パスワードを忘れた? アカウント作成
13737434 story
Chrome

Google、信頼できるChrome拡張にするための対策を発表 51

ストーリー by headless
信頼 部門より
Googleは1日、Chrome拡張を信頼にあたるものにするためのパーミッション規定変更やChromeウェブストアのレビュープロセス変更などの計画を発表した(Chromium Blogの記事SlashGearの記事VentureBeatの記事Android Policeの記事)。

拡張機能がサイトデータの読み取りや変更を可能にするホストパーミッションはさまざまな機能を実現できる一方、開発者による悪用や誤用の原因となることもある。そのため、Chrome 70以降ではユーザーがサイト別のホストアクセス許可や、拡張機能をクリックしたときにのみホストアクセスを許可するといった設定が可能になる。

Chromeウェブストアのレビューでは強力なパーミッションを要求する拡張機能に対し、コンプライアンスに関するレビューを追加する。リモートでホストされるコードを利用する拡張機能に対しても厳格なチェックを行うという。

また、難読化コードを使用する拡張機能は1日から禁止されている。今後90日間は難読化コードを使用する拡張機能の更新を認めるが、来年1月初めまでに修正されない場合はChromeウェブストアから削除するとのこと。ただし、コードサイズ縮小を目的としたスペース削除などの処理は認められる。

このほか、来年には開発者アカウントでの二要素認証が義務化され、セキュリティやプライバシー、パフォーマンスの強化を目指したManifest v3も導入されるとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年10月07日 11時48分 (#3493615)

    信頼できるGoogleにするため対策
    でしょ

    • by Anonymous Coward

      じゃあChrome使わなければいいだけ
      でしょ

      • by Anonymous Coward

        脊髄反射は恥ずかしいからやめようよ。
        Chrome使ってもらうための施策なら、Googleが信用されないとダメだよねってこと。

        Googleの中国向け検閲入り検索アプリ、反対派従業員が社内で共有したメモで詳細がさらに明らかになる
        https://it.srad.jp/story/18/09/27/0519258/ [it.srad.jp]

        Googleの中国向け検索アプリ、プロトタイプは検索内容と携帯電話番号を結び付ける仕組みを搭載
        https://it.srad.jp/story/18/09/16/2047213/ [it.srad.jp]

        • by Anonymous Coward

          国ごとの事情に配慮して、その国の法律や政府の指示に従っている、信用できる企業じゃん。
          何か問題があるの?

      • by Anonymous Coward

        Chrome69で使うのやめました。
        次のバージョンで反省しますって言われてもしばらく信用できない。
        しばらく、がいつまでなのかはわからないけど。

        • by Anonymous Coward

          同じくFirefoxに回帰した
          Flash関係がChromeと比べて明らかに重いけど、Flashはそのうち撲滅されるからいいやと思った。

    • by Anonymous Coward

      それいったら、Microsoftも同じ。
      アプデでやらかしまくってるのに。

      • by Anonymous Coward

        マイクロソフトの場合はアップデートでの個人情報関連のやらかしは少ないと思うけど

        • by Anonymous Coward

          Googleも個人情報関連のやらかしなんてほとんど話題になったことないぞ
          規約の疑惑はたびたびあるけど

          • by Anonymous Coward

            位置情報関連で盛大にやらかしただろ

        • by Anonymous Coward

          少なくはないだろ
          Windows10以降、たびたび不審な通信うんぬんの報道あるやん
          あれとGoogleが地図データを収集してたのとどれほどの差があるの?

      • by Anonymous Coward

        意図してやってるのか意図せずそうなったのかは全然違うぞ。

        • by Anonymous Coward

          正直、意図せずそうなる方が危険度高いんやけど
          意図してそうしてる場合は、あまりに酷いことやると自分に跳ね返ってくるから
          在る一定の自重が働く
          意図せずは本当にどうなるか分からん
          中韓のアプリが不審なのはそういうところだよ
          経営側がする気無くても、末端の人間がやらかすから

          • by Anonymous Coward

            そんなことを気にするようなGoogleなら邪悪と呼ばれたりしない。

            • by Anonymous Coward

              Googleにとってやばいってのはお前らに邪悪と呼ばれることではないんやで?
              簡単に言えば、政府機関から本格的に潰されること
              例えば、みだりに犯罪組織に個人情報を売りまくってそれが実際に悪用されれば
              警察当局に是正を指示され、従わなければ処罰を食らう
              法人としてやってる以上、そんなやばい橋は渡らない
              が、末端の社員の独断でやると、そういうブレーキが利かない

              • by Anonymous Coward

                現にEUから懲罰金払うよう言われてる。

    • by Anonymous Coward

      Googleの存在全否定だな

      • by Anonymous Coward

        分野・用途別に、ぐぐる信頼・ぐぐる全否定を混成したっていいんだぜ

    • by Anonymous Coward

      ぐぐたす終了の発表あったね。個人情報漏洩を半年放置していたらしい。
      地図のAPIも有償化および改悪みたいなことしてるし、グー糞だわマジ!

  • by Anonymous Coward on 2018年10月07日 11時49分 (#3493616)

    カスペルスキーをアンインストールさせようとするのは止めろ

    • by Anonymous Coward

      Google(Chrome)はカスペに限らずMS製以外はどいつもこいつも不具合起こすから全部避けてくれってスタンスじゃなかったか。

  • by Anonymous Coward on 2018年10月07日 13時31分 (#3493646)

    ということは、スマホを持ってないとか、PCのみとかガラケーの人はgoogleにログイン不可能になるのか。
    まさか、トークンやドングルを配布するとは思えないし。

    • by Anonymous Coward on 2018年10月07日 14時13分 (#3493664)

      他人にプログラムを配布する人はそれなりのセキュリティ要件があるべきなのは当然だと思うが。
      すでに、アカウント乗っ取られて悪意のある拡張を配布した、なんてこともあったはず。

      てか、開発者関係なく今時2段階認証を使ってない人はセキュリティ意識低すぎでしょ。

      親コメント
      • by Anonymous Coward

        てか、開発者関係なく今時2段階認証を使ってない人はセキュリティ意識低すぎでしょ。

        理想論は結構なんだけど、二段階認証を強制するということは、いろんな社会的な理由でスマホを持てないor常に持ち歩けない人や、障碍でスマホ使えない人をgoogleは排除するつもりなのかってことですよ。
        排除するというなら、googleも民間企業である以上、尊重するしかないけど、障碍者差別企業として指弾されるリスクも負うべきですね。

        Googleがトークンなりドングル配るなら話は別だけど。

        • by Anonymous Coward

          これってストアに出す時はこうなりますよって話だと思ってた.
          今後はストアに出さない野良の拡張をインストールする時にも開発者アカウントが必要になるってことなのかな?

          • by Anonymous Coward

            大元(#3493664)が主張してるのは、たぶん開発者だけじゃなく、一般の(開発とかしない)ユーザーも2段階認証を強制しろということではないのか?

        • by Anonymous Coward

          >理想論は結構なんだけど、二段階認証を強制するということは、いろんな社会的な理由でスマホを持てないor常に持ち歩けない人

          開発サイドからは排除されて仕方ない、むしろそんな理由でスマホ持てない層に
          開発なんてして欲しくないでしょただのリスクだし。

          >障碍でスマホ使えない人

          障害でスマホ使えない人がメイン開発者として振る舞うのが一般的かどうかはしらないけど
          こっちはしかるべき支援団体とかにお願いしてください。そこまで面倒見る必要もない。

          • by Anonymous Coward

            開発サイドからは排除されて仕方ない、むしろそんな理由でスマホ持てない層に
            開発なんてして欲しくないでしょただのリスクだし。

            開発サイドだけじゃなく、一般の利用者もいずれそうなるのでは?
            今やスマホはあるのが前提の社会になりつつあるし、生活保護ですら認められてるんだから、余程特殊な事情のある職業(例えば自衛隊とか)ではい限り、普通の企業で従業員や家族にスマホ使わせない(自社のヤバい話をネットに流させない目的も多い)とか、スマホも持てないような給料しか払えないブラック会社は、御取り潰しして強制退場、家族が

          • by Anonymous Coward

            元コメントはさらにその元になる「開発者関係なく今時2段階認証を使ってない人はセキュリティ意識低すぎでしょ」に対してのコメントに見えるけど。
            つまり、開発どうのこうのはこの際関係ない話になってるの気付いてる?

      • by Anonymous Coward

        てか、開発者関係なく今時2段階認証を使ってない人はセキュリティ意識低すぎでしょ。

        セキュリティに関してはこういう何でもやっとけばいいって考え方はちょっともやもやする。

        • by Anonymous Coward

          すでに二要素認証は「何でもやっとけば」レベルではなく、「十分に強力なパスワードを用いる」レベルになりつつありますよ。

    • デスクトップのTOTPはある。

      セキュリティレベルは若干下るが、パスワードだけだと、単純流出でアウトだからだいぶ違う

      --
      M-FalconSky (暑いか寒い)
      • by Anonymous Coward

        Chromebook なら Android の TOTP ソフトも動く

    • by Anonymous Coward

      SMS認証とかあるんですが
      ガラケーでもSMSの利用は可能です
      少なくとも日本だとSIM swappinは無視できる

      • by Anonymous Coward

        そもそもGoogleの(に限らず世界標準の)SMS認証は日本では使えなかったような

        • by Anonymous Coward

          ワンタイムキーを日本ローカルなsmsで送信するだけだろ

    • by Anonymous Coward

      そういう人にYubikeyですわ
      https://sites.google.com/site/oauthgoog/gnubby [google.com]

      スマホとかPCだけが二要素認証じゃないよ

      • by Anonymous Coward

        これ、日本国内の一般人がアクセスできるところで売ってるの?

        • by Anonymous Coward

          Universal 2nd Factorでググったら使ってみた記事 [impress.co.jp]が出てきた。

          Amazon.comの該当商品は、10月29日時点で日本国内への発送は行っていない。
          なので、日本への発送もしてくれる「FIDO U2F SECURITY KEY」の直販サイトYUBICO STOREを利用すると良い。
          本体価格は18ドル、送料はエアメールで5ドルとなり、計23ドル。
          円換算すると2500円前後で、さほど高額ではない。
          21日の発表直後に購入し、1週間足らずの27日に手元に届いた。

          いまサイト見ると$20になってるけど、買えるんじゃない?

          • by Anonymous Coward

            詳しく見ると日本国内はソフト技研という所が代理店だけと個人はダメっぽい。あとは、平行輸入だけど一般人というより逸般人向けかな。

            まあ、それなら大元の障碍者対応はインフラとして必要なら行政側でソフト技研から買って必要な人に配る手もあるか。

            • by Anonymous Coward

              そういうのは法人/官公庁で請求書での後払いしか出来んなどで海外購入が制限された団体向けの代理…
              というかYubico使った何らかのソリューション売ってるからついでにキーも売ってるだけとかそういうのだろコレ

              個人なら公式サイト [yubico.com]で買えばいい。
              日本への発送も5ドルで出てくる。

          • by Anonymous Coward

            FIDO U2F規格に対応していれば良いので日本国内で買えます。
            ケンジントンロックのケンジントンが出してるVeriMark指紋認証キー [nanayojapan.com]とか。

            • by Anonymous Coward

              元コメ読んでますか?
              ここもリンク先を見ると法人じゃないと買えません。(個人向けの所はデッドリンク)
              取引先になってる家電量販店でも認証キーの通常の個人向け販売も実質ないようだし。(あっても売り切れ入荷未定のまま放置)

              やはり、スマホ普及率高い日本ではスマホにしちゃうだろうし、個人の需要はないのかな。

              とりあえず日本国内で非アレゲな人が買えるルートってなさそうなので、どうしても必要な状況なら、行政なり支援団体なりで取りまとめて法人として買って配るしか。

              • by Anonymous Coward

                貴方こそ買えないって判断は何処から?
                リンクページは商社の商品説明ページですから、個人取引しないのは普通です。

                リンクしたケンジントンのは普通にヨドバシとビックカメラとかの大手家電量販店で買えます。
                https://www.yodobashi.com/product/100000001003766745/ [yodobashi.com]
                https://www.biccamera.com/bc/item/4037071/ [biccamera.com]

                もっと安い奴ならAmazonで普通に買えます。
                技適

              • by Anonymous Coward

                無線ないので技適審査いらないとおもう

  • by Anonymous Coward on 2018年10月07日 20時25分 (#3493815)

    超うけるー

  • by Anonymous Coward on 2018年10月07日 23時28分 (#3493879)

    …拡張を。
    そこを主戦場にしなくていい

    • by Anonymous Coward

      つかわなきゃいいんです。Chromeを

  • by Anonymous Coward on 2018年10月08日 7時37分 (#3493951)

    難読なコードは良いのですか?

    • by Anonymous Coward

      素で汚いコード書く人排除になっちゃうから。
      #そんな人は拡張機能なんか書けないと思う

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...