アカウント名:
パスワード:
WebAssemblyなんてやれることはJavaScriptとほとんど変わらないから。
そんなものよりPWAを禁止しろ。
ブラウザを閉じてもバックグラウンドで動かせるとかいう邪悪な用途しか存在しないService Worker、勝手にデスクトップに居座ってくるa2hs(今はまだDesktop PWAs installable from the omniboxで無効化できるが、いつ無効化できなくなるかわかったものではない)、ブラウザを閉じても宣伝を送りつけてくるWebPUSH通知。
どれもWebには必要ない。
攻撃ルーチンは、ユーザーが攻撃者の制御するウェブサイトにアクセスしたときにService Workerを登録し、次に ServiceWorker APIのSyncManagerインターフェースのバックグラウンド同期機能を悪用して、ユーザーがそのウェブサイトから離れた後もService Workerがアクティブな状態を維持するというものだ。
この攻撃はサイレントであり、ユーザーとのやり取りを一切必要としない。ブラウザはService Workerを登録する前に、ユーザーに警告を発したり、許可を求めたりしないからだ。
https://japan.zdnet.com/article/35133271/ [zdnet.com]
これが、今の Google Chrome の 仕様
最近のトレンド追ってない人にとっては「そんなの嘘に決まってる」と感じるかもしれないが、警告メッセージ無しで任意のWebサイト(一応https対応は必要だが)がService Workerをインストールでき、Webブラウザを閉じた状態でもトリガーを使ってバ
AdblockでServiceWorker っぽい名前のやつを排除してる。名前でしかないから完全じゃないが、一応効果はある。
*serviceworker*.min.js*serviceworker*.js*service_worker*.js*service-worker*.js*service_worker*.min.js*service-worker*.min.js*sw.min.js*serviceworkerhandler*.ashx*sw.js*push7-worker*.js*pushworker*.js*sw.cms*calimero*.js*OneSignalSDKWorker*.js.php*service_worker_binary*.js*reg_webpush*.js*pc_sw*.js*ngsw-worker.js*ngsw_worker.js*ua-push-worker.js*OneSignalSDKWorker.js*sw-loader.js
Chromeを使うなら、必ずServiceWorkersを無効化しよう [qiita.com] の方法で無効化できるのかな?
記事の最後の方に> 数日たって開発者ツールを開いてみたら、削除したはずのServiceWorkers共がしれっと再侵入していた。> いったいどういうこと?> chrome://flags/の設定、本当に効いてるの???とあるから不安なのだが...
こういう挙動があるからChromeはあまり使いたくない
一応、ツイッターみたいなサイトで通知をWebPushに出来ると、権限山盛りなアプリ入れるよりはマシな状況が期待できる可能性はある。
サービス側からユーザへのPUSHは広告業界の念願なんだ。だから絶対やめないよ。というか、このために莫大な資金を突っ込んでChromeを普及させたんでしょう?
そのうち一度も訪れたことがないサイトの通知でもバンバン入ってくるようになるんじゃない。そうしたらもうWebも電子メールと同じだよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
WebAssemblyよりPWAを禁止しろ (スコア:3, 興味深い)
WebAssemblyなんてやれることはJavaScriptとほとんど変わらないから。
そんなものよりPWAを禁止しろ。
ブラウザを閉じてもバックグラウンドで動かせるとかいう邪悪な用途しか存在しないService Worker、
勝手にデスクトップに居座ってくるa2hs(今はまだDesktop PWAs installable from the omniboxで無効化できるが、いつ無効化できなくなるかわかったものではない)、
ブラウザを閉じても宣伝を送りつけてくるWebPUSH通知。
どれもWebには必要ない。
Service Worker はサイレント(警告無し)でインストール可能 (スコア:0)
攻撃ルーチンは、ユーザーが攻撃者の制御するウェブサイトにアクセスしたときにService Workerを登録し、次に ServiceWorker APIのSyncManagerインターフェースのバックグラウンド同期機能を悪用して、ユーザーがそのウェブサイトから離れた後もService Workerがアクティブな状態を維持するというものだ。
この攻撃はサイレントであり、ユーザーとのやり取りを一切必要としない。ブラウザはService Workerを登録する前に、ユーザーに警告を発したり、許可を求めたりしないからだ。
https://japan.zdnet.com/article/35133271/ [zdnet.com]
これが、今の Google Chrome の 仕様
最近のトレンド追ってない人にとっては「そんなの嘘に決まってる」と感じるかもしれないが、警告メッセージ無しで任意のWebサイト(一応https対応は必要だが)がService Workerをインストールでき、Webブラウザを閉じた状態でもトリガーを使ってバ
Re:Service Worker はサイレント(警告無し)でインストール可能 (スコア:1)
AdblockでServiceWorker っぽい名前のやつを排除してる。
名前でしかないから完全じゃないが、一応効果はある。
*serviceworker*.min.js
*serviceworker*.js
*service_worker*.js
*service-worker*.js
*service_worker*.min.js
*service-worker*.min.js
*sw.min.js
*serviceworkerhandler*.ashx
*sw.js
*push7-worker*.js
*pushworker*.js
*sw.cms
*calimero*.js
*OneSignalSDKWorker*.js.php
*service_worker_binary*.js
*reg_webpush*.js
*pc_sw*.js
*ngsw-worker.js
*ngsw_worker.js
*ua-push-worker.js
*OneSignalSDKWorker.js
*sw-loader.js
chrome://flags/ でいけるか? (スコア:1)
Chromeを使うなら、必ずServiceWorkersを無効化しよう [qiita.com] の方法で無効化できるのかな?
記事の最後の方に
> 数日たって開発者ツールを開いてみたら、削除したはずのServiceWorkers共がしれっと再侵入していた。
> いったいどういうこと?
> chrome://flags/の設定、本当に効いてるの???
とあるから不安なのだが...
Re: (スコア:0)
こういう挙動があるからChromeはあまり使いたくない
Re: (スコア:0)
一応、ツイッターみたいなサイトで通知をWebPushに出来ると、
権限山盛りなアプリ入れるよりはマシな状況が期待できる可能性はある。
Re: (スコア:0)
サービス側からユーザへのPUSHは広告業界の念願なんだ。だから絶対やめないよ。というか、このために莫大な資金を突っ込んでChromeを普及させたんでしょう?
そのうち一度も訪れたことがないサイトの通知でもバンバン入ってくるようになるんじゃない。そうしたらもうWebも電子メールと同じだよ。