Windows版Chrome、サードパーティソフトウェアによるコードインジェクションをブロックへ 25
ストーリー by headless
計画 部門より
計画 部門より
Windows版のGoogle Chromeでサードパーティソフトウェアによるコードインジェクションをブロックする計画が発表された(Chromium Blogの記事、
VentureBeatの記事、
9to5Googleの記事、
The Registerの記事)。
Windows版Chromeではユーザー補助ソフトウェアやアンチウイルスソフトウェアなど、Chromeと一緒に動作するソフトウェアをおよそ3分の2のユーザーが使用しており、中には機能を実現するためにコードをChromeにインジェクトするソフトウェアも存在する。しかし、このようなソフトウェアを使用しているユーザーでは、Chromeのクラッシュが15%多く発生するという。現在ではChrome拡張やNative Messagingで同様の機能を実現可能になっており、コードインジェクションをブロックしても問題ないと判断したようだ。
変更は3段階で行われ、2018年4月にはChrome 66でクラッシュの発生したユーザーに対し、Chromeにコードをインジェクトするソフトウェアの存在を通知して更新や削除を促す。7月にはChrome 68でサードパーティソフトウェアによるコードインジェクションのブロックが開始される。ブロックによりChromeの起動が妨げられる場合、インジェクションを有効にしてChromeを再起動する一方、ユーザーにはソフトウェアを削除するように求める。2019年1月のChrome 72ではこのような暫定処置を終了し、コードインジェクションが常にブロックされるようになるとのこと。
なお、Microsoftが署名したコードやユーザー補助ソフトウェア、IMEについてはブロッキング対象から除外される。これらの変更に対応するため、開発者に対してはChrome Betaを使用した早めのテストが推奨されている。ただし、現在のDev ChannelはChrome 64、Beta ChannelはChrome 63なので、もう少し先の話のようだ。
Windows版Chromeではユーザー補助ソフトウェアやアンチウイルスソフトウェアなど、Chromeと一緒に動作するソフトウェアをおよそ3分の2のユーザーが使用しており、中には機能を実現するためにコードをChromeにインジェクトするソフトウェアも存在する。しかし、このようなソフトウェアを使用しているユーザーでは、Chromeのクラッシュが15%多く発生するという。現在ではChrome拡張やNative Messagingで同様の機能を実現可能になっており、コードインジェクションをブロックしても問題ないと判断したようだ。
変更は3段階で行われ、2018年4月にはChrome 66でクラッシュの発生したユーザーに対し、Chromeにコードをインジェクトするソフトウェアの存在を通知して更新や削除を促す。7月にはChrome 68でサードパーティソフトウェアによるコードインジェクションのブロックが開始される。ブロックによりChromeの起動が妨げられる場合、インジェクションを有効にしてChromeを再起動する一方、ユーザーにはソフトウェアを削除するように求める。2019年1月のChrome 72ではこのような暫定処置を終了し、コードインジェクションが常にブロックされるようになるとのこと。
なお、Microsoftが署名したコードやユーザー補助ソフトウェア、IMEについてはブロッキング対象から除外される。これらの変更に対応するため、開発者に対してはChrome Betaを使用した早めのテストが推奨されている。ただし、現在のDev ChannelはChrome 64、Beta ChannelはChrome 63なので、もう少し先の話のようだ。
ブーメラン注意 (スコア:1)
なおEdgeはとっくの昔にコードインジェクション禁止しています。
MS製以外の読み上げソフトの類 (スコア:0)
大丈夫なんかな。使ってないのでどういう原理で動いてるのかしらんけど。
Re: (スコア:0)
ChromeはUIAutomationに対応してないので
最初っから使えません
Firefoxは対応してるので使えます
Re: (スコア:0)
オッ 識者のコメントありがたい
Re: (スコア:0)
そこはUIAutomationじゃなくてActive Accessibility(所謂COMのアクセシビリティインターフェース)の方じゃなかったっけ?
Re: (スコア:0)
紛らわしいのですが、AppleだけでなくMicrosoftのほうもUI Automationという名称です(というかMicrosoftのほうが先に登場したと思う)。
そのUI AutomationがActive Accessibilityの後継とされています。 https://msdn.microsoft.com/en-us/library/windows/desktop/dd561918(v=vs... [microsoft.com]
Re: (スコア:0)
いや、現状はWindowsはUI AutomationとActive Accessibilityが混在していて、Firefoxが使用しているのは後者だよって話なんだけど。
用途は同じだけど別のインターフェースだよ、これ。
悪者扱いされてるけど・・・ (スコア:0)
アドブロックで対応できない広告消したり、よくアクセスするサイトを見やすくデザイン変更したり・・・
便利だからChrome拡張作ってやってる。今回のが規制対象外でひと安心。
Re: (スコア:0)
何か勘違いしているような
Chrome拡張は最初から何の問題もないし、これからも問題ないでしょ
問題になって悪者扱いされてるのはコードインジェクションだよ?
やってることはウィルスそのものだよ
Re: (スコア:0)
デザイン変更するにはコードインジェクションしないと・・・
#ヘッダー書き換えでもできるけどちょっと面倒かな?
Re: (スコア:0)
ページにスクリプトをインジェクションするのと、
Chrome自体にコードをインジェクションするのと、
どちらもインジェクションと言えばインジェクション。
スクリプトもコードでは有るし、まさかと思うのは仕方ない。
「Chrome拡張で同様の機能を実現可能」って部分から推察しないと断定できない。
元コメだって最後に「今回のが規制対象外でひと安心。」って書いてるでしょ?
あと「やってることはウィルスそのもの」ってのもなんというか。
まぁ確かにアレな技術では有るけど、目的がAPIフックをフックしてのアンチウィルスやユーザ補助であると思うとそう頭ごなしに否定したくはない。
実際今回の対応だってMicrosoftのは問題無しとする(根拠はおそらくこの辺 [srad.jp])わけだし。
Re: (スコア:0)
AdBlockは固有名詞、アドブロックはそういう類のソフトウェアを指す、とか?
Re: (スコア:0)
> AdBlockをカタカナで書いておきながらChromeはアルファベットで書く統一性のなさ
> そういう人が書いたコードを見てみたい気がする
別にどうでもいい話だが、スマホなどでざっと入力する場合は
わざわざ日本語、英数の入力モード変更せず
全部日本語として入力して変換で英語になったやつは正しきゃそれ使う、
くらいの場合が多いんだけどねぇ
相手の状況や相手が考える必要十分の範囲を無視したキャッチボール能力皆無の方はコードを書かないでほしいね、とは痛切に思う
Re: (スコア:0)
この手の輩に限って「Windowsはファイル名で大文字・小文字を区別できないゴミOSwww」とか騒いでたりするんだよな
Re: (スコア:0)
「くろーむ」は変換できたけど「あどぶろっく」は変換できなかっただけよw
マウスジェスチャが使えなくなる? (スコア:0)
かざぐるマウスが使えなくなるのは困るな・・・
Microsoftのみブロック除外されるって。。 (スコア:0)
他は変なことやってるってことか?w
Re: (スコア:0)
アンチウイルスに関して、Microsoft製品以外は有害 [security.srad.jp]と言っていたのでそういうことなのでは。
Mozillaの開発者も同意見のようなので、ブラウザから閉め出される流れなんでしょう。
Re: (スコア:0)
対ブラウザーだとセッション書き換えとかやらかす奴居ますもんね。。
まあ私はVHD操作でシステムエラーにされてハマってました。
「OSバグ?!」かと思ったらセキュリティーソフト原因でしたわ。。
Re: (スコア:0)
Windows Update失敗させて起動不能にしたりとかね……
# セットアップファイルが隔離されてたorz
ウイルス対策ソフトのブロックがメイン (スコア:0)
行儀が悪いウイルス対策ソフト全般が対象でユーザー補助巻き添えかなあ
Re: (スコア:0)
ドライバの署名強制の流れと似てるなぁ。。
ウィルス対策は斜陽産業 (スコア:0)
っていうことなんだろうなぁ。元々が「セキュリティについては全く分からないけど、一定のお金を払ったから
これで何もかも大丈夫になったということにしてほしい」というオジサンの願望を叶えるものでしかないから。
Mac版は? (スコア:0)
そもそもアンチウイルスソフトがあまり一般的ではないが、コードインジェクションをやるソフトの事例はほとんどないのかな?