Chrome / Edge の高度なスペルチェック機能、パスワードをサーバーに送信する可能性 25
ストーリー by nagazou
不具合 部門より
不具合 部門より
headless 曰く、
Google Chrome や Microsoft Edge の高度なスペルチェック機能を利用すると、ウェブサイトによっては個人を特定可能な情報 (PII) が Google や Microsoft に送られるほか、パスワードが送られてしまうこともあると報告されている (otto のブログ記事、 BleepingComputer の記事、 BetaNews の記事、 Ghacks の記事)。
Chromeの高度なスペルチェック機能は設定画面の「言語」でスペルチェックを有効にし、「拡張スペルチェック」を選択すれば利用できる。Edgeの方は拡張機能「Microsoft エディター」をインストールし、設定画面の「言語」に追加される文書作成支援機能の使用を有効にして「Microsoft エディター」を選択すればいい。ただし、環境によっては拡張機能をインストールしていなくても設定画面に表示されることがあるようだ。
Chrome ヘルプでは拡張スペルチェック有効時に入力したテキストが Google に送信されると明記されており、意図したとおりの動作ではある。ただし、ウェブページ側で制限しなければログイン画面やサインアップ画面に入力した PII なども送信されてしまう。また、パスワード入力フィールドで入力済みパスワードを表示する機能を使用すると、パスワードが送信されるという。
高度なスペルチェック機能を利用しつつ問題を避けるには、送信されたくない情報を含むフィールドに「spellcheck = "false"」属性を付加すればいいとのことだ。
高度なスペルチェック機能をローカルで実装してほしい (スコア:0)
クラウドで集めたデータをもとにつくった高度なスペルチェックを、ローカル動作可能なようにして、
プライバシーを気にする人向けに定期配信すればいいのに
たとえば、危険なURLに警告出す機能は、
・毎回クラウド問い合わせ
・定期的に危険URLデータベースをダウンロードしてローカルで完結
この2種類があり、プライバシーにこだわる人は後者を使ってるからね
Re: (スコア:0)
その「クラウドで集めたデータ」としていろんなデータを送信してもらってるわけで。
誰も何も送ってくれないといろいろ高度な事が出来なくなるんですよ、きっと。
# でも同期を有効にしてかつGoogleアカウントで同期パスワードを暗号化してる
# 人たちからすれば今回のレベルの話でとりたて騒ぐこともないような気も。
# まあさすがにそんないい加減な設定をする人はいないだろうが。
Re: (スコア:0)
とりたて
Re: (スコア:0)
新鮮なパスワード!
Re: (スコア:0)
自分は情報を提供しないけど、他者の情報提供の成果は使わせてねってのは難しいんじゃないかなぁ...
Re: (スコア:0)
一部の人は広告ブロックしてるけど、他の人が広告見てくれてるおかげで成り立ってる。
(広告ビジネスは別として)サービスの機能改善には協力したい人だけが協力するオプトイン方式の方がいいと思うけどね。
Appleはだいたいオプトインで、みんなSiriやMapの改善に協力しないから他社より機能がダメだね。
Re: (スコア:0)
情報って集めるだけだと、集合知ならぬ集合痴になりかねないからね。
たとえばAIがスラドのストーリーから学習したら、誤字だらけの知識を獲得することになるんじゃないかな。
結局はどこかに情報を精査する人閒(もしくは十分に発達したAIでもいいけど)が必要なんだよ。
Re: (スコア:0)
パスワードのスペルチェックとか余計では
Re: (スコア:0)
だから通常は input type="password" の場合は効かないけど
パスワードの中身を見るために type="text" に変えちゃうと送信される。
nameやidに"pass"があったら無効にすればいいのに。
Re: (スコア:0)
今もそういう雑な実装なの?
HTML4の頃はそういう実装しかなかったようだが。
https://www.ne.jp/asahi/minazuki/bakera/html/reference/formctrl#input [www.ne.jp]
HTML5以降の技術動向はチェックしてないが,今のブラウザはIDパスワード氏名住所クレジットカード番号など何でも補完してくれるよね。これはそれぞれの入力項目が何であるかをブラウザが知ってるからこそできることだよね?
↓こちらの記事によると、
https://gigazine.net/news/2022 [gigazine.net]
Re: (スコア:0)
どんな値を保管してほしいかという情報はウェブサイトの制作者がautocomplete属性で指定できる。https://developer.mozilla.org/ja/docs/Web/HTML/Attributes/autocomplete
HTML5以降の技術動向はチェックしてないが,今のブラウザはIDパスワード氏名住所クレジットカード番号など何でも補完してくれるよね。これはそれぞれの入力項目が何であるかをブラウザが知ってるからこそできることだよね?
Re: (スコア:0)
それは変な議論だよ。AVを見たやつは全員AVに出演するのか?おっさんの裸は見たくないぞ。
提供した情報は良識の範囲内で使用され、パスワードとわかるところに書き込まれたパスワードのような集めてはならない情報は集めず、うっかり保存してしまった場合は迅速に削除する。これぐらいは常識的に期待するものだろう。Googleはどれも達成できていない。
Re: (スコア:0)
スラド民「スペルチェック?そんなもんいらん!」
#風習は守られるのであった(オイ
未だ可能性? (スコア:0)
謎だ!
Re:未だ可能性? (スコア:1)
Googleがやると「流出する可能性」。
百度がやると「スパイウェア」。
Re: (スコア:0)
拷問がテロとの戦いになる国だし違和感は無い。可能なら脱Googleしたいけど、かつての学校も職場も半強制的に使わせてきてたせいで慣れてしまっているもんで中々抜け出せない。
Re: (スコア:0)
確かにそうだな。やってることは同じなのに。
Re: (スコア:0)
全部のフィールドにパスワードが入っているとは限らず、
パスワードの入ったフィールドだからと言ってすべてが送信されるわけではないので「可能性」なのです。
俺流出しちゃいました? (スコア:0)
諸々のサービスから流出したデータをもとに自分のIDやパスワードが流出していないかチェックする機能があるがそういうのは大丈夫なのだろうか。 なぜか生データを暗号化せず送受信してますなんてありそう。
Re: (スコア:0)
暗号化というかハッシュ化したとして、よくある脆弱なパスワードだったら普通にもとに戻せちゃうから駄目だよね Firefox Monitorで行われてる追加の匿名化処理はここに解説されてる [Scanning for breached accounts with k-Anonymity](https://blog.mozilla.org/security/2018/06/25/scanning-breached-accounts-k-anonymity/)
これはひどい (スコア:0, 興味深い)
>パスワード入力フィールドで入力済みパスワードを表示する機能を使用すると、パスワードが送信されるという。
パスワードだとわかっているのに相手サイトじゃなくてGoogleに送ってしまう?ダメでしょ。
「入力済みパスワードを表示する機能」というのがinput要素のpassword属性を削除することによって実装されてるならサイト作成者の責任だが。
>高度なスペルチェック機能を利用しつつ問題を避けるには、送信されたくない情報を含むフィールドに「spellcheck = "false"」属性を付加すればいいとのことだ。
誰が?WEBページ作成者が?
Re: (スコア:0)
嫌な奴はいちいち自分でspellcheck="false"を付けろってことでしょ
ゴミみたいな対処法だけどそういう拡張機能はあるかもね
Re: (スコア:0)
Chromium系を使うなってことですよ!
そんなもんより先に内蔵すべきものがあるだろ (スコア:0)
スペルチェックなんて拡張機能にでもしとけばいいから、コンテンツブロックをレンダリングエンジンに組み込んで高速動作するようにしろや
Re: そんなもんより先に内蔵すべきものがあるだろ (スコア:2, おもしろおかしい)
10年後ぐらいにはコンテンツをブロックして広告だけ表示するようになってるよ