パスワードを忘れた? アカウント作成
15796510 story
プライバシ

Chrome / Edge の高度なスペルチェック機能、パスワードをサーバーに送信する可能性 25

ストーリー by nagazou
不具合 部門より
headless 曰く、

Google Chrome や Microsoft Edge の高度なスペルチェック機能を利用すると、ウェブサイトによっては個人を特定可能な情報 (PII) が Google や Microsoft に送られるほか、パスワードが送られてしまうこともあると報告されている (otto のブログ記事BleepingComputer の記事BetaNews の記事Ghacks の記事)。

Chromeの高度なスペルチェック機能は設定画面の「言語」でスペルチェックを有効にし、「拡張スペルチェック」を選択すれば利用できる。Edgeの方は拡張機能「Microsoft エディター」をインストールし、設定画面の「言語」に追加される文書作成支援機能の使用を有効にして「Microsoft エディター」を選択すればいい。ただし、環境によっては拡張機能をインストールしていなくても設定画面に表示されることがあるようだ。

Chrome ヘルプでは拡張スペルチェック有効時に入力したテキストが Google に送信されると明記されており、意図したとおりの動作ではある。ただし、ウェブページ側で制限しなければログイン画面やサインアップ画面に入力した PII なども送信されてしまう。また、パスワード入力フィールドで入力済みパスワードを表示する機能を使用すると、パスワードが送信されるという。

高度なスペルチェック機能を利用しつつ問題を避けるには、送信されたくない情報を含むフィールドに「spellcheck = "false"」属性を付加すればいいとのことだ。

  • クラウドで集めたデータをもとにつくった高度なスペルチェックを、ローカル動作可能なようにして、
    プライバシーを気にする人向けに定期配信すればいいのに

    たとえば、危険なURLに警告出す機能は、
    ・毎回クラウド問い合わせ
    ・定期的に危険URLデータベースをダウンロードしてローカルで完結
    この2種類があり、プライバシーにこだわる人は後者を使ってるからね

    ここに返信
    • by Anonymous Coward

      その「クラウドで集めたデータ」としていろんなデータを送信してもらってるわけで。
      誰も何も送ってくれないといろいろ高度な事が出来なくなるんですよ、きっと。

      # でも同期を有効にしてかつGoogleアカウントで同期パスワードを暗号化してる
      # 人たちからすれば今回のレベルの話でとりたて騒ぐこともないような気も。
      # まあさすがにそんないい加減な設定をする人はいないだろうが。

    • by Anonymous Coward

      自分は情報を提供しないけど、他者の情報提供の成果は使わせてねってのは難しいんじゃないかなぁ...

      • by Anonymous Coward

        一部の人は広告ブロックしてるけど、他の人が広告見てくれてるおかげで成り立ってる。
        (広告ビジネスは別として)サービスの機能改善には協力したい人だけが協力するオプトイン方式の方がいいと思うけどね。
        Appleはだいたいオプトインで、みんなSiriやMapの改善に協力しないから他社より機能がダメだね。

      • by Anonymous Coward

        情報って集めるだけだと、集合知ならぬ集合痴になりかねないからね。
        たとえばAIがスラドのストーリーから学習したら、誤字だらけの知識を獲得することになるんじゃないかな。
        結局はどこかに情報を精査する人閒(もしくは十分に発達したAIでもいいけど)が必要なんだよ。

      • by Anonymous Coward

        パスワードのスペルチェックとか余計では

        • by Anonymous Coward

          だから通常は input type="password" の場合は効かないけど
          パスワードの中身を見るために type="text" に変えちゃうと送信される。

          nameやidに"pass"があったら無効にすればいいのに。

          • by Anonymous Coward

            今もそういう雑な実装なの?
            HTML4の頃はそういう実装しかなかったようだが。
            https://www.ne.jp/asahi/minazuki/bakera/html/reference/formctrl#input [www.ne.jp]
            HTML5以降の技術動向はチェックしてないが,今のブラウザはIDパスワード氏名住所クレジットカード番号など何でも補完してくれるよね。これはそれぞれの入力項目が何であるかをブラウザが知ってるからこそできることだよね?

            ↓こちらの記事によると、
            https://gigazine.net/news/2022 [gigazine.net]

            • by Anonymous Coward

              どんな値を保管してほしいかという情報はウェブサイトの制作者がautocomplete属性で指定できる。https://developer.mozilla.org/ja/docs/Web/HTML/Attributes/autocomplete

              HTML5以降の技術動向はチェックしてないが,今のブラウザはIDパスワード氏名住所クレジットカード番号など何でも補完してくれるよね。これはそれぞれの入力項目が何であるかをブラウザが知ってるからこそできることだよね?

      • by Anonymous Coward

        それは変な議論だよ。AVを見たやつは全員AVに出演するのか?おっさんの裸は見たくないぞ。
        提供した情報は良識の範囲内で使用され、パスワードとわかるところに書き込まれたパスワードのような集めてはならない情報は集めず、うっかり保存してしまった場合は迅速に削除する。これぐらいは常識的に期待するものだろう。Googleはどれも達成できていない。

    • by Anonymous Coward

      スラド民「スペルチェック?そんなもんいらん!」
      #風習は守られるのであった(オイ

  • by Anonymous Coward on 2022年09月22日 9時52分 (#4330645)

    謎だ!

    ここに返信
    • by Anonymous Coward on 2022年09月22日 12時00分 (#4330736)

      Googleがやると「流出する可能性」。

      百度がやると「スパイウェア」。

      • by Anonymous Coward

        拷問がテロとの戦いになる国だし違和感は無い。可能なら脱Googleしたいけど、かつての学校も職場も半強制的に使わせてきてたせいで慣れてしまっているもんで中々抜け出せない。

      • by Anonymous Coward

        確かにそうだな。やってることは同じなのに。

    • by Anonymous Coward

      全部のフィールドにパスワードが入っているとは限らず、
      パスワードの入ったフィールドだからと言ってすべてが送信されるわけではないので「可能性」なのです。

  • by Anonymous Coward on 2022年09月22日 11時06分 (#4330699)

    諸々のサービスから流出したデータをもとに自分のIDやパスワードが流出していないかチェックする機能があるがそういうのは大丈夫なのだろうか。 なぜか生データを暗号化せず送受信してますなんてありそう。

    ここに返信
    • by Anonymous Coward

      暗号化というかハッシュ化したとして、よくある脆弱なパスワードだったら普通にもとに戻せちゃうから駄目だよね Firefox Monitorで行われてる追加の匿名化処理はここに解説されてる [Scanning for breached accounts with k-Anonymity](https://blog.mozilla.org/security/2018/06/25/scanning-breached-accounts-k-anonymity/)

  • by Anonymous Coward on 2022年09月22日 12時02分 (#4330738)

    >パスワード入力フィールドで入力済みパスワードを表示する機能を使用すると、パスワードが送信されるという。

    パスワードだとわかっているのに相手サイトじゃなくてGoogleに送ってしまう?ダメでしょ。
    「入力済みパスワードを表示する機能」というのがinput要素のpassword属性を削除することによって実装されてるならサイト作成者の責任だが。

    >高度なスペルチェック機能を利用しつつ問題を避けるには、送信されたくない情報を含むフィールドに「spellcheck = "false"」属性を付加すればいいとのことだ。

    誰が?WEBページ作成者が?

    ここに返信
    • by Anonymous Coward

      嫌な奴はいちいち自分でspellcheck="false"を付けろってことでしょ
      ゴミみたいな対処法だけどそういう拡張機能はあるかもね

    • by Anonymous Coward

      Chromium系を使うなってことですよ!

  • by Anonymous Coward on 2022年09月22日 16時32分 (#4331002)

    スペルチェックなんて拡張機能にでもしとけばいいから、コンテンツブロックをレンダリングエンジンに組み込んで高速動作するようにしろや

    ここに返信
typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...