終了計画を更新したようだ。

現行のMicrosoft Edge(EdgeHTML)ではWindows 10 Creators UpdateでClick-to-Runが導入され、2017年の計画通り現在はセッションごと+サイトごとにユーザーがFlashの実行を許可する仕組みになっている。2017年の計画では2019年の半ばから終わりにかけてMicrosoft EdgeとInternet ExplorerのデフォルトでFlashを無効化する計画が示されていたが、Flashをデフォルト無効にするためのパッチは配布しないことにしたという。そのため、両ブラウザーでは2019年中に動作が変わることなく、現状の通り動作し続ける。ただし、2020年12月までにFlashを完全に削除する計画に変更はないとのこと。

一方、次期Microsoft Edgeは他のChromiumベースブラウザーと同じタイミングでFlashサポートを段階的に終了していく。Flashは当初から無効化され、ユーザーはサイトごとにFlashを有効化する必要があるという。こちらも2020年末頃にはFlashが完全に削除されるとのことだ。

13994825 story
Android

Google Playの脆弱性報告報奨金プログラム、対象が1億回以上インストールされた全アプリに拡大 5

ストーリー by hylom
拡大だけど広くはない 部門より

headless曰く、

Googleは8月29日、Google Playの脆弱性報告報奨金プログラム「Google Play Security Reward Program(GPSRP)」の対象拡大と、新しい報奨金プログラム「Developer Data Protection Reward Program(DDPRP)」を発表した(Android Developers BlogAndroid PoliceVentureBeatThe Register)。

これまでGPSRPではGoogle製のアプリおよびプログラム参加企業/開発者のアプリのみが対象となっていたが、今後はGoogle Playでのインストール件数が1億回を超えているすべてのアプリが対象となる。これによりアプリ開発者が報奨金プログラムを用意していない場合でも、Googleが開発者に対する脆弱性の責任ある開示の手助けをする。開発者が脆弱性を認めた場合、報告者はGoogleに報奨金を請求できる。開発者が報奨金プログラムを用意している場合、報告者は開発者からの報奨金に加えてGoogleからの報奨金も受け取ることが可能となる。

GoogleはGPSRPを通じて得た脆弱性情報から自動化された検査項目を生成し、同様の脆弱性をGoogle Playで公開されているすべてのアプリでスキャンする。脆弱性が発見された場合はApp Security Improvement(ASI)プログラムの一環としてPlay Consoleを通じて開発者に通知し、修正内容などの情報を提供するとのこと。

DDPRPはAndroidアプリやOAuthプロジェクト(Google API)、Chrome拡張によるユーザーデータ不正利用の発見・報告に対する報奨金プログラムだ。たとえば、ユーザーデータを暗号化せずに送信することや、ユーザーデータの無断収集、ユーザーデータの目的外使用などが該当する。Androidアプリの場合はGoogle Playストアで1億回以上インストールされていること、Google APIとChrome拡張の場合はユーザーが5万人以上いることが報奨金の条件となる。

13993509 story
インターネット

ChromiumベースのMicrosoft Edgeベータ版、初回起動時に130回以上のネットワークリクエストを送る 48

ストーリー by headless
送信 部門より

BraveのJonathan Sampson氏によると、ChromiumベースのMicrosoft Edgeベータ版は初回起動時に50近い異なるエンドポイントに対し、合計130回以上のネットワークリクエストを送るそうだ(Sampson氏のツイートOn MSFTの記事Computingの記事)。

エンドポイントの多くはmicrosoft.comやwindows.com、msn.com、bing.com、live.com、skype.comといったMicrosoft関係のドメインになっているが、GoogleやFacebook、Twitterなどのドメインも含まれる。この調査をBraveに対してしばしば実行しているというSampson氏は他のWebブラウザーでも初回起動時のネットワークリクエストを調査しており、Google Chromeの場合は32回、Vivaldiは40回、Firefoxは83回、Operaは84回ということなので、新Microsoft Edgeは特に多いようだ。なお、Braveは23回で、すべてbrave.comドメインとのことだ。

13991089 story
Google

Google、Webユーザーのプライバシーを強化しつつ関連性の高い広告を表示可能なオープン標準の開発を提唱 17

ストーリー by hylom
「関連性の高い広告」は本当に効果があるのか 部門より

headless曰く、

Googleは22日、Webユーザーのプライバシー強化を図りつつ、広告による無料コンテンツ提供を守るためのオープン標準「Privacy Sandbox」を開発する構想を発表した(The KeywordChromium BlogBetaNewsRecode)。

ユーザーのプライバシーを守るためにWebブラウザーでサードパーティーによる追跡をブロックする動きも広がっているが、Googleでは標準としての合意なくユーザーのプライバシーを守ろうとすれば意図せぬ結果を生むと批判する。意図せぬ結果としては、大規模なcookieブロックがフィンガープリンティングなど不透明な手法の利用を進め、ユーザーのプライバシーを低下させる点と、関連性の高い広告を表示できなくなることでパブリッシャーが無料コンテンツを公開しにくくなる点を挙げている。最近の調査によれば、cookieのブロックで関連性の高い広告を表示できなくなった場合にパブリッシャーの収入は平均52%減少するという。

Privacy Sandboxでは、関連性の高い広告の表示に必要最低限の匿名化した情報のみをパブリッシャーが取得できるようにする。広告主が特定のユーザーを複数サイトにわたって追跡することなくコンバージョン率を得られるようにする仕組みや、広告主・パブリッシャーに対する詐欺を防ぐ仕組み、サンドボックス境界を保護する仕組みなども検討していくとのこと。フィンガープリンティングの制限など一部の領域ではChromeが独自に対応するとも可能だが、Web標準化するには複雑な手続きが必要となる。GoogleはGitHubでPrivacy Sandboxの各種課題について解説するドキュメントを公開し、他のブラウザーやパブリッシャー、広告パートナーを含むWebプラットフォームコミュニティーの意見を求めている。

13987889 story
Chrome

Chrome/Firefox/Safariがカザフスタン政府の証明書をブロック、政府による傍受に対処 23

ストーリー by hylom
そんなことがあったのか 部門より

Anonymous Coward曰く、

一党独裁が続く中央アジアのカザフスタンでは、2016年より国民に政府発行のルート証明書のインストールが義務付けられている。これに対しては政府がHTTPS通信を傍受できるのではないかと危惧されていたが、今年7月に実際にカザフスタン政府による中間者攻撃が報告されたことから、主要ブラウザが一斉にこの証明書をブロックする事態となっている(GIGAZINEITmediaZDNet Japan)。

ブロックを行ったのはFirefoxおよびGoogle Chrome、Safari。また、Chromiumのソースコード内に含まれているブロックリストにこの証明書が追加されているため、ほかのChromiumベースのWebブラウザでもブロックが行われるとのこと。

13987880 story
Chromium

ChromiumベースのMicrosoft Edge、ベータ版の提供が始まる 11

ストーリー by hylom
ついにベータに 部門より

headless曰く、

Microsoftは20日、Chromiumベースの新Microsoft Edge初のベータ版を提供開始した(Windows Experience BlogMicrosoft Tech Communityダウンロードページ)。

対応OSは既にCanary/Dev版が提供されているWindows 7~10およびmacOS。新機能はCanary/Dev版での品質テストが完了したものだけが追加され、メジャーアップデートの間隔は約6週間おきとなる。これとは別にバグやセキュリティ修正のためのマイナーアップデートも提供される。現在提供されているバージョンは77.0.235.9で、Canary/Dev版(現在バージョン78.0.2xx.x)では1か月ほど前のバージョンになる。新Microsoft Edgeはまだプレビューの段階ではあるものの、ベータ版は日常の使用に耐えるものになっているとのこと。

ベータ版の提供開始に合わせ、Microsoftでは新Microsoft Edgeの脆弱性発見に対する新報奨金プログラム「Microsoft Edge Insider Bounty Program」を発表している。新報奨金プログラムはChrome Vulnerability Reward Programを補完するのが目的とのことで、最新のパッチがすべて適用されたWindows(Windows 7 SP1/8.1/10)またはmacOS上の最新版Microsoft Edge(Dev/Beta)でのみ再現し、Google Chromeでは再現しない脆弱性が報奨金(最高30,000ドル)の対象となる。なお、Windows 10 Insider Preview上の現行版Microsoft Edge(EdgeHTML)を対象としたMicrosoft Edge(EdgeHTML)on Windows Insider Preview Bounty Program(報奨金最高15,000ドル)も引き続き実施されるとのことだ。

13986054 story
Chrome

Google Chrome、FTPサポートを削除する計画 37

ストーリー by hylom
時代の変化 部門より

headless曰く、

Google ChromeでFTPサポートを削除する計画が進められている(Chrome Platform StatusGoogleドキュメント— Intent to Deprecate: FTP SupportgHacksBleeping Computer)。

Google Chromeの現在のFTP実装では暗号化された接続(FTPS)もプロキシもサポートしていないが、FTPの使用率が低いこともあって機能向上のための投資は不可能だという。影響を受けるすべてのプラットフォームでより高機能なFTPクライアントが利用可能なことも理由に挙げられている。

GoogleはChrome 59でHTTP/HTTPSページでのFTPサブリソース読み込みを廃止するなど、ChromeのFTPサポート機能を徐々に削減している。Chrome 72以降ではFTPサイトでのリソースレンダリングが廃止されており、ディレクトリリスト表示とダウンロードのみが可能となっている。

今後の計画としては、2019年第4四半期にChrome 78でFTPサポートをコントロールするフラグとエンタープライズ向けのポリシーを追加し、プリリリースチャンネルではFTPサポートを無効化する。2020年第1四半期のChrome 80では安定版で順次FTPサポートを無効化していき、第2四半期のChrome 82でFTP関連のコードとリソースをすべて削除するとのこと。

FTPサポート無効化後、Google Chromeは「ftp://」URLを解決できなくなり、既定のハンドラーでURLを開こうとする。Google Chromeが既定のハンドラーに指定されている場合の対応は今後検討するという。プロキシ自動設定(PAC)スクリプトをFTPでダウンロードすることは不可能となるため、ユーザーは別の手段に移行する必要がある。

なお、Chrome Canaryは既にバージョン78だが、現在のところFTP関連のフラグは追加されていないようだ。

13982710 story
Chrome

Chromeのシークレットモードを検知できる手法はまだ残っている 21

ストーリー by hylom
お手軽な逃げ道を塞ぐ感じなのか 部門より

Anonymous Coward曰く、

7月にリリースされたChrome 76では、JavaScriptを使ってブラウザがシークレットモードで動作しているかどうか検出する手法に対する対策が導入された(過去記事)。しかし、この仕組みを回避する手法が導入されたという(CNET JapanINTERNET Watch)。

シークレットモードで動作している場合、「FileSystem API」は利用できないことから、今まではこれを利用してシークレットモードかどうかの判定ができたという。しかし、Chrome 76ではシークレットモードでFileSystem APIを利用した場合、Chromeによって作られた仮想ファイルシステムがあたかも端末のファイルシステムのように振る舞うように変更されたため、FileSystem APIによる判定はできなくなった。

今回開発された手法は、「Quota Management API」を利用するというものだそうだ。具体的には、シークレットモードとそうでない場合ではテンポラリストレージの上限が異なることから、これえを使ってシークレットモードかどうかの判定ができるという。また、FileSystem APIの書き込み速度を測定することでも判断ができるそうだ。

シークレットモードの検出は、たとえば無料で閲覧できる記事数が制限されているようなサイトで使われているという。

13980344 story
Chrome

Google Chrome 77ではURLバーのEV証明書の組織表示を廃止へ 19

ストーリー by hylom
確かにあまり意識していない 部門より

現在Google ChromeやFirefoxなどでは、Extended Validation証明書(EV証明書)を使ったHTTPSでの接続時に、その証明書の発行先組織名がブラウザのURL欄に表示されるようになっている。しかし、Googleは今後この表示をやめる方針だそうだ(ぼちぼち日記Chromeリポジトリの解説文書)。

これによると、今後はEV証明書を使ったサイトにおいても、URL欄にはその証明書は表示せず、表示される鍵アイコンをクリックして表示されるポップアップ内にその組織名を表示する方式になるという。

Googleはこの変更に向けて大規模フィールドテストを行っており、その結果URL欄での組織名表示は効果がないという結論に至ったそうだ。

13973492 story
Android

Google、欧州経済領域のAndroid端末で初回起動時に検索プロバイダーの選択画面を表示する計画 27

ストーリー by headless
有料 部門より

Googleは2日、欧州経済領域(EEA)でAndroid初回起動時のセットアップ中に入札で決定した検索プロバイダーの選択画面を提示する計画を発表した(The Keywordの記事入札要項Android Policeの記事SlashGearの記事)。

欧州のAndroidユーザーに対しては、既に検索アプリ/Webブラウザーの選択肢をPlayストアアプリで提示しているが、来年にはホーム画面の検索ボックスと(インストールされている場合)Chromeで既定として使用する検索プロバイダーをセットアップ中に選択できるようになる。選択した検索プロバイダーの検索アプリがインストールされていない場合には、インストールも行われるとのこと。

選択画面が表示されるのはGoogle検索アプリをプリインストールしてEEA向けに出荷されるAndroidスマートフォンおよびタブレットで、選択肢として表示する検索プロバイダーは国ごとに入札を行って決定する。応札者には検索対象を限定しない一般的な検索プロバイダーであって、対象国の言語へのローカライズやGoogle Playでのアプリ提供などの条件が設けられる。

入札額は検索プロバイダーの選択画面でユーザーに選択されるたびにいくら支払うかというもので、上位3件の応札者がGoogle検索とともにランダムな順序で選択肢として表示されることになる。同額で並んだ場合はその枠をランダムに割り当て、最低入札額に達した検索プロバイダーが3件未満の場合は残りの枠に応札対象の検索プロバイダーをランダムに割り当てる。最初の入札は9月13日締め切りで10月31日に結果が発表され、その後1年ごとに入札が行われるとのことだ。

13968608 story
Chrome

必要以上のパーミッションを要求しないことなどを定めたChrome拡張の新ユーザーデータポリシー、10月15日に適用開始 6

ストーリー by headless
必要 部門より

GoogleがChromeのデベロッパープログラムポリシーを改訂し、拡張機能の新ユーザーデータポリシーを10月15日に適用開始すると発表した(Chromium Blogの記事The Next Webの記事VentureBeatの記事)。

新ユーザーデータポリシーは5月30日に予告されていたもので、実装に必要なデータへのアクセスのみを要求することが必須化され、プライバシーポリシー公開が必須となるユーザーデータの対象が拡大される。新ユーザーデータポリシーに違反する拡張機能は10月15日以降、削除または却下されることになる。

拡張機能開発者は既存の拡張機能を調査し、より狭い範囲のパーミッションが利用可能な場合はそちらへ切り替えること、要求するパーミッションとその理由をリストアップしてChromeウェブストアの拡張機能情報ページ、または拡張機能のAboutページに掲載することが求められる。将来を見据えて現行バージョンで使用しないパーミッションを要求することは禁じられ、実際に使用するバージョンでのみ要求する必要がある。

プライバシーポリシーに関してはユーザーの個人情報や機密情報を扱う拡張機能に加え、ユーザー作成コンテンツや個人の通信を扱う拡張機能でも公開が必須となり、個人情報・機密情報と同様に適切な暗号化を行うなどデータ保護が求められる。

13963458 story
ソフトウェア

Silverlightのサポートは2021年10月12日で終了、Microsoftが注意喚起ドキュメントを公開 56

ストーリー by hylom
ご確認を 部門より

Anonymous Coward曰く、

Microsoftは、Microsoft Silverlightのサポートを2021年10月12日に終了する。終了にあたり、マイクロソフトは注意喚起のドキュメントを公開した。サポートが終了すると、品質更新プログラムやセキュリティ更新プログラムの提供がなくなる(Microsoftのサポートページ窓の杜)。

Internet Explorer 11向けは2021年10月12日に、Internet Explorer 10向けは2020年1月31日に終了する。ChromeやFirefox、Mac用ブラウザ向けのサポートはすでに終了している。

Silverlightが必要で新規会員募集中の有料サービスなどもあり(例:みるプラス)、サポート終了前の移行が求められる。

13962829 story
Chrome

Chrome 76ではWebサイトによるシークレットモード検出が困難に 8

ストーリー by headless
検出 部門より
7月30日にリリース予定のGoogle Chrome 76では、Webサイトによるシークレットモード検出に使われないようFileSystem APIの動作が変更される(The Keywordの記事Neowinの記事BetaNewsの記事SlashGearの記事)。

現行のGoogle Chromeではシークレットモード時にFileSystem APIが無効化されるため、WebサイトはAPIが有効かどうかを調べることでシークレットモードを検出できる。このような「抜け穴」を使用しているのは、一定数の記事を無料で閲覧できるメーター制課金システムを採用しているパブリッシャーだ。記事の閲覧数はCookieに保存されるため、制限を超えて閲覧する方法の一つとしてシークレットモードが使われることもあるという。Googleでは制限の迂回を避けたいパブリッシャーに理解を示しつつも、シークレットモードを検出してユーザーに対応を求めるような手法はシークレットモードを台無しにするものだと述べている。

なお、今回のブログ記事に具体的な変更内容は書かれていないが、Chromium Gerritによればシークレットモードではメモリー上に作成した仮想ファイルシステムを使用するというものだ。FileSystem APIは実質的にシークレットモードの検出にしか使われていないことから、いずれは削除も視野に入れているとも報じられていた。この機能自体は実装済みであり、Chrome 75でもchrome://flags/#enable-filesystem-in-incognitoを「Enabled」にすれば利用可能だ。
typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...