Google、信頼できるChrome拡張にするための対策を発表 51
ストーリー by headless
信頼 部門より
信頼 部門より
Googleは1日、Chrome拡張を信頼にあたるものにするためのパーミッション規定変更やChromeウェブストアのレビュープロセス変更などの計画を発表した(Chromium Blogの記事、
SlashGearの記事、
VentureBeatの記事、
Android Policeの記事)。
拡張機能がサイトデータの読み取りや変更を可能にするホストパーミッションはさまざまな機能を実現できる一方、開発者による悪用や誤用の原因となることもある。そのため、Chrome 70以降ではユーザーがサイト別のホストアクセス許可や、拡張機能をクリックしたときにのみホストアクセスを許可するといった設定が可能になる。
Chromeウェブストアのレビューでは強力なパーミッションを要求する拡張機能に対し、コンプライアンスに関するレビューを追加する。リモートでホストされるコードを利用する拡張機能に対しても厳格なチェックを行うという。
また、難読化コードを使用する拡張機能は1日から禁止されている。今後90日間は難読化コードを使用する拡張機能の更新を認めるが、来年1月初めまでに修正されない場合はChromeウェブストアから削除するとのこと。ただし、コードサイズ縮小を目的としたスペース削除などの処理は認められる。
このほか、来年には開発者アカウントでの二要素認証が義務化され、セキュリティやプライバシー、パフォーマンスの強化を目指したManifest v3も導入されるとのことだ。
拡張機能がサイトデータの読み取りや変更を可能にするホストパーミッションはさまざまな機能を実現できる一方、開発者による悪用や誤用の原因となることもある。そのため、Chrome 70以降ではユーザーがサイト別のホストアクセス許可や、拡張機能をクリックしたときにのみホストアクセスを許可するといった設定が可能になる。
Chromeウェブストアのレビューでは強力なパーミッションを要求する拡張機能に対し、コンプライアンスに関するレビューを追加する。リモートでホストされるコードを利用する拡張機能に対しても厳格なチェックを行うという。
また、難読化コードを使用する拡張機能は1日から禁止されている。今後90日間は難読化コードを使用する拡張機能の更新を認めるが、来年1月初めまでに修正されない場合はChromeウェブストアから削除するとのこと。ただし、コードサイズ縮小を目的としたスペース削除などの処理は認められる。
このほか、来年には開発者アカウントでの二要素認証が義務化され、セキュリティやプライバシー、パフォーマンスの強化を目指したManifest v3も導入されるとのことだ。
まずやるべきは (スコア:1)
信頼できるGoogleにするため対策
でしょ
Re: (スコア:0)
じゃあChrome使わなければいいだけ
でしょ
Re: (スコア:0)
脊髄反射は恥ずかしいからやめようよ。
Chrome使ってもらうための施策なら、Googleが信用されないとダメだよねってこと。
Googleの中国向け検閲入り検索アプリ、反対派従業員が社内で共有したメモで詳細がさらに明らかになる
https://it.srad.jp/story/18/09/27/0519258/ [it.srad.jp]
Googleの中国向け検索アプリ、プロトタイプは検索内容と携帯電話番号を結び付ける仕組みを搭載
https://it.srad.jp/story/18/09/16/2047213/ [it.srad.jp]
Re: (スコア:0)
国ごとの事情に配慮して、その国の法律や政府の指示に従っている、信用できる企業じゃん。
何か問題があるの?
Re: (スコア:0)
Chrome69で使うのやめました。
次のバージョンで反省しますって言われてもしばらく信用できない。
しばらく、がいつまでなのかはわからないけど。
Re: (スコア:0)
同じくFirefoxに回帰した
Flash関係がChromeと比べて明らかに重いけど、Flashはそのうち撲滅されるからいいやと思った。
Re: (スコア:0)
それいったら、Microsoftも同じ。
アプデでやらかしまくってるのに。
Re: (スコア:0)
マイクロソフトの場合はアップデートでの個人情報関連のやらかしは少ないと思うけど
Re: (スコア:0)
Googleも個人情報関連のやらかしなんてほとんど話題になったことないぞ
規約の疑惑はたびたびあるけど
Re: (スコア:0)
位置情報関連で盛大にやらかしただろ
Re: (スコア:0)
少なくはないだろ
Windows10以降、たびたび不審な通信うんぬんの報道あるやん
あれとGoogleが地図データを収集してたのとどれほどの差があるの?
Re: (スコア:0)
意図してやってるのか意図せずそうなったのかは全然違うぞ。
Re: (スコア:0)
正直、意図せずそうなる方が危険度高いんやけど
意図してそうしてる場合は、あまりに酷いことやると自分に跳ね返ってくるから
在る一定の自重が働く
意図せずは本当にどうなるか分からん
中韓のアプリが不審なのはそういうところだよ
経営側がする気無くても、末端の人間がやらかすから
Re: (スコア:0)
そんなことを気にするようなGoogleなら邪悪と呼ばれたりしない。
Re: (スコア:0)
Googleにとってやばいってのはお前らに邪悪と呼ばれることではないんやで?
簡単に言えば、政府機関から本格的に潰されること
例えば、みだりに犯罪組織に個人情報を売りまくってそれが実際に悪用されれば
警察当局に是正を指示され、従わなければ処罰を食らう
法人としてやってる以上、そんなやばい橋は渡らない
が、末端の社員の独断でやると、そういうブレーキが利かない
Re: (スコア:0)
現にEUから懲罰金払うよう言われてる。
Re: (スコア:0)
Googleの存在全否定だな
Re: (スコア:0)
分野・用途別に、ぐぐる信頼・ぐぐる全否定を混成したっていいんだぜ
Re: (スコア:0)
ぐぐたす終了の発表あったね。個人情報漏洩を半年放置していたらしい。
地図のAPIも有償化および改悪みたいなことしてるし、グー糞だわマジ!
なんかしらんけど (スコア:0)
カスペルスキーをアンインストールさせようとするのは止めろ
Re: (スコア:0)
Google(Chrome)はカスペに限らずMS製以外はどいつもこいつも不具合起こすから全部避けてくれってスタンスじゃなかったか。
二要素認証義務化 (スコア:0)
ということは、スマホを持ってないとか、PCのみとかガラケーの人はgoogleにログイン不可能になるのか。
まさか、トークンやドングルを配布するとは思えないし。
Re:二要素認証義務化 (スコア:1)
他人にプログラムを配布する人はそれなりのセキュリティ要件があるべきなのは当然だと思うが。
すでに、アカウント乗っ取られて悪意のある拡張を配布した、なんてこともあったはず。
てか、開発者関係なく今時2段階認証を使ってない人はセキュリティ意識低すぎでしょ。
Re: (スコア:0)
てか、開発者関係なく今時2段階認証を使ってない人はセキュリティ意識低すぎでしょ。
理想論は結構なんだけど、二段階認証を強制するということは、いろんな社会的な理由でスマホを持てないor常に持ち歩けない人や、障碍でスマホ使えない人をgoogleは排除するつもりなのかってことですよ。
排除するというなら、googleも民間企業である以上、尊重するしかないけど、障碍者差別企業として指弾されるリスクも負うべきですね。
Googleがトークンなりドングル配るなら話は別だけど。
Re: (スコア:0)
これってストアに出す時はこうなりますよって話だと思ってた.
今後はストアに出さない野良の拡張をインストールする時にも開発者アカウントが必要になるってことなのかな?
Re: (スコア:0)
大元(#3493664)が主張してるのは、たぶん開発者だけじゃなく、一般の(開発とかしない)ユーザーも2段階認証を強制しろということではないのか?
Re: (スコア:0)
>理想論は結構なんだけど、二段階認証を強制するということは、いろんな社会的な理由でスマホを持てないor常に持ち歩けない人
開発サイドからは排除されて仕方ない、むしろそんな理由でスマホ持てない層に
開発なんてして欲しくないでしょただのリスクだし。
>障碍でスマホ使えない人
障害でスマホ使えない人がメイン開発者として振る舞うのが一般的かどうかはしらないけど
こっちはしかるべき支援団体とかにお願いしてください。そこまで面倒見る必要もない。
Re: (スコア:0)
開発サイドからは排除されて仕方ない、むしろそんな理由でスマホ持てない層に
開発なんてして欲しくないでしょただのリスクだし。
開発サイドだけじゃなく、一般の利用者もいずれそうなるのでは?
今やスマホはあるのが前提の社会になりつつあるし、生活保護ですら認められてるんだから、余程特殊な事情のある職業(例えば自衛隊とか)ではい限り、普通の企業で従業員や家族にスマホ使わせない(自社のヤバい話をネットに流させない目的も多い)とか、スマホも持てないような給料しか払えないブラック会社は、御取り潰しして強制退場、家族が
Re: (スコア:0)
元コメントはさらにその元になる「開発者関係なく今時2段階認証を使ってない人はセキュリティ意識低すぎでしょ」に対してのコメントに見えるけど。
つまり、開発どうのこうのはこの際関係ない話になってるの気付いてる?
Re: (スコア:0)
てか、開発者関係なく今時2段階認証を使ってない人はセキュリティ意識低すぎでしょ。
セキュリティに関してはこういう何でもやっとけばいいって考え方はちょっともやもやする。
Re: (スコア:0)
すでに二要素認証は「何でもやっとけば」レベルではなく、「十分に強力なパスワードを用いる」レベルになりつつありますよ。
Re: (スコア:0)
デスクトップのTOTPはある。
セキュリティレベルは若干下るが、パスワードだけだと、単純流出でアウトだからだいぶ違う
M-FalconSky (暑いか寒い)
Re: (スコア:0)
Chromebook なら Android の TOTP ソフトも動く
Re: (スコア:0)
SMS認証とかあるんですが
ガラケーでもSMSの利用は可能です
少なくとも日本だとSIM swappinは無視できる
Re: (スコア:0)
そもそもGoogleの(に限らず世界標準の)SMS認証は日本では使えなかったような
Re: (スコア:0)
ワンタイムキーを日本ローカルなsmsで送信するだけだろ
Re: (スコア:0)
そういう人にYubikeyですわ
https://sites.google.com/site/oauthgoog/gnubby [google.com]
スマホとかPCだけが二要素認証じゃないよ
Re: (スコア:0)
これ、日本国内の一般人がアクセスできるところで売ってるの?
Re: (スコア:0)
Universal 2nd Factorでググったら使ってみた記事 [impress.co.jp]が出てきた。
いまサイト見ると$20になってるけど、買えるんじゃない?
Re: (スコア:0)
詳しく見ると日本国内はソフト技研という所が代理店だけと個人はダメっぽい。あとは、平行輸入だけど一般人というより逸般人向けかな。
まあ、それなら大元の障碍者対応はインフラとして必要なら行政側でソフト技研から買って必要な人に配る手もあるか。
Re: (スコア:0)
そういうのは法人/官公庁で請求書での後払いしか出来んなどで海外購入が制限された団体向けの代理…
というかYubico使った何らかのソリューション売ってるからついでにキーも売ってるだけとかそういうのだろコレ
個人なら公式サイト [yubico.com]で買えばいい。
日本への発送も5ドルで出てくる。
Re: (スコア:0)
FIDO U2F規格に対応していれば良いので日本国内で買えます。
ケンジントンロックのケンジントンが出してるVeriMark指紋認証キー [nanayojapan.com]とか。
Re: (スコア:0)
元コメ読んでますか?
ここもリンク先を見ると法人じゃないと買えません。(個人向けの所はデッドリンク)
取引先になってる家電量販店でも認証キーの通常の個人向け販売も実質ないようだし。(あっても売り切れ入荷未定のまま放置)
やはり、スマホ普及率高い日本ではスマホにしちゃうだろうし、個人の需要はないのかな。
とりあえず日本国内で非アレゲな人が買えるルートってなさそうなので、どうしても必要な状況なら、行政なり支援団体なりで取りまとめて法人として買って配るしか。
Re: (スコア:0)
貴方こそ買えないって判断は何処から?
リンクページは商社の商品説明ページですから、個人取引しないのは普通です。
リンクしたケンジントンのは普通にヨドバシとビックカメラとかの大手家電量販店で買えます。
https://www.yodobashi.com/product/100000001003766745/ [yodobashi.com]
https://www.biccamera.com/bc/item/4037071/ [biccamera.com]
もっと安い奴ならAmazonで普通に買えます。
技適
Re: (スコア:0)
無線ないので技適審査いらないとおもう
Googleが信頼できないんですけどー (スコア:0)
超うけるー
つかわなきゃいいんです (スコア:0)
…拡張を。
そこを主戦場にしなくていい
Re: (スコア:0)
つかわなきゃいいんです。Chromeを
拡張機能難読化コードを使用するは禁止 (スコア:0)
難読なコードは良いのですか?
Re: (スコア:0)
素で汚いコード書く人排除になっちゃうから。
#そんな人は拡張機能なんか書けないと思う