パスワードを忘れた? アカウント作成

スラドのTwitterでストーリをフォローしよう。

15288349 story
プライバシ

カスタムURIスキームを利用して異なるWebブラウザーにわたりユーザー追跡を可能にする手法 2

ストーリー by nagazou
あの手この手 部門より
headless 曰く、

カスタムURIスキームを利用することで、異なるWebブラウザーにわたるユーザーの追跡が可能になるという「scheme flooding」脆弱性をFingerprintJSが公開している(FingerprintJSのブログ記事Ghacksの記事HackReadの記事デモページ)。

この脆弱性はカスタムURIスキームを使用して外部プロトコルのハンドラー呼び出しを試みることで、Webサイトがユーザーのシステムに対応アプリがインストールされているかどうかを知ることが可能というものだ。カスタムURIスキームを利用するアプリのリストを生成することで、システムにインストールされた複数の異なるWebブラウザーで共通の識別子を生成できる。FingerprintJSでは影響を受けるブラウザーとしてデスクトップ版のTor Browser/Safari/Chrome/Firefoxを挙げているが、Chrome以外のChromiumベースブラウザーも影響を受けるとみられる。

ChromiumベースのブラウザーではカスタムURIスキーム実行時にダイアログボックスが表示され、ユーザーの意志に反したアプリケーションの起動を防ぐ仕組みが備わっているが、いったん内蔵PDFビューアーを起動するとこの仕組みがバイパスされる問題があるという。これについてはFingerprintJSがバグとして報告している。

FingerprintJSが公開しているデモでは24のアプリケーションに対応するカスタムURIスキームをチェックして24ビットの識別子を生成する。現在のところmacOSとWindowsにのみ対応しており、Linux上では正しく動作しない。

15275378 story
プライバシ

英情報コミッショナー事務局、ユーザーの意図に反した追跡を損害と認めなければデータ侵害を取り締まれなくなると示唆 17

ストーリー by headless
損害 部門より
英情報コミッショナー事務局(ICO)が英最高裁に対し、ユーザーが自分のデータをコントロールできなくなることを「損害」と認めなければデータ侵害を取り締まれなくなると示唆しているそうだ(The Registerの記事[1][2]HackReadの記事)。

本件はGoogleがiPhoneのSafariでデフォルト設定のサードパーティcookieブロックを迂回し、ユーザーを追跡していたことについて2017年に提起された代表訴訟に関するものだ。一審では訴えが認められなかったが、二審で逆転したため、Googleが上告していた。ICOは訴訟当事者ではないが、代理人の弁護士が第三者として訴訟に加わっている。

オプトイン方式の日本の集団訴訟とは異なり、英国(イングランドとウェールズ)の代表訴訟は同じ損害を受けたすべての人を原告代表が代表する点で米国のクラスアクション訴訟に近いものだが、代表される全員がまったく同じ利害関係を持つ必要があるという。そのため、Google側はユーザー追跡による損害を受けた人が何人いるか確認しようがなく、訴訟は棄却されるべきだと主張しているとのこと。

しかし、ユーザーの意図に反してWebアクセスを追跡すれば、ユーザーが自分のデータをコントロールできなくなることになる。そのため、ユーザーの意図に反する追跡自体が損害と認められなければ、データ侵害が発生してもデータの悪用による被害が発生しない限り取り締まれなくなる、というのがICOの弁護士の見解のようだ。
15262789 story
プライバシ

GoogleのFLoC、Chrome以外のメジャーブラウザーはサポートしない雰囲気 38

ストーリー by nagazou
Google以外は益なし 部門より
headless 曰く、

サードパーティcookieを使用せずに関連性の高い広告を表示する仕組みとしてGoogleはFLoC(Federated Learning of Cohorts)を開発しているが、Chrome以外のメジャーブラウザーはChromiumベースのものを含めてサポートしない雰囲気になっている(The Vergeの記事Windows Centralの記事)。

FLoCは共通の興味を持つユーザーを大きなグループに分けることで関連性の高い広告を表示しつつ、個別のユーザーを群衆の中に隠すことができると説明されているが、ユーザーの合意なく追跡されることに違いはない。BraveVivaldiはブログで明確にFLoC無効化を表明しており、Operaは現時点で有効化する計画はないとThe Vergeに回答している。

MicrosoftはThe Vergeに対し、明確にMicrosoft EdgeでFLoCを無効化するとは断言しなかったものの、全体的には反対の雰囲気だ。ただし、ブラウザーベースで個別のユーザー特定を必要としないものや、IDベースでユーザーの合意とファーストパーティの関係によるものなど、関連性の高い広告を表示する仕組みを探っていると述べ、Microsoftが提唱する、プライベートで匿名化されたリクエストにより広告の実効性を維持しつつ透明性を高める「PARKEET」を例に挙げている。

Mozillaは多数提案されているプライバシーを維持する広告表示の仕組みを検討しているが、現時点で実装予定のものはないと回答。The VergeではAppleに直接問い合わせていないとのことだが、WebKitエンジニアのJohn Wilander氏がBraveのFLoCに対する姿勢を紹介したツイートへの質問に答え、(Safariに)実装するとは言っていないと述べている。

15249314 story
インターネット

新Microsoft Edge、デスクトップブラウザーシェアでFirefoxを超える 79

ストーリー by headless
逆転 部門より
StatCounterのデスクトップブラウザーシェアデータ3月分によると、新Microsoft Edgeのシェアが初めてMozilla Firefoxを超えたようだ。

レガシーEdgeのシェアがStatCounterで5%を超えることはなかったが、新EdgeはWindows Updateで自動更新による提供が始まった2020年6月以降急速にシェアを伸ばし、2020年8月には5%を超えている。今年に入ってシェアの伸びは鈍り、3月は前月から0.02ポイント増の8.03%にとどまったものの、緩やかな減少傾向が続くFirefox(7.95%、-0.22)を上回って初めて3位に上昇した。1位はGoogle Chrome(67.14%、+0.67)、2位はApple Safari(10.11%、-0.16)。レガシーEdgeと新Edgeの合計では2020年12月にFirefoxを超えている。

昨年10月分で更新停止が発表されたNetMarketshareのデータでは、昨年3月に新旧Edgeの合計がFirefoxを上回っていた。NetMarketshareは昨年10月以降もデータを更新しており、11月以降はEdgeのシェアが10%を超え、3月分では11.56%(+0.12)となり、Firefox(6.3%、-0.21)の倍近いシェアを獲得している。

なお、NetMarketshareのデスクトップブラウザーシェアデータでは特にSafariのシェアが少なく、1位から5位はChrome・Edge・Firefox・Internet Explorer・Safariの順になっている。StatCounterでは2019年9月以降にSafariのシェアが大きく増加しており、iPadOS 13のUser Agent文字列変更によりMacとiPadの区別が困難になった時期と重なるが、関係は不明だ。
15248677 story
iOS

成人向けWebサイトへのアクセスを制限したiOSで「Asian」を含む語句が検索できない問題、修正へ 26

ストーリー by headless
成人 部門より
iOSには成人向けWebサイトへのアクセスを制限すると「Asian」を含む語句がGoogle検索できなくなる問題があるのだが、iOS 14.5ベータでは修正されているそうだ(Mashableの記事The Vergeの記事)。

この問題はiOS 12以降のペアレンタルコントロール機能で「成人向けWebサイトを制限」を選択し、Safariのアドレスバーにキーワードを入力して検索する場合に発生するものだ。「Asian」を含む語句のすべてがブロックされるわけではないが、成人向けとは関係なさそうな「Asian food」といった語句もブロックされ、制限により「google.com」のこのページを閲覧できないといった旨のメッセージが表示される。

このような現象は1年以上前に話題になったものの修正されていなかったが、最近米国ではアジア系の人々に対する憎悪犯罪が増加しており、「Stop Asian Hate」といった語句もブロックされることで再び注目されることになった。google.comの検索ページを開いてから検索する場合はブロックされず、GoogleはiOS側の処理の問題であり、Google検索の問題ではないと説明している。

MashableがiOS 14.5ベータで確認したところによれば、「Stop Asian Hate」だけでなく、「Asian」のみの検索や「Asian food」「Asian actors」「Asian art」といった語句の検索もブロックされなくなっているという。なお、この問題はGoogleだけでなくDuckDuckGoでも発生していたが、DuckDuckGoでの問題が解消されているかどうかは確認されていない。また、「teen」を含む語句も同様にブロック対象となっていたが、こちらが変更されているかどうかも未確認だ。

このほか、iOS 14.5ベータでは英語環境のSiriで音声(女声または男声)のデフォルト設定がなくなり、セットアップ時に選択するようになっているそうだ。
15220915 story
お金

国税庁、Mac版のSafari 14.0.3でe-Taxが利用できないトラブルがあると発表 25

ストーリー by nagazou
とりあえずはほかのブラウザで 部門より

国税庁は2日、2月1日にリリースされたMac用の「Safari 14.0.3」で、e-Taxの一部機能が利用できなくなるトラブルが発生していると発表した。作業途中で「処理中です。しばらくお待ちください」と表示され、そのままの状態になってしまうそうだ。国税庁はシステム修正後に公式サイト上で告知するとしている。なお今年の確定申告の申告期限・納付期限は、緊急事態宣言の影響を配慮して4月15日まで延長されている(国税庁窓の杜申告・納付期限を令和3年4月15日(木)まで延長します[PDF])。

現在は下記の機能が利用できないとしている

  • マイナンバーカードログイン
  • 電子署名の付与が必要な手続き
  • 電子証明書の登録・更新
  • イメージデータの添付
15151101 story
Firefox

Firefox 85リリース、メジャーブラウザーの大半でFlashサポートが削除される 8

ストーリー by nagazou
Flashレス 部門より
headless 曰く、

Mozillaは26日、Firefox 85.0をリリースチャンネルで提供開始した(リリースノート)。

本リリースではFlash Playerのサポート機能が削除され、アドオンマネージャーの「プラグイン」のリストにも表示されなくなる。Chromiumではバージョン88でFlash Playerのサポートが削除されており、Google Chromeや新Microsoft Edgeを含むChromium系ブラウザーでは今月リリースされたバージョンでChromium 88に移行している。Appleは昨年Safari 14でFlash Playerのサポートを削除しているため、メジャーブラウザー最新版でFlash Playerのサポート機能が削除されていないのはInternet Explorer 11とレガシーMicrosoft Edgeのみとなる。

Adobeは12日からFlashコンテンツのブロックを開始しており、Flash Playerがサポートされる環境ではFlashコンテンツの代わりにFlashサポート終了に関する情報ページへのリンクが表示されるようになっている。Chromium 88ベースのブラウザーではFlashサポート終了のメッセージとともにFlashコンテンツのプレースホルダーが表示されるが、Firefox 85では単なる空白となるため状況がわかりにくい。

このほか、Firefox 85ではsupercookiesに対するユーザー追跡の防止機能や、ブックマークの操作性改善、Firefox Lockwise(ログインとパスワード)に保存されたログイン情報の一括削除機能が追加されている。

15056958 story
マイクロソフト

新Microsoft Edgeのユーザー数は6億人? 25

ストーリー by nagazou
いつの間に 部門より
headless 曰く、

Microsoftによれば、新Microsoft Edgeのユーザー数は既に6億人に到達しているそうだ(Windows Centralの記事Microsoftの求人記事)。

この数字はインドでのプリンシパルソフトウェアエンジニア求人記事に記載されているもので、ユーザー数が具体的に何を示すのかは書かれていない。StatCounterの2020年12月分デスクトップブラウザーシェアデータによれば、新Microsoft Edgeのシェアは7.43%(レガシーEdgeは0.57%)で、Chrome・Safari・Firefoxに次ぐ第4位。一方、Net Applicationsでは昨年3月にMicrosoft EdgeがFirefoxを上回り、以降はChromeに次ぐシェア第2位となっている。12月分データでは11.03%のシェアを獲得している。こちらはChromiumベースの新Microsoft EdgeとレガシーEdgeを区別していないが、ユーザー数としては1億人~2億人程度に相当すると思われる。

AdDuplexの12月分データによれば、新Microsoft EdgeがプリインストールされるWindows 10 バージョン20H2のシェアは13.6%となっており、これだけでも1億人を超える。Windows 10 バージョン1803~2004やWindows 7/8.1には自動更新で新Microsoft Edgeが提供(実際に見たことはないが)されており、6億人というのはインストールベースの数字かもしれない。

なお、MicrosoftではレガシーEdgeのサポートを今年3月で終了する計画を昨年8月に発表したが、発表記事では新Microsoft Edgeにアップグレードしたユーザーの数は数百万人と説明していた。レガシーEdgeサポート終了に向けて、新Microsoft Edgeのロールアウトは今後加速するとみられる。

15000400 story
Chrome

Chrome 88でrel="noopener"が既定値に。FirefoxやSafariに追随 6

ストーリー by nagazou
既定値変更 部門より
窓の杜によると、Google Chrome 88以降のバージョンでは「target=_blank」で記載されているリンクに関しては、自動的に「rel=noopener」を付与する形式へ変更されるそうだ。以前からtarget=_blankには脆弱性があることが指摘されており、その対策のためであるとのこと。同様の仕様はSafariやFirefoxでも取られており、今回Chromeでも同様の形に足並みを揃えたとしている(窓の杜Web担当者Forum)。
14984686 story
バグ

中国でハッキング大会が開催。主要OSやブラウザ、仮想環境で脆弱性が見つかる 70

ストーリー by nagazou
恐るべし 部門より
中国成都市で今月の7日と8日の二日間にわたってハッキングコンテスト「天府杯 2020(Tianfu Cup 2020)」が開催された。このコンテストでは34の国際チームが参加し、数百万ドルの賞金をかけてテクニックを競い合ったという。ターゲットにされた16の製品のうち、下の11の製品がこれまでにないエクスプロイトによって攻略されたとしている(四川オンラインTianfu Cup公式TwitterZDNet窓の杜)。
  • Google Chrome
  • Safari
  • Firefox
  • Adobe PDF Reader
  • Docker CE
  • VMware EXSi
  • Qemu
  • CentOS 8
  • iPhone 11 Pro(iOS 14)
  • Galaxy S20
  • Windows 10 バージョン 2004
  • TP-Link製のルーター
  • ASUS製のルーター

優勝したのは、中国のテクノロジー大手である奇虎360(Qihoo 360 Technology)所属の「360 ESG Vulnerability Research Institute」チーム。このチームは賞金総額121万ドル(約1億2500万円)のうち、74億4500ドル(約7700万円)を獲得することに成功したそうだ。審判チーム代表の鄭文濱氏は、iPhone 11 Pro(iOS 14)やGoogle Chrome、Docker CEなどの複数のプロジェクトで、世界初のブレークスルーを達成したことは注目すべきことだと話している。

あるAnonymous Coward 曰く、

https://japan.zdnet.com/article/35162119/
https://forest.watch.impress.co.jp/docs/news/1288055.html

多彩な対象にハックを成功させていて、今や普通にIT先進国ですね。

14968299 story
Mozilla

Mozilla、米政府がGoogleを訴えたアンチトラスト訴訟の巻き添えになることを懸念 38

ストーリー by nagazou
そういうこともあるか 部門より
headless 曰く、

米政府と11の州が提起したGoogleに対するアンチトラスト訴訟について、競争を促進する企業や団体が巻き添えとなって競争が阻害される結果になることをMozillaが懸念している(The Mozilla Blogの記事)。

MozillaはFirefoxの開発について、競争と選択によってインターネットやオンラインの健全性を実現するためだと主張している。しかし訴状(PDF)ではGoogleによる検索市場独占の例として、AppleとMozillaがそれぞれSafariとFirefoxの検索による収入の配分に関する合意をGoogleと交わしていることが挙げられている。

Mozillaのように巨大企業ではない独立企業・団体は革新および破壊とともに、(Google検索のような)業界一の機能やサービスを提供することで成功しているのだという。そのため、法的手続きが意図せずMozillaのような革新家に害を与えるようなことがあれば、その害はシステム全体におよび、消費者も利益を得られない。

Mozillaの誕生は1990年代に米政府がMicrosoftを訴えたアンチトラスト訴訟と強く結びついており、このような複雑な問題を一夜にして解決できるような策が存在しないことを身をもって体験しているとのこと。そのため、問題の解決は容易ではないが、消費者に利益をもたらす競争と選択の推進を可能にし、エコシステム全体に配慮した救済策が必要だと述べている。

14966365 story
Google

グーグルを米司法省が独禁法違反でワシントン連邦地裁提訴 90年代MS訴訟級とも 49

ストーリー by nagazou
長い戦いの始まりです 部門より
米司法省と11の州の司法長官が20日、Googleを反トラスト法(独占禁止法)違反の疑いがあるとして提訴した(米司法省日経新聞毎日新聞読売新聞Engadget)。

司法省は1年にわたる調査の結果、今回の判断を下したという。司法省がGoogleを反競争的だとする項目は以下の通り
  • 競合する検索サービスのプレインストールを禁止する契約を強要していること(おそらくはこのことと思われる
  • モバイルデバイスの主要な場所に検索アプリケーションをプレインストールし、削除できないようにしている
  • Appleと長期契約を結び、Safariブラウザやその他の関連検索ツールのデフォルト検索エンジンに設定させている(過去記事
  • 独占による収益を活用し、各種デバイス、Webブラウザー、およびその他の検索アクセスポイントなどで検索エンジンを優先的に利用されるように権利を購入し、独占の継続をおこないつつ自己を強化するエコシステムを構築している

これらの反競争的慣行は、競争と消費者に害を及ぼすだけでなく、新たな企業が参入する余地を無くすとしている。こうしたIT大手に対する独禁訴訟は、1998年の米Microsoft提訴以来。約20年ぶりの大型訴訟ということになる。

14434672 story
インターネットエクスプローラ

MDN調べ、Web開発者にとってブラウザー互換性最大の難関は現在もIE 72

ストーリー by headless
難関 部門より
MDNがWeb開発者を対象に実施したブラウザーの互換性に関する調査報告書「MDN Browser Compatibility Report」によると、問題を引き起こすブラウザー/プラットフォームとしてInternet Explorerを挙げる回答が70%あったそうだ(報告書: PDFThe Registerの記事)。

調査は2月と3月に実施されたもので、3,236人が回答。問題を引き起こすブラウザー/プラットフォームに関する設問はリストから最大3つまで選択する形式だ。2位と3位はSafariのモバイル版(50%)とデスクトップ版(46%)が占め、4位のデスクトップ版Edge(21%)以下は10%前後になっている。問題を引き起こすレイアウト/スタイルの1位と2位もInternet Explorerで問題が発生しやすいFlexbox(39%)とGrid layout(35%)だったという。

また、自由回答形式でブラウザーの互換性について最大の問題点を尋ねる設問でもInternet Explorerが1位(24%)となり、レイアウト/スタイル(20%)、Safari(17%)が続いている。この設問には2,000件以上の回答があり、手作業で仕分けを行った結果ボットによるものとみなされた回答や解釈不可能な回答を除外した1,429件の回答に基づくものとのことだ。
14399601 story
YouTube

裏技だったiOS14のピクチャーインピクチャーモード、YouTubeでは課金者以外は使えなくなる 50

ストーリー by nagazou
テックジャイアンに逆らってはならない 部門より
YouTubeのバックグラウンド再生できるが無料でできるとして、人気のあったiOS 14用の裏技が利用できなくなったそうだ(MacRumorsEngadget)。

AndroidやiPhoneの公式YouTubeアプリでは、有料プレミアム会員向けの機能として、YouTubeの動画を再生しながら、アプリなどのほかの操作を行えるバックグラウンド再生という機能が利用できる。しかしiOS 14ではYouTube Premiumに加入していない場合でも、Safariに備えられたピクチャ・イン・ピクチャを利用すれば、同様のバックグラウンド再生が利用できており、裏技的なものとして紹介されることが多かったようだ(Engadgetその2)。

しかし、MacRumorsによると、現地時間の17日あたりからこの裏技が使えなくなったらしい。全画面モードのときに[Picture in Picture]ボタンをタップすると、1秒間ほど動画表示されたあと、すぐにWebサイトに戻されてしまうという。Engadgetによると、YouTubeプレミアム会員がログインした状態では、PIP操作ができるようになっていたのが確認されたそうで、裏技潰しの仕様変更であった模様。

あるAnonymous Coward 曰く、

またgoogleの嫌がらせ

情報元へのリンク

14373997 story
iOS

iOS 14で追加された既定の電子メールアプリやWebブラウザーの変更機能、デバイスを再起動すると設定がリセットされるバグ 22

ストーリー by headless
忘却 部門より
iOS 14では既定の電子メールアプリやWebブラウザーを変更可能になっているが、最初の一般リリースバージョンではデバイスの再起動後に設定がリセットされてしまうバグがあるそうだ(9to5Macの記事The Vergeの記事)。

この機能を使用するにはサードパーティー製アプリ側の対応が必要になり、対応アプリは「設定」アプリから既定に設定できる。これにより、Webリンクやメールリンク(mailto:)を選択したときに起動する既定のアプリが変更される。The Vergeの調べによると電子メールアプリではHEY EmailMicrosoft OutlookSparkが既に対応しており、WebブラウザーではDuckDuckGo Privacy BrowserFirefoxGoogle ChromeMicrosoft Edgeが既に対応しているとのこと。GoogleはGmailについて「coming soon」としている。

しかし、何らかの理由でデバイスを再起動すると、既定の電子メールアプリとWebブラウザーがそれぞれ標準の「メール」と「Safari」に戻ってしまうという。また、既定の電子メールアプリのみを変更した場合、Safariでメールリンクをタップしたときに起動するのは既定に設定したアプリではなく、標準の「メール」が起動するとのこと。こちらはSafari側でメールリンクを開くアプリが決め打ちになっている可能性もあるが、いずれにしてもApple側の対応を待つしかないようだ。
typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...