パスワードを忘れた? アカウント作成
13470116 story
Chrome

Windows版Chrome、サードパーティソフトウェアによるコードインジェクションをブロックへ 25

ストーリー by headless
計画 部門より
Windows版のGoogle Chromeでサードパーティソフトウェアによるコードインジェクションをブロックする計画が発表された(Chromium Blogの記事VentureBeatの記事9to5Googleの記事The Registerの記事)。

Windows版Chromeではユーザー補助ソフトウェアやアンチウイルスソフトウェアなど、Chromeと一緒に動作するソフトウェアをおよそ3分の2のユーザーが使用しており、中には機能を実現するためにコードをChromeにインジェクトするソフトウェアも存在する。しかし、このようなソフトウェアを使用しているユーザーでは、Chromeのクラッシュが15%多く発生するという。現在ではChrome拡張Native Messagingで同様の機能を実現可能になっており、コードインジェクションをブロックしても問題ないと判断したようだ。

変更は3段階で行われ、2018年4月にはChrome 66でクラッシュの発生したユーザーに対し、Chromeにコードをインジェクトするソフトウェアの存在を通知して更新や削除を促す。7月にはChrome 68でサードパーティソフトウェアによるコードインジェクションのブロックが開始される。ブロックによりChromeの起動が妨げられる場合、インジェクションを有効にしてChromeを再起動する一方、ユーザーにはソフトウェアを削除するように求める。2019年1月のChrome 72ではこのような暫定処置を終了し、コードインジェクションが常にブロックされるようになるとのこと。

なお、Microsoftが署名したコードやユーザー補助ソフトウェア、IMEについてはブロッキング対象から除外される。これらの変更に対応するため、開発者に対してはChrome Betaを使用した早めのテストが推奨されている。ただし、現在のDev ChannelはChrome 64Beta ChannelはChrome 63なので、もう少し先の話のようだ。
  • by Anonymous Coward on 2017年12月03日 14時06分 (#3322540)

    なおEdgeはとっくの昔にコードインジェクション禁止しています。

    ここに返信
  • by Anonymous Coward on 2017年12月03日 13時40分 (#3322528)

    大丈夫なんかな。使ってないのでどういう原理で動いてるのかしらんけど。

    ここに返信
    • by Anonymous Coward

      ChromeはUIAutomationに対応してないので
      最初っから使えません
      Firefoxは対応してるので使えます

      • by Anonymous Coward

        オッ 識者のコメントありがたい

      • by Anonymous Coward

        そこはUIAutomationじゃなくてActive Accessibility(所謂COMのアクセシビリティインターフェース)の方じゃなかったっけ?

        • by Anonymous Coward

          紛らわしいのですが、AppleだけでなくMicrosoftのほうもUI Automationという名称です(というかMicrosoftのほうが先に登場したと思う)。

          そのUI AutomationがActive Accessibilityの後継とされています。 https://msdn.microsoft.com/en-us/library/windows/desktop/dd561918(v=vs... [microsoft.com]

          • by Anonymous Coward

            いや、現状はWindowsはUI AutomationとActive Accessibilityが混在していて、Firefoxが使用しているのは後者だよって話なんだけど。

            用途は同じだけど別のインターフェースだよ、これ。

  • by Anonymous Coward on 2017年12月03日 14時32分 (#3322547)

    アドブロックで対応できない広告消したり、よくアクセスするサイトを見やすくデザイン変更したり・・・
    便利だからChrome拡張作ってやってる。今回のが規制対象外でひと安心。

    ここに返信
    • by Anonymous Coward

      何か勘違いしているような
      Chrome拡張は最初から何の問題もないし、これからも問題ないでしょ

      問題になって悪者扱いされてるのはコードインジェクションだよ?
      やってることはウィルスそのものだよ

      • by Anonymous Coward

        デザイン変更するにはコードインジェクションしないと・・・

        #ヘッダー書き換えでもできるけどちょっと面倒かな?

      • by Anonymous Coward

        ページにスクリプトをインジェクションするのと、
        Chrome自体にコードをインジェクションするのと、
        どちらもインジェクションと言えばインジェクション。
        スクリプトもコードでは有るし、まさかと思うのは仕方ない。
        「Chrome拡張で同様の機能を実現可能」って部分から推察しないと断定できない。
        元コメだって最後に「今回のが規制対象外でひと安心。」って書いてるでしょ?

        あと「やってることはウィルスそのもの」ってのもなんというか。
        まぁ確かにアレな技術では有るけど、目的がAPIフックをフックしてのアンチウィルスやユーザ補助であると思うとそう頭ごなしに否定したくはない。
        実際今回の対応だってMicrosoftのは問題無しとする(根拠はおそらくこの辺 [srad.jp])わけだし。

  • by Anonymous Coward on 2017年12月03日 18時22分 (#3322626)

    かざぐるマウスが使えなくなるのは困るな・・・

    ここに返信
  • by Anonymous Coward on 2017年12月03日 19時32分 (#3322646)

    他は変なことやってるってことか?w

    ここに返信
    • by Anonymous Coward

      アンチウイルスに関して、Microsoft製品以外は有害 [security.srad.jp]と言っていたのでそういうことなのでは。
      Mozillaの開発者も同意見のようなので、ブラウザから閉め出される流れなんでしょう。

      • by Anonymous Coward

        対ブラウザーだとセッション書き換えとかやらかす奴居ますもんね。。

        まあ私はVHD操作でシステムエラーにされてハマってました。
        「OSバグ?!」かと思ったらセキュリティーソフト原因でしたわ。。

        • by Anonymous Coward

          Windows Update失敗させて起動不能にしたりとかね……
          # セットアップファイルが隔離されてたorz

  • by Anonymous Coward on 2017年12月03日 22時00分 (#3322702)

    行儀が悪いウイルス対策ソフト全般が対象でユーザー補助巻き添えかなあ

    ここに返信
    • by Anonymous Coward

      ドライバの署名強制の流れと似てるなぁ。。

    • っていうことなんだろうなぁ。元々が「セキュリティについては全く分からないけど、一定のお金を払ったから
      これで何もかも大丈夫になったということにしてほしい」というオジサンの願望を叶えるものでしかないから。

  • by Anonymous Coward on 2017年12月04日 13時39分 (#3322984)

    そもそもアンチウイルスソフトがあまり一般的ではないが、コードインジェクションをやるソフトの事例はほとんどないのかな?

    ここに返信
typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...