Microsoftが次期Microsoft EdgeでChromiumを採用したことで、Chromiumのコードベースに含まれる侮辱的・攻撃的表現を置き換える動きが進んだようだ(Issue 981129、 The Registerの記事)。

Microsoftのコントリビューターは7月初め、Microsoft内部で使用している機械学習によるツール「PoliCheck」でChromiumのコードベースをスキャンし、抽出結果の一部をバグとして報告している。このコントリビューターによればChromiumのコードベースはおおむね問題ないが、サードパーティーのコードを継承している部分に冒涜的な表現や地政学的に問題のある表現、多様性の面で問題のある表現の多くが含まれるという。

Google側ではコードベースに意図して侮辱的・攻撃的な表現を含めることはないとしつつ、これまで問題点を洗い出そうとしたことはなかったとして提案を歓迎。ただし、これらのバグをChromeチームが最優先事項として扱うことはないとし、Microsoftや他のChromiumコントリビューターが重要だと考えるなら必要なコードレビューを行うことには問題ないと回答している。

バグ報告では「wtf」「ho」「cracker」「dick」「cocksucker(s)」「molestation/unmolested」が冒涜的な表現、文字種の説明で使われている「Byelorussian」(白ロシア語、現在はベラルーシ語: Belarusian)とロケール設定で使われている「Macedonia」(今年2月にNorth Macedoniaに国名変更)が地政学的な問題がある表現として挙げられている。ただし、「Byelorussian」はユニコードの仕様で使われている表現だと指摘されている。

headless曰く、

Microsoftは8月30日、Microsoft Edge/Internet ExplorerにおけるFlashサポート終了計画の更新版を発表した（Microsoft Edge Blog、Windows Central、Neowin、SlashGear）。

Microsoftは2017年7月、AdobeがFlashの終息計画を発表したのにともない、Microsoft Edge/Internet Explorerで段階的にFlashのサポートを終了する計画を発表していた。その後MicrosoftはChromiumベースの次期Microsoft Edge開発計画を発表しており、Microsoft製の全ブラウザーをカバーするためにFlashサポート終了計画を更新したようだ。

現行のMicrosoft Edge（EdgeHTML）ではWindows 10 Creators UpdateでClick-to-Runが導入され、2017年の計画通り現在はセッションごと+サイトごとにユーザーがFlashの実行を許可する仕組みになっている。2017年の計画では2019年の半ばから終わりにかけてMicrosoft EdgeとInternet ExplorerのデフォルトでFlashを無効化する計画が示されていたが、Flashをデフォルト無効にするためのパッチは配布しないことにしたという。そのため、両ブラウザーでは2019年中に動作が変わることなく、現状の通り動作し続ける。ただし、2020年12月までにFlashを完全に削除する計画に変更はないとのこと。

一方、次期Microsoft Edgeは他のChromiumベースブラウザーと同じタイミングでFlashサポートを段階的に終了していく。Flashは当初から無効化され、ユーザーはサイトごとにFlashを有効化する必要があるという。こちらも2020年末頃にはFlashが完全に削除されるとのことだ。

BraveのJonathan Sampson氏によると、ChromiumベースのMicrosoft Edgeベータ版は初回起動時に50近い異なるエンドポイントに対し、合計130回以上のネットワークリクエストを送るそうだ(Sampson氏のツイート、 On MSFTの記事、 Computingの記事)。

エンドポイントの多くはmicrosoft.comやwindows.com、msn.com、bing.com、live.com、skype.comといったMicrosoft関係のドメインになっているが、GoogleやFacebook、Twitterなどのドメインも含まれる。この調査をBraveに対してしばしば実行しているというSampson氏は他のWebブラウザーでも初回起動時のネットワークリクエストを調査しており、Google Chromeの場合は32回、Vivaldiは40回、Firefoxは83回、Operaは84回ということなので、新Microsoft Edgeは特に多いようだ。なお、Braveは23回で、すべてbrave.comドメインとのことだ。

headless曰く、

Googleは22日、Webユーザーのプライバシー強化を図りつつ、広告による無料コンテンツ提供を守るためのオープン標準「Privacy Sandbox」を開発する構想を発表した（The Keyword、Chromium Blog、BetaNews、Recode）。

ユーザーのプライバシーを守るためにWebブラウザーでサードパーティーによる追跡をブロックする動きも広がっているが、Googleでは標準としての合意なくユーザーのプライバシーを守ろうとすれば意図せぬ結果を生むと批判する。意図せぬ結果としては、大規模なcookieブロックがフィンガープリンティングなど不透明な手法の利用を進め、ユーザーのプライバシーを低下させる点と、関連性の高い広告を表示できなくなることでパブリッシャーが無料コンテンツを公開しにくくなる点を挙げている。最近の調査によれば、cookieのブロックで関連性の高い広告を表示できなくなった場合にパブリッシャーの収入は平均52%減少するという。

Privacy Sandboxでは、関連性の高い広告の表示に必要最低限の匿名化した情報のみをパブリッシャーが取得できるようにする。広告主が特定のユーザーを複数サイトにわたって追跡することなくコンバージョン率を得られるようにする仕組みや、広告主・パブリッシャーに対する詐欺を防ぐ仕組み、サンドボックス境界を保護する仕組みなども検討していくとのこと。フィンガープリンティングの制限など一部の領域ではChromeが独自に対応するとも可能だが、Web標準化するには複雑な手続きが必要となる。GoogleはGitHubでPrivacy Sandboxの各種課題について解説するドキュメントを公開し、他のブラウザーやパブリッシャー、広告パートナーを含むWebプラットフォームコミュニティーの意見を求めている。

headless曰く、

Microsoftは21日、Microsoft EdgeでEPUB形式の電子書籍のサポートをとりやめる計画を発表した（Microsoftサポート、Neowin、Windows Central）。

Microsoft Edgeでは2016年11月リリースのWindows 10 Insider Preview ビルド14971以降でEPUB形式の電子書籍をサポートしており、米国のユーザーは2017年1月リリースのビルド15014以降でMicrosoft Storeから電子書籍を購入できるようになっていた。Microsoft EdgeにはMicrosoft Storeで購入した電子書籍専用の「書籍」バーも用意されているが、今年4月にはMicrosoft Storeでの電子書籍取り扱いが終了したため、特に意味のない機能になっている。

MicrosoftではEPUBサポート終了に伴い、Microsoft Storeで提供されているEPUB対応の電子書籍リーダーアプリへの移行を推奨している。Microsoft Storeでは現在、「Reading room」（日本版は「読書室」）として電子書籍リーダーアプリをまとめているが、EPUB対応アプリがまとまっている感じではない。ただし、MicrosoftはDAISY Consortiumと提携してEPUB対応アプリの選定を進めており、9月にはMicrosoft Storeで提供する予定とのこと。

発表では具体的なサポート終了時期を示していないが、MicrosoftはNeowinに対してChromium版Microsoft Edgeのリリースとともに終了すると回答したそうだ。なお、21日にWindows Insider Programのリリースプレビューリングで提供が始まったビルド18362.325（KB4512941）のMicrosoft Edgeでは、EPUBファイルを開くと一部文字化けした英文でサポート終了の通知が何度か表示された。

Appleが5月にiOS 12.3で修正した脆弱性が7月リリースのiOS 12.4で復活していることが判明し、最新版のiOSが脱獄可能な状態となっている(Motherboardの記事、 Mac Rumorsの記事、 SlashGearの記事、 The Next Webの記事)。

問題の脆弱性CVE-2019-8605はカーネルの解放済みメモリ使用脆弱性で、悪意あるアプリケーションがシステム権限で任意のコードを実行できるというものだ。iOS 12.3リリース後に発見者のNed Williamson氏がGoogle Project Zeroのスレッドで「SockPuppet」と呼ばれるエクスプロイトを公開しており、このエクスプロイトを利用した脱獄ツールもGitHubで公開されていた。

ところが、このエクスプロイトがiOS 12.4でも動作することが判明し、脱獄ツールもiOS 12.4対応が進められている。脱獄コードの多くはAppleによるパッチを避けるため非公開となっており、最新版のiOSに対応する脱獄コードが公開されるのは久しぶりとのこと。一方、この脆弱性がスパイウェアインストールなどに悪用される可能性もあり、注意が呼びかけられている。

Anonymous Coward曰く、

一党独裁が続く中央アジアのカザフスタンでは、2016年より国民に政府発行のルート証明書のインストールが義務付けられている。これに対しては政府がHTTPS通信を傍受できるのではないかと危惧されていたが、今年7月に実際にカザフスタン政府による中間者攻撃が報告されたことから、主要ブラウザが一斉にこの証明書をブロックする事態となっている（GIGAZINE、ITmedia、ZDNet Japan）。

ブロックを行ったのはFirefoxおよびGoogle Chrome、Safari。また、Chromiumのソースコード内に含まれているブロックリストにこの証明書が追加されているため、ほかのChromiumベースのWebブラウザでもブロックが行われるとのこと。

headless曰く、

Microsoftは20日、Chromiumベースの新Microsoft Edge初のベータ版を提供開始した（Windows Experience Blog、Microsoft Tech Community、ダウンロードページ）。

対応OSは既にCanary/Dev版が提供されているWindows 7～10およびmacOS。新機能はCanary/Dev版での品質テストが完了したものだけが追加され、メジャーアップデートの間隔は約6週間おきとなる。これとは別にバグやセキュリティ修正のためのマイナーアップデートも提供される。現在提供されているバージョンは77.0.235.9で、Canary/Dev版（現在バージョン78.0.2xx.x）では1か月ほど前のバージョンになる。新Microsoft Edgeはまだプレビューの段階ではあるものの、ベータ版は日常の使用に耐えるものになっているとのこと。

ベータ版の提供開始に合わせ、Microsoftでは新Microsoft Edgeの脆弱性発見に対する新報奨金プログラム「Microsoft Edge Insider Bounty Program」を発表している。新報奨金プログラムはChrome Vulnerability Reward Programを補完するのが目的とのことで、最新のパッチがすべて適用されたWindows（Windows 7 SP1/8.1/10）またはmacOS上の最新版Microsoft Edge（Dev/Beta）でのみ再現し、Google Chromeでは再現しない脆弱性が報奨金（最高30,000ドル）の対象となる。なお、Windows 10 Insider Preview上の現行版Microsoft Edge（EdgeHTML）を対象としたMicrosoft Edge（EdgeHTML）on Windows Insider Preview Bounty Program（報奨金最高15,000ドル）も引き続き実施されるとのことだ。

現在Google ChromeやFirefoxなどでは、Extended Validation証明書（EV証明書）を使ったHTTPSでの接続時に、その証明書の発行先組織名がブラウザのURL欄に表示されるようになっている。しかし、Googleは今後この表示をやめる方針だそうだ（ぼちぼち日記、Chromeリポジトリの解説文書）。

これによると、今後はEV証明書を使ったサイトにおいても、URL欄にはその証明書は表示せず、表示される鍵アイコンをクリックして表示されるポップアップ内にその組織名を表示する方式になるという。

Googleはこの変更に向けて大規模フィールドテストを行っており、その結果URL欄での組織名表示は効果がないという結論に至ったそうだ。

Windows 10 ビルド18362.267では、ChromiumベースのMicrosoft Edgeプレビュー版(Chromium Edge)をインストールすると現行版のMicrosoft Edge(Spartan Edge)がスタートメニューに表示されないようになっている(Softpediaの記事)。

ビルド18362.267はWindows 10 バージョン1903の累積更新プログラム(KB4505903)として7月26日にリリースされた。これに先立ってWindows Insider Programのリリースプレビューリングで提供されたKB番号の同じ累積更新プログラム(ビルド18362.266)でも同様の動作が確認されていた。

表示されなくなるのはスタートメニューのリスト上の「Microsoft Edge」アイコンのみで、スタートメニューにピン留めしたタイルや、タスクバーにピン留めしたアイコンには影響しない。また、Internet Explorerのツールメニューから「Microsoft Edgeで開く」を選択した場合、現在のページはSpartan Edgeで開く。既定のアプリの動作も変更されない。

なお、Windows版のChromium Edgeでは現在、IEモードのフラグをセットしても「このページをInternet Explorerで開く」というメニュー項目が表示されなくなっている。Microsoft EdgeプログラムマネージャーのSean Lyndersay氏によるとメニュー項目はデバッグ用であり、IEモードが正式にリリースされたので削除したという。IEモードは企業向け専用の機能であり、あるサイトをIEモードで表示するかどうかを設定できるのは管理者のみになるとのことだ。

GoogleがChromeのデベロッパープログラムポリシーを改訂し、拡張機能の新ユーザーデータポリシーを10月15日に適用開始すると発表した(Chromium Blogの記事、 The Next Webの記事、 VentureBeatの記事)。

新ユーザーデータポリシーは5月30日に予告されていたもので、実装に必要なデータへのアクセスのみを要求することが必須化され、プライバシーポリシー公開が必須となるユーザーデータの対象が拡大される。新ユーザーデータポリシーに違反する拡張機能は10月15日以降、削除または却下されることになる。

拡張機能開発者は既存の拡張機能を調査し、より狭い範囲のパーミッションが利用可能な場合はそちらへ切り替えること、要求するパーミッションとその理由をリストアップしてChromeウェブストアの拡張機能情報ページ、または拡張機能のAboutページに掲載することが求められる。将来を見据えて現行バージョンで使用しないパーミッションを要求することは禁じられ、実際に使用するバージョンでのみ要求する必要がある。

プライバシーポリシーに関してはユーザーの個人情報や機密情報を扱う拡張機能に加え、ユーザー作成コンテンツや個人の通信を扱う拡張機能でも公開が必須となり、個人情報・機密情報と同様に適切な暗号化を行うなどデータ保護が求められる。

Microsoft Edge (Spartan)のSmartScreenがアクセス先のフルURLなどに加え、WindowsにログインしたユーザーのSID(セキュリティ識別子)もサーバーに送信していることが発見された( Matt Wall氏のツイート、 Bleeping Computerの記事、 BetaNewsの記事、 Softpediaの記事)。

SmartScreenが送信するアクセス先サイトのURLはハッシュ化されていないものの、プライバシー保護のためSSL接続で暗号化して送信すると以前から説明されている。このほか、OS/ソフトウェアバージョン、ダウンロードしたファイルの情報などを送信することもドキュメントには記載されているが、SIDに関する記載はない。SIDの送信は匿名の統計情報を送信するとの説明にも反する。なお、ChromiumベースのMicrosoft Edgeプレビュー版ではSIDが送信されないとのことだ。

7月30日にリリース予定のGoogle Chrome 76では、Webサイトによるシークレットモード検出に使われないようFileSystem APIの動作が変更される(The Keywordの記事、 Neowinの記事、 BetaNewsの記事、 SlashGearの記事)。

現行のGoogle Chromeではシークレットモード時にFileSystem APIが無効化されるため、WebサイトはAPIが有効かどうかを調べることでシークレットモードを検出できる。このような「抜け穴」を使用しているのは、一定数の記事を無料で閲覧できるメーター制課金システムを採用しているパブリッシャーだ。記事の閲覧数はCookieに保存されるため、制限を超えて閲覧する方法の一つとしてシークレットモードが使われることもあるという。Googleでは制限の迂回を避けたいパブリッシャーに理解を示しつつも、シークレットモードを検出してユーザーに対応を求めるような手法はシークレットモードを台無しにするものだと述べている。

なお、今回のブログ記事に具体的な変更内容は書かれていないが、Chromium Gerritによればシークレットモードではメモリー上に作成した仮想ファイルシステムを使用するというものだ。FileSystem APIは実質的にシークレットモードの検出にしか使われていないことから、いずれは削除も視野に入れているとも報じられていた。この機能自体は実装済みであり、Chrome 75でもchrome://flags/#enable-filesystem-in-incognitoを「Enabled」にすれば利用可能だ。

ChromiumベースのMicrosoft Edgeでは、最近のWindows 10向けDevビルドでIEモードが利用可能になっている(Neowinの記事)。

IEモードはMicrosoft EdgeのタブにInternet ExplorerでWebページを表示する機能だ。edge://flags#edge-internet-explorer-integrationを「IE Mode」に設定することでメニューの「その他のツール」に「このページをInternet Explorerで表示する」というオプションが追加され、現在表示中のページを新規タブにIEモードで表示できる。IEモードのタブはアドレスバー左側のIEアイコンで識別できるようになっており、IEは「インターネットオプション」の設定に従って動作するようだ。検索プロバイダーや「Bingで翻訳」等のアクセラレータも利用可能だ。

一方、Windows版のCanaryビルドでは6月下旬から「このページをInternet Explorerで表示する」を選択すると、空白のタブとエラーメッセージに加えてIEの新規ウィンドウで表示中のWebページが開くようになっていた。しかし、最近のビルドではフラグをセットしてもメニュー項目が追加されなくなっており、IEモードの動作は確認できなかった。なお、Windows 7上のDevビルドではIEの新規ウィンドウでWebページが開き、Edge側は空白のタブとエラーメッセージが表示された。

MicrosoftがChromiumプロジェクトにWindowsのスペルチェック機能の統合を進めているようだ(Windows Latestの記事、 Neowinの記事、 Softpediaの記事、 Chromium Gerrit)。

ChromiumではHunspellが標準のスペルチェッカーになっているが、ビルド時にスペルチェッカーを指定するビルドフラグも用意されている。一方、Chromium Gerritのコミットメッセージによれば、WindowsのスペルチェッカーとHunspellを実行時に切り替えられるようにする仕組みを目指しているとのこと。これにより、Windows (10)上ではGoogle ChromeやChromium派生ブラウザーでもOS標準のスペルチェッカーが利用できるようになる可能性がある。

既にChrome CanaryにはWindows環境を対象とした「Use the Windows OS spellchecker」というフラグ(chrome://flags/#win-use-native-spellchecker)が存在するが、現在のところ設定しても効果はないようだ。一方、Chromiumベースの新Microsoft EdgeではDev/Canaryともに相当するフラグは存在しない。なお、現行のMicrosoft EdgeはOS標準のスペルチェッカーを使用している。