Googleは5月28日、Google ChromeにおけるSameSite cookie強制を7月に再開する計画を明らかにした(Chromium Blogの記事、 The Vergeの記事、 SlashGearの記事)。

SameSite cookieは「SameSite」属性で他サイトに対するcookie送信を制御することでセキュリティを強化する仕組み。Google Chromeでは2月リリースのChrome 80でSameSite cookie強制を段階的にロールアウトしていたが、サービス側が対応することによる問題発生も報告されていた。その後、COVID-19パンデミックが世界的に困難な状況を生む中、Googleは必要なサービス提供が中断されないようにするためとして、4月に一時的なロールバックを実施している。

4月以降、GoogleはWebサイトやサービスの対応状況を見守っており、SameSite cookie強制を再開しても問題ないと判断したようだ。再開日はChrome 84がリリースされる7月14日に設定されており、Chrome 80以降で前回と同様に段階的なロールアウトを行う。具体的なタイミング等については引き続きSameSite Updatesページで告知するとのことだ。

すべて読む | ITセクション | Chrome | セキュリティ | スラッシュバック |

関連ストーリー：
Google Chrome、FTP廃止計画を一時中止 2020年04月19日
Google Chrome、SameSite cookie強制を一時的に中止 2020年04月07日
Chrome 80で導入されたCookieのSameSite属性サポートが原因でCookieの長さが上限を超え不具合が出るケースが発生 2020年02月19日
Windows 10 Insider Previewがsame-site cookieをサポート 2018年05月22日

Anonymous Coward曰く、

Chromiumプロジェクトは今週、重大度の高いセキュリティバグの約70％は、メモリの安全性に関する問題（ポインタの誤り）に由来すると発表した。これはGoogleのエンジニアが2015年以降の912の重大度の高い、もしくは重大なセキュリティバグを分析した結果から導き出させたものだという。これはユーザーのセキュリティを危険にさらすだけでなく、Chromeの修正と出荷においてコストを増大させているとしている。

同様の問題はMicrosoftも指摘している。2019年2月のセキュリティ会議で講演したMicrosoftのエンジニアは過去12年間、Microsoft製品のすべてのセキュリティアップデートの約70％がメモリの安全性が原因だったと指摘している。端的に言えば、コードベースで2つの主要なプログラミング言語であるCとC++は「安全でない」言語であるということになる。

Googleによると2019年3月以降、重大度の高いChrome脆弱性130個のうち、125はメモリ破損に関連する問題だった。他のバグクラスの修正が進んだにもかかわらず、メモリ管理が依然として問題であるとしている。Mozillaは、CおよびC++の修正をするのをあきらめ、FirefoxでRustプログラミング言語を後援、促進、大幅に採用することで大きな進歩を遂げた。MicrosoftもCおよびC++の代替に多大な投資をしている。

今週、Googleも同様の計画を発表した。今後、Googleは、メモリ関連のバグに対する保護を強化したライブラリであるカスタムC++ライブラリの開発を検討する予定であると述べている。またGoogleは可能な限り「安全な」言語の使用を検討する計画があるとも述べている。候補には、Rust、Swift、JavaScript、Kotlin、およびJavaが含まれているようだ（The Chromium Projects、Slashdot）。

すべて読む | セキュリティセクション | Chrome | セキュリティ | プログラミング | バグ |

関連ストーリー：
systemdの不具合について、「安全ではない言語を使っている」のが原因との指摘 2016年10月06日
オープンソースソフトウェアの脆弱性、2019年は前年から50％近く増加したとの調査結果 2020年03月14日
Microsoft、C言語を拡張した「Checked C」をオープンソース化 2016年06月19日
C言語は滅びるべきか 2017年07月20日

国税庁の電子申告・納税システムe-Taxでは32ビット版Windows 8.1もしくは10とInternet Explorer 11もしくは旧Edgeが推奨環境となっていたが、5月25日より「受付システム」と「e-Taxの開始（変更等）届出書作成・提出コーナー」がGoogle Chromeに対応した（同サイト上での発表）。それ以外のソフト・コーナーについても来年1月よりChromeに対応する予定だという。

利用には専用のChrome拡張機能のインストールが必要。これに合わせて、Chromeと拡張の互換性があるChromeベースの新Edgeでも同様にこれらのソフト・コーナーが利用できるという。

すべて読む | ITセクション | Chrome | インターネット | 政府 |

関連ストーリー：
国税庁のe-taxは2019年よりパスワード認証となり、ICカードは不要に 2017年07月18日
国会でIE論争 2019年02月27日
e-Taxソフトのインストーラ再公開、引き続き国税庁は脆弱性とは案内せず 2016年10月27日
Mac OS X Lion で公的個人認証サービスが利用不可能になっていた 2012年03月05日
e-TaxのWebサイト、Firefoxでは信頼できないSSL証明書を使ったサイトと認識される 2010年01月21日

Googleは4月29日、Chromeウェブストアでのスパム対策を強化するための開発者プログラムポリシー改訂を発表した(Chromium Blogの記事、 9to5Googleの記事、 The Vergeの記事、 SlashGearの記事)。

Chromeウェブストアは最大のブラウザー拡張機能カタログとなる一方、低品質な拡張機能やユーザーを誤解させるような内容の拡張機能を公開して利益を得ようとする開発者も増加しているという。

以前からChromeウェブストアの開発者プログラムポリシーでは同じ内容のコンテンツを複数公開することや、キーワードスパム、レーティング操作などを禁じている。ただし、改訂前(Internet Archive)は「～しないように (Do not ～)」のような表現だったが、改定後は「～を認めない (We don't allow ～)」「開発者は～してはいけない(Developers must not ～)」のように変更されている。

また、ユーザーに対するスパム送信や、ユーザーに代わってスパム送信することも禁止事項に追加された。このほか、他のアプリやテーマ、拡張機能のインストールまたは起動を主な機能とするアプリを禁止する項目は、このような拡張機能を禁止する項目に差し替えられている。

開発者は8月27日までに改訂版ポリシーに準拠する必要があり、以降も違反状態が続く場合は削除または無効化される可能性があるとのことだ。

すべて読む | ITセクション | Chrome | spam | デベロッパー |

関連ストーリー：
過剰なデータ収集行為が指摘されていたAvast/AVGの拡張機能、Chromeウェブストアから一時削除される 2019年12月24日
必要以上のパーミッションを要求しないことなどを定めたChrome拡張の新ユーザーデータポリシー、10月15日に適用開始 2019年07月28日
Google、拡張機能のデータアクセス制限強化などのChromeウェブストアポリシー変更を発表 2019年06月06日
Google、信頼できるChrome拡張にするための対策を発表 2018年10月07日
Google、Chrome拡張のインラインインストール廃止へ 2018年06月16日
Chromeウェブストアで怪しいサイトへ誘導しようとする「テーマ」が増加中 2018年05月30日
悪意あるコードを含む偽拡張機能、Chromeウェブストアで合計2,000万人以上がインストール 2018年04月21日
Google、Chromeウェブストアから「アプリ」セクションを削除 2017年12月12日
「Adblock Plus」の偽物がChromeウェブストアで配布される 2017年10月11日
2本のGoogle Chrome拡張機能、開発者アカウント乗っ取りでアドウェアが配信される 2017年08月05日