Googleのロシア独禁当局と合意により他社製アプリもプリインストール可能に 17
かつてのブラウザ裁判のようだ 部門より
アナウンス:スラドとOSDNは受け入れ先を募集中です。
GoogleがGoogle Chromeへの広告ブロック機能実装を計画しているとWall Street Journalが報じている。
この機能はデフォルトで有効となる予定で、ブロックされるのは「顧客体験を悪化させる」タイプの広告だという。Coalition for Better Ads(より良い広告のための連合)が定めた「Better Ads Standards for Desktop and Mobile Web in North America and Europe」(北米及び欧州におけるデスクトップ・モバイルWebのためのより良い広告基準)が指標となる。
具体的には、ポップアップ、音声付きで自動再生される動画、Prestitial Ads(Webサイトを開くと、カウントダウンと共に全画面でまずは広告が表示されるもの、もしくは、一旦広告ページが表示されるもの)がブロック対象となる。
また、「不快な広告」があるサイトにおいてはそのサイト上の全ての広告をブロックする方式も検討しているという。これによってWebサイト運営者は、サイト上のすべての広告が基準に合致しているかどうかを確認することが求められるという。
形の似た文字をドメイン名に使い、フィッシングサイトなどを正規サイトに偽装する「IDNホモグラフ攻撃」は以前から知られており、Webブラウザー側での対策も行われているが、Google ChromeとMozilla Firefoxの対策を迂回する方法が発見されたそうだ(Xudong Zheng氏のブログ、Wordfenceのブログ、Register、Neowin)。
ASCII外の文字を含む国際化ドメイン名はPunycodeという方式でASCIIに変換して表現される。このようなドメイン名はPunycodeに変換されたことを示すため「xn--」が先頭に付加されるが、ChromeやFirefoxのアドレスバーやリンクのツールチップでは元の文字に逆変換して表示される。
ChromeやFirefoxではホモグラフ攻撃対策の一環として、ドメイン名にラテン文字やキリル文字、ギリシャ文字が混在している場合にPunycodeのまま表示する。しかし、文字種を混在させなければ逆変換表示になることを利用し、キリル文字だけで偽ドメイン名を作れば対策の迂回が可能だ。
キリル文字にはラテン文字と似た字形の文字が多く、フォントによっては全く同じ字形で表示されることもある。PoCとして、Xudong Zheng氏は「https://apple.com/」に見えるドメイン https://www.xn--80ak6aa92e.com/ (https://аррӏе.com/)、Wordfenceは「https://epic.com/」に見えるドメイン https://www.xn--e1awd7f.com/ (https://www.еріс.com/)を公開している。
なお、Internet ExplorerやMicrosoft EdgeではPunycode表記のまま表示される。Safariも同様のようだ。また、Firefoxでは「about:config」で「network.IDN_show_punycode」の値をtrueに変更すれば逆変換を無効にしてPunycode表示に固定することも可能だ。Chromeにはオプションが存在しないが、Chrome 58で対策が行われているとのことだ。
身近な人の偉大さは半減する -- あるアレゲ人