Apple、Safariへ一部Web API実装を拒否。個人が特定できるとして 49
ストーリー by nagazou
プライバシー第一 部門より
プライバシー第一 部門より
Appleがプライバシー保護に問題があるとして、Safariへ一部のWeb APIを実装することを拒否しているという。拒否しているのは次のとおり(GIGAZINE、ZDNet)。
・Web Bluetooth
・Web MIDI API
・Magnetometer API
・Web NFC
・Navigator API: deviceMemory
・NetworkInformation API
・Battery Status API
・Web Bluetooth Scanning
・AmbientLightSensor API
・EME Extension: HDCP Policy Check
・Proximity API
・WebHID API
・Serial API
・WebUSB
・Idle Detection
AppleはこれらのAPIによって、オンライン広告主とデータ分析会社がユーザーや端末を識別して行動をトレースできるようになると主張している。すでにSafariに実装されているAPIに関しても、独自に対策を取ってあるとしている。
なおこれらのAPIのほとんどは、Chromiumベースのブラウザーでのみ実装され、Mozillaのプラットフォームではほとんど実装されていないとのこと。
・Web Bluetooth
・Web MIDI API
・Magnetometer API
・Web NFC
・Navigator API: deviceMemory
・NetworkInformation API
・Battery Status API
・Web Bluetooth Scanning
・AmbientLightSensor API
・EME Extension: HDCP Policy Check
・Proximity API
・WebHID API
・Serial API
・WebUSB
・Idle Detection
AppleはこれらのAPIによって、オンライン広告主とデータ分析会社がユーザーや端末を識別して行動をトレースできるようになると主張している。すでにSafariに実装されているAPIに関しても、独自に対策を取ってあるとしている。
なおこれらのAPIのほとんどは、Chromiumベースのブラウザーでのみ実装され、Mozillaのプラットフォームではほとんど実装されていないとのこと。
アプリプラットフォームが崩壊するのが嫌なんだろ (スコア:0)
PWAでなんでもできてしまうと、アプリストアがいらなくなっちゃう。
Re: (スコア:0)
リンク先では以下が目的とコメントしてるけど。
>デバイスフィンガープリンティングを含めるユーザー追跡を徹底的に制限する
実際ユーザーがブラウザに期待する機能には要らない機能じゃないかな。
Re: (スコア:0)
> ユーザー追跡を徹底的に制限する
でもクリップボードの内容覗けちゃうんだよね。
あっ、ユーザ追跡じゃなくてセキュリティリスクだから徹底的じゃなくtも問題ないのか。
Re: (スコア:0)
のぞけるも何もコピー&ペーストするためのクリップボードの中身取得できなかったら意味ねーだろ
Re: (スコア:0)
Re:アプリプラットフォームが崩壊するのが嫌なんだろ (スコア:1)
その「ペーストした」という操作はどこで誰が判定するんですかね。ペースト操作もペースト先も全てシステムに任せっきりにする(「システムが出すポップアップでペースト選択」時のみペースト可能)なら、Push型もできるでしょうけど、アプリで独自のUIを作ってペーストできるようにすると、結局Pull型にするしかない。
妥協点は「バックグラウンドでのクリップボード取得は禁止」ぐらいじゃないかなぁ。
(Chromeは、ユーザーからの操作をトリガーとした(クリックなどのイベント)処理でのみ window.open 可能で、タイマーから window.open したらブロックされるけど、そんな感じで)
Re: (スコア:0)
Push用ボタンの表示をリクエストするAPIを設けて、
Pull用のパーミッションを新設すればいいんじゃないの?
一アプリの分際でネイティブなペーストボタンを出したくないとかは切り捨てて良いだろうし、
どうしてもってんならユーザから許可もらえばいい。
クリップボード拡張ユーティリティも許可もらってやればいい。
Re: (スコア:0)
個人的にはクリップボード履歴ソフトが使えなくなるのはいやだなぁ
Re: (スコア:0)
クリップボードを使うコンテンツは主に「直前にコピーしたテキスト」だが直前とかテキストとかに限れる機能じゃないんで、
プライバシーが大事ならコンテンツの種類ごとかアプリ事にコピーしたアイテム毎にアクセス許可の管理が必要になるだろう。
スマホならそういうもの入れてもいいかもしれないが、ユーザー体験的にはそれはWindowsのUACと同じになるだろう。
Re: (スコア:0)
権限を取得するダイアログに対して許可しなければ覗くことはできませんが
Re: (スコア:0)
初代iPhoneはそれを目指してて、AppleはS60みたいなアプリはいらないというう主張だったのですよ。
アップデートでアプリを追加できるようにしましたけど。
Re: (スコア:0)
なつかしい。ジョブズがこれからはwebアプリの時代!とか言ってたな
くっそ重くてあと10年はかかるだろうと思ってたわ
でJBでネイティブアプリがわんさか出て、その1年後には公式でアプリストア開設だもんな
そらそうなるわ
Re: (スコア:0)
あの時のスペックではネイティブアプリでさえ重かったがな。
正直、もうスマホも高スペックはゲームくらいしか要求せず、十分すぎる処理能力がある。
今ならウェブアプリも可能ではなかろうか。
まぁUX的にネイティブアプリにはどうしても勝てないけど。
名前 (スコア:0)
なおこれらのAPIのほとんどは、Chromiumベースのブラウザーでのみ実装され
この状態のものを"Web" APIと呼ぶのは抵抗感がありますね。Chromium APIとかの呼び方のほうが、コンセンサスの取れていないオレオレ機能という実態に即しているように思います。
Re: (スコア:0)
思うのは勝手だがWeb APIとはこう言うものだぞ
そもそも、リンク先にもW3Cのドラフトなものが多数あるだろ?
どっかのブラウザが実装してから勧告するのが普通なのだ
Re: (スコア:0)
それで思ったのですが、コメントだとリンク先のドメインが表示されるのが意外と便利なんだなってことです。
スマホだといちいちリンクを長押しタップするか、PCでも昔はステータスバーがあったけどなくなって久しく、マウス移動してツールチップのホバーを待たないといけない。
もっともそういう行為自体がダサいということにAppleもMozillaもGoogleもしたいのでしょうけど。
Re: (スコア:0)
「W3Cのドラフト」ってGoogleが提案したんだから、なんの権威付けにもなっていないですよ。
複数のブラウザで実装されないと勧告されないはずだから、FirefoxとSafariが実装しない以上、
リジェクトになることがほぼ確定しているものでしょう。
IEの独自拡張にはあれだけ叩いたITムラの人たち、Googleにはずいぶんお優しいことよ。
Re: (スコア:0)
Appleが「Chromium APIはプライバシー侵害のおそれがあるからSafariには実装しない」じゃ
それこそ違和感っていうか何当たり前のこと言ってんだボケって感想にしかならないと思いました
Re: (スコア:0)
というかWeb APIといえばHTTPでサーバと通信するやつの方を指すという認識なんだが。
こういうのは直接にはWebと関係なくてブラウザとスクリプトの間のやりとりなんだから、Browser APIとでもしてほしい。
Re: (スコア:0)
ホストデバイスにアクセスするだけでweb要素ないのに
どういう見地で「Web API」なのか、どっかに規定でもあるんかね
Re: (スコア:0)
そういう主張を繰り返して実装を見送っていたマイクロソフトは結局Chroniumの軍門に下ったけど
Appleはどうかな
Re: (スコア:0)
マイクロソフトがそういう主張をしたという情報は知らねぇ。
appleのsafariはwebp, oggを搭載しないように、web標準への追従を諦めている感じかな。
Re: (スコア:0)
ちなみに、今度のSafari 14ではWebPサポートするよ。
https://developer.apple.com/documentation/safari-release-notes/safari-... [apple.com]
Re: (スコア:0)
昔はFirefox OSなんつってHTML5で色んなアプリ作れる奴を出したりして進んでる気がしてたけど、いつの間にか置いてけぼりになってたんだな
掘り起こし (スコア:0)
Web MIDI API
可聴域外の音を使用したビーコンを使って複数のデバイスにわたってユーザーを追跡する技術 [security.srad.jp]
Battery Status API
HTML5のBattery Status APIでユーザー追跡の可能性が指摘される [it.srad.jp]
Androidスマートフォンの位置をバッテリの残量変化から特定する技術 [yro.srad.jp]
Bluetooth、NFC、Magnetometer(コンパス)なんかは言わずもがな
EME Extension: HDCP Policy Check は必要じゃないかなと思うけど、ブラックボックスになってしまっているのがダメなのかな?
Re:掘り起こし (スコア:2)
Mozillaのポリシー
Mozilla Specification Positions [github.io]
USBとかは、ちょーっと汎用的すぎるよなあ、とは思ったりはした。
M-FalconSky (暑いか寒い)
Re: (スコア:0)
ネイティブアプリで実装するのと何が違うんですか?
Re:掘り起こし (スコア:1)
・インストール不要で、Web サイトを開くだけで動作させられる
・サービスとして登録させれば、ブラウザを起動していれば動作させられる
(これはスマホだと無理かな?)
ちなみに疑問はごもっともで、Chrome OS や Firefox OS のようにブラウザ上でアプリを実現するために用意された API もあって、そもそもがネイティブアプリ相当のものが実現できるように整備しているんですよね
Re: (スコア:0)
てことは、後で自分で有効化するのが正しい実装ってことか。
実装はしておいて、デフォルト無効だけど必要な人だけ有効にして使ってね、ってことで良さそう。
Re: (スコア:0)
Appleへの上納金の有無
Re: (スコア:0)
頭悪い奴はレスつけるな
Re: (スコア:0)
反Apple教への宗教弾圧はやめろ
Re: (スコア:0)
実際ストア使わずアプリ相当のもの作れるプラットフォームと化すAPIだろ何言ってんの?
Re: (スコア:0)
可聴域外の音を使用したビーコンをならすのにMIDIAPI使う意味が分からない
リンク先の議論でもMIDIなんて言葉は出てきてないし
Re: (スコア:0)
実際はフィンガープリンティングでしょうね。フォントに加えてサウンドフォントで指紋が取れる。
Re: (スコア:0)
サーバ側にどうしても必要な情報組み合せを最長8ビットくらいの選択肢にし投げそれ以上漏らさず
個のユーザを特定しにくくすりゃいいんよ
セッションの選択肢をコロコロ変えてくる接続先はブラウザ側で警告出すようにでもしてさ
ストアを通さないwebアプリの規制 (スコア:0)
ストアを通さないwebアプリが可能なFlashを規制、
ストアを通さないwebアプリが可能な高機能APIも規制
歴史は繰り返す (スコア:0)
ChromeがIE6と同じ道を順調にたどってる
Re: (スコア:0)
HTA(IE5)の再実装さ。
Re:歴史は繰り返す (スコア:1)
それね。
ウィジットはActive Desktop(IE4)の再実装だったりと何かと歴史は繰り返す。
問題は、通常サイトに貼られた広告達がトラッキングの為にアクセス権を要求して、悪用しようとしている点かなぁ。
Re: (スコア:0)
「愚者は経験に学び、賢者は歴史に学ぶ」
大衆は愚かだと再認識。
Re: (スコア:0)
別に大衆が実装してるわけでも要求してるわけでもないと思うが。
「過ぎたるは猶及ばざるが如し」くらいだろ。それか「英雄色を好む」程度のこと。
Re: (スコア:0)
金言も大衆化で簡単に価値が落ちる例。
最近聞いたからって安易に使いすぎだろ。偉人の言葉は自分の血肉になってから引用しろ。
Re: (スコア:0)
ie6は正しかった。
悪かった点はgoogleではなくてMicrosoftだったこと。
何だかそんな気もしてきた。
Re: (スコア:0)
Microsoftも独自拡張をW3Cに提案して「Web APIです」って言うべきだったんだ。
Re: (スコア:0)
言ってきたけど、たいてい突っぱねられる。
で、めんどくさくなったのでChromiumをカスタマイズするほうを選んだわけ。
今のMicrosoftはPWAが動かせればいいと思っているようだ。
ブラウザのPC化 (スコア:0)
必要なのかな?
Googleのchrome noteみたいにブラウザが主導したいなら必要かもしれないけど、
セキュリティより利便性を優先させているだけに思えて必要性を感じない
それまで通信の暗号化に対して否定的だった人達がスノーデンの暴露で一気に暗号化に会心したのを思い出す
Re: (スコア:0)
ブラウザのOS化?