パスワードを忘れた? アカウント作成
14226791 story
インターネット

Apple、Safariへ一部Web API実装を拒否。個人が特定できるとして 49

ストーリー by nagazou
プライバシー第一 部門より
Appleがプライバシー保護に問題があるとして、Safariへ一部のWeb APIを実装することを拒否しているという。拒否しているのは次のとおり(GIGAZINEZDNet)。

Web Bluetooth
Web MIDI API
Magnetometer API
Web NFC
Navigator API: deviceMemory
NetworkInformation API
Battery Status API
Web Bluetooth Scanning
AmbientLightSensor API
EME Extension: HDCP Policy Check
Proximity API
WebHID API
Serial API
WebUSB
Idle Detection

AppleはこれらのAPIによって、オンライン広告主とデータ分析会社がユーザーや端末を識別して行動をトレースできるようになると主張している。すでにSafariに実装されているAPIに関しても、独自に対策を取ってあるとしている。

なおこれらのAPIのほとんどは、Chromiumベースのブラウザーでのみ実装され、Mozillaのプラットフォームではほとんど実装されていないとのこと。
  • by Anonymous Coward on 2020年07月01日 17時10分 (#3843684)

    PWAでなんでもできてしまうと、アプリストアがいらなくなっちゃう。

    ここに返信
    • by Anonymous Coward

      リンク先では以下が目的とコメントしてるけど。
      >デバイスフィンガープリンティングを含めるユーザー追跡を徹底的に制限する
      実際ユーザーがブラウザに期待する機能には要らない機能じゃないかな。

      • by Anonymous Coward

        > ユーザー追跡を徹底的に制限する
         
        でもクリップボードの内容覗けちゃうんだよね。
        あっ、ユーザ追跡じゃなくてセキュリティリスクだから徹底的じゃなくtも問題ないのか。

        • by Anonymous Coward

          のぞけるも何もコピー&ペーストするためのクリップボードの中身取得できなかったら意味ねーだろ

          • by Anonymous Coward
            既存のたいていのクリップボードAPIはアプリ側が自由にクリップボードを覗けるPull型だけど、本来的にはペーストした瞬間にOSからアプリにペースト内容を送ってそれ以外のアクセスを許さないPush型であるべきだろう。
            • その「ペーストした」という操作はどこで誰が判定するんですかね。ペースト操作もペースト先も全てシステムに任せっきりにする(「システムが出すポップアップでペースト選択」時のみペースト可能)なら、Push型もできるでしょうけど、アプリで独自のUIを作ってペーストできるようにすると、結局Pull型にするしかない。

              妥協点は「バックグラウンドでのクリップボード取得は禁止」ぐらいじゃないかなぁ。
              (Chromeは、ユーザーからの操作をトリガーとした(クリックなどのイベント)処理でのみ window.open 可能で、タイマーから window.open したらブロックされるけど、そんな感じで)

              • by Anonymous Coward

                Push用ボタンの表示をリクエストするAPIを設けて、
                Pull用のパーミッションを新設すればいいんじゃないの?

                一アプリの分際でネイティブなペーストボタンを出したくないとかは切り捨てて良いだろうし、
                どうしてもってんならユーザから許可もらえばいい。
                クリップボード拡張ユーティリティも許可もらってやればいい。

            • by Anonymous Coward

              個人的にはクリップボード履歴ソフトが使えなくなるのはいやだなぁ

            • by Anonymous Coward

              クリップボードを使うコンテンツは主に「直前にコピーしたテキスト」だが直前とかテキストとかに限れる機能じゃないんで、
              プライバシーが大事ならコンテンツの種類ごとかアプリ事にコピーしたアイテム毎にアクセス許可の管理が必要になるだろう。

              スマホならそういうもの入れてもいいかもしれないが、ユーザー体験的にはそれはWindowsのUACと同じになるだろう。

        • by Anonymous Coward

          権限を取得するダイアログに対して許可しなければ覗くことはできませんが

    • by Anonymous Coward

      初代iPhoneはそれを目指してて、AppleはS60みたいなアプリはいらないというう主張だったのですよ。
      アップデートでアプリを追加できるようにしましたけど。

      • by Anonymous Coward

        なつかしい。ジョブズがこれからはwebアプリの時代!とか言ってたな
        くっそ重くてあと10年はかかるだろうと思ってたわ

        でJBでネイティブアプリがわんさか出て、その1年後には公式でアプリストア開設だもんな
        そらそうなるわ

        • by Anonymous Coward

          あの時のスペックではネイティブアプリでさえ重かったがな。
          正直、もうスマホも高スペックはゲームくらいしか要求せず、十分すぎる処理能力がある。
          今ならウェブアプリも可能ではなかろうか。
          まぁUX的にネイティブアプリにはどうしても勝てないけど。

  • by Anonymous Coward on 2020年07月01日 17時22分 (#3843692)

    なおこれらのAPIのほとんどは、Chromiumベースのブラウザーでのみ実装され

    この状態のものを"Web" APIと呼ぶのは抵抗感がありますね。Chromium APIとかの呼び方のほうが、コンセンサスの取れていないオレオレ機能という実態に即しているように思います。

    ここに返信
    • by Anonymous Coward

      思うのは勝手だがWeb APIとはこう言うものだぞ
      そもそも、リンク先にもW3Cのドラフトなものが多数あるだろ?
      どっかのブラウザが実装してから勧告するのが普通なのだ

      • by Anonymous Coward

        それで思ったのですが、コメントだとリンク先のドメインが表示されるのが意外と便利なんだなってことです。
        スマホだといちいちリンクを長押しタップするか、PCでも昔はステータスバーがあったけどなくなって久しく、マウス移動してツールチップのホバーを待たないといけない。
        もっともそういう行為自体がダサいということにAppleもMozillaもGoogleもしたいのでしょうけど。

      • by Anonymous Coward

        「W3Cのドラフト」ってGoogleが提案したんだから、なんの権威付けにもなっていないですよ。
        複数のブラウザで実装されないと勧告されないはずだから、FirefoxとSafariが実装しない以上、
        リジェクトになることがほぼ確定しているものでしょう。

        IEの独自拡張にはあれだけ叩いたITムラの人たち、Googleにはずいぶんお優しいことよ。

    • by Anonymous Coward

      Appleが「Chromium APIはプライバシー侵害のおそれがあるからSafariには実装しない」じゃ
      それこそ違和感っていうか何当たり前のこと言ってんだボケって感想にしかならないと思いました

    • by Anonymous Coward

      というかWeb APIといえばHTTPでサーバと通信するやつの方を指すという認識なんだが。
      こういうのは直接にはWebと関係なくてブラウザとスクリプトの間のやりとりなんだから、Browser APIとでもしてほしい。

      • by Anonymous Coward

        ホストデバイスにアクセスするだけでweb要素ないのに
        どういう見地で「Web API」なのか、どっかに規定でもあるんかね

    • by Anonymous Coward

      そういう主張を繰り返して実装を見送っていたマイクロソフトは結局Chroniumの軍門に下ったけど
      Appleはどうかな

    • by Anonymous Coward

      昔はFirefox OSなんつってHTML5で色んなアプリ作れる奴を出したりして進んでる気がしてたけど、いつの間にか置いてけぼりになってたんだな

  • by Anonymous Coward on 2020年07月01日 17時53分 (#3843725)

    Web MIDI API
    可聴域外の音を使用したビーコンを使って複数のデバイスにわたってユーザーを追跡する技術 [security.srad.jp]

    Battery Status API
    HTML5のBattery Status APIでユーザー追跡の可能性が指摘される [it.srad.jp]
    Androidスマートフォンの位置をバッテリの残量変化から特定する技術 [yro.srad.jp]

    Bluetooth、NFC、Magnetometer(コンパス)なんかは言わずもがな
    EME Extension: HDCP Policy Check は必要じゃないかなと思うけど、ブラックボックスになってしまっているのがダメなのかな?

    ここに返信
    • Mozillaのポリシー

      Mozilla Specification Positions [github.io]

      USBとかは、ちょーっと汎用的すぎるよなあ、とは思ったりはした。

      --
      M-FalconSky (暑いか寒い)
    • by Anonymous Coward

      ネイティブアプリで実装するのと何が違うんですか?

      • by Anonymous Coward on 2020年07月01日 18時09分 (#3843737)

        ・インストール不要で、Web サイトを開くだけで動作させられる
        ・サービスとして登録させれば、ブラウザを起動していれば動作させられる
         (これはスマホだと無理かな?)

        ちなみに疑問はごもっともで、Chrome OS や Firefox OS のようにブラウザ上でアプリを実現するために用意された API もあって、そもそもがネイティブアプリ相当のものが実現できるように整備しているんですよね

        • by Anonymous Coward

          てことは、後で自分で有効化するのが正しい実装ってことか。
          実装はしておいて、デフォルト無効だけど必要な人だけ有効にして使ってね、ってことで良さそう。

      • by Anonymous Coward

        Appleへの上納金の有無

        • by Anonymous Coward

          頭悪い奴はレスつけるな

          • by Anonymous Coward

            反Apple教への宗教弾圧はやめろ

          • by Anonymous Coward

            実際ストア使わずアプリ相当のもの作れるプラットフォームと化すAPIだろ何言ってんの?

    • by Anonymous Coward

      可聴域外の音を使用したビーコンをならすのにMIDIAPI使う意味が分からない
      リンク先の議論でもMIDIなんて言葉は出てきてないし

      • by Anonymous Coward

        実際はフィンガープリンティングでしょうね。フォントに加えてサウンドフォントで指紋が取れる。

    • by Anonymous Coward

      サーバ側にどうしても必要な情報組み合せを最長8ビットくらいの選択肢にし投げそれ以上漏らさず
      個のユーザを特定しにくくすりゃいいんよ
      セッションの選択肢をコロコロ変えてくる接続先はブラウザ側で警告出すようにでもしてさ

  • by Anonymous Coward on 2020年07月01日 18時11分 (#3843740)

    ストアを通さないwebアプリが可能なFlashを規制、
    ストアを通さないwebアプリが可能な高機能APIも規制

    ここに返信
  • by Anonymous Coward on 2020年07月01日 18時46分 (#3843757)

    ChromeがIE6と同じ道を順調にたどってる

    ここに返信
    • by Anonymous Coward

      HTA(IE5)の再実装さ。

    • by Anonymous Coward

      「愚者は経験に学び、賢者は歴史に学ぶ」

      大衆は愚かだと再認識。

      • by Anonymous Coward

        別に大衆が実装してるわけでも要求してるわけでもないと思うが。
        「過ぎたるは猶及ばざるが如し」くらいだろ。それか「英雄色を好む」程度のこと。

      • by Anonymous Coward

        金言も大衆化で簡単に価値が落ちる例。
        最近聞いたからって安易に使いすぎだろ。偉人の言葉は自分の血肉になってから引用しろ。

    • by Anonymous Coward

      ie6は正しかった。
      悪かった点はgoogleではなくてMicrosoftだったこと。

      何だかそんな気もしてきた。

      • by Anonymous Coward

        Microsoftも独自拡張をW3Cに提案して「Web APIです」って言うべきだったんだ。

        • by Anonymous Coward

          言ってきたけど、たいてい突っぱねられる。
          で、めんどくさくなったのでChromiumをカスタマイズするほうを選んだわけ。
          今のMicrosoftはPWAが動かせればいいと思っているようだ。

  • by Anonymous Coward on 2020年07月01日 21時08分 (#3843842)

    必要なのかな?
    Googleのchrome noteみたいにブラウザが主導したいなら必要かもしれないけど、
    セキュリティより利便性を優先させているだけに思えて必要性を感じない

    それまで通信の暗号化に対して否定的だった人達がスノーデンの暴露で一気に暗号化に会心したのを思い出す

    ここに返信
typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...