headless 曰く、

Google ChromeのOmnibox(アドレス・検索ボックス)にプロトコルを省略してURLを入力した場合、HTTPS接続をデフォルトにする計画が進められているようだ(Issue 1141691、 Ghacksの記事、 Windows Latestの記事)。

Chromeに限らず、多くのブラウザーではプロトコルを省略したURLが指定された場合はHTTPで接続する。たとえば、「example.com」を指定すれば「http://example.com」に接続する。ただし、HTTPSをサポートするWebサイトの多くはHTTP接続をHTTPSにリダイレクトするため、「srad.jp」を指定した場合は「http://srad.jp」経由で最終的に「https://srad.jp」が表示されることになる。Chromeではリダイレクトを記憶して次回からHTTPS接続する仕組みを備えるが、多くのWebサイトでHTTPSへの移行が進む中、デフォルトをHTTPSにすることでセキュリティとパフォーマンスの向上が期待できる。

5日にコミットされた最初の実装では「upgraded HTTPS navigations」という仕組みが導入され、ナビゲーションのデフォルトスキームとしてHTTPSが使われるようになる。HTTPSナビゲーションが失敗した場合にHTTPへフォールバックする仕組みや、この際のSSLエラーを無視する仕組みも備える。次のコミットではHTTPSナビゲーションに時間制限を設け、遅いHTTPSサイトでは一定時間経過後にHTTPへフォールバックする仕組みも追加された。ただし、現在の実装は最低限のものだといい、一般提供されるまでには時間がかかるようだ。

すべて読む | セキュリティセクション | Chrome | セキュリティ | インターネット | Chromium | 暗号 |

関連ストーリー：
中国政府、TLS 1.3とESNIを使用するすべての暗号化されたHTTPSトラフィックをブロック中 2020年08月13日
EFF曰く、あなたが思うよりずっと公衆Wi-Fiは安全 2020年02月06日
Google、Chromeで混合コンテンツを完全にブロックする計画 2019年10月06日
Chrome 69ではHTTPS接続ページの「保護された通信」という表示が削除される 2018年05月20日
Wikipediaの常時HTTPS化によって政府による検閲が減少 2017年06月01日
FirefoxとChrome、パスワード入力フィールドを含むHTTP接続のページで警告を表示 2017年01月28日

Avastによれば、ChromeウェブストアやMicrosoft Edgeアドオンストアで公開されていた拡張機能28本でマルウェアが確認されたそうだ(Avastのプレスリリース、 Ars Technicaの記事、 SlashGearの記事)。

28本中15本がChromeウェブストア、13本がMicrosoft Edgeアドオンストアで公開されていた拡張機能で、ダウンロード件数は合計で300万件ほどだという。拡張機能はInstagram/Facebook用が半数以上を占め、種類としてはダウンロードツールが多い。マルウェアの機能としては広告やフィッシングサイトにリダイレクトしたり、個人情報を盗んだりといったもので、別のマルウェアをダウンロードする機能も確認されたそうだ。

マルウェアは調査しようとすると活動を控える仕組みを備えており、検出は困難なようだ。拡張機能は初めからマルウェアとして公開された可能性もあるが、人気が出るのを待ってアップデートでマルウェア化したり、元の作者から買い取ってマルウェアを仕込んだり、といったパターンも考えられるとのこと。

AvastではGoogleとMicrosoftに通知しており、19日朝の段階でChromeウェブストアからはリストアップされているすべての拡張機能が削除されている。Edgeアドオンストアでも19日午後にはすべて削除された。具体的な拡張機能の名称などはAvastのプレスリリースを参照してほしい。

すべて読む | セキュリティセクション | Chrome | Google | セキュリティ | マイクロソフト | インターネット |

関連ストーリー：
Google、Chrome拡張機能プラットフォームのManifest V3ロールアウト計画を公式に発表 2020年12月11日
Chrome拡張機能のNano Defenderがマルウェア化 2020年10月18日
Mozilla、より安全なFirefox拡張機能を示す「アドオンバッジ」2種類を追加 2020年10月08日
Microsoft曰く、CCleanerの特定バージョンのインストーラーは望ましくない可能性のあるアプリ 2020年08月02日
チェコの個人情報保護当局、Avastのユーザーデータ販売が個人情報侵害に該当する可能性を調査 2020年02月19日
Avast、ユーザーデータを販売していた子会社を廃業する計画 2020年02月01日
Avastが販売する匿名化したユーザーデータに対し、ユーザーの特定が可能との指摘 2020年01月29日
過剰なデータ収集行為が指摘されていたAvast/AVGの拡張機能、Chromeウェブストアから一時削除される 2019年12月24日
Mozilla、AvastやAVGの提供するFirefox拡張機能がユーザー情報を収集・送信しているとしてアドオンサイトから削除 2019年12月05日
Mozilla、リモートコードを実行する拡張機能をブロックリストに追加 2019年11月08日
Avast、サプライチェーン攻撃を受けていたことを公表 2019年10月24日
MozillaがFirefoxの拡張機能で難読化コードの使用禁止を発表した2日後、全拡張機能が動作しなくなるトラブルが発生 2019年05月04日
ポイ活ブラウザアプリSmoozは閲覧情報をすべて外部送信している 2020年12月21日

headless 曰く、

Googleは9日、Chrome拡張機能プラットフォームのManifest V3をChrome 88でロールアウトする計画を公式に発表した(Chromium Blogの記事 、 Android Policeの記事、 The Registerの記事)。

Manifest V3ではリモートでホストされたコードの使用が禁止されてセキュリティが向上し、バックグラウンドページの置き換えとなるサービスワーカーの導入や、拡張機能API全般で宣言型モデルへの移行を進めることでパフォーマンスが向上する。また、拡張機能APIを宣言型モデルに移行することで、プライバシーも向上する。たとえば、新しいdeclarativeNetRequest APIを使用すると、拡張機能がユーザーのデータにアクセスすることなく、ネットワークリクエストのブロックが可能になる。

declarativeNetRequest APIに関しては、広告ブロック拡張機能の動作が制限されるとしてManifest V3のドラフト公開時に批判されたが、当初最大3万件となっていたブロッキングルールは最大15万件に拡大されるなど改善されている。安定版リリース後もフィードバックに応じて改善を進めていくとのこと。

Manifest V3は現在、Chrome 88 Betaで利用可能になっており、Chrome 88が安定版となる1月中旬にはChromeウェブストアでManifest V3拡張機能の登録が可能になる。現時点ではManifest V2拡張機能のサポートを削除する時期は決まっていないが、Manifest V3が安定版Chromeで利用可能になってから少なくとも1年間は移行期間が設けられるとのことだ。

すべて読む | ITセクション | Chrome | アップグレード | セキュリティ | スラッシュバック | デベロッパー | プライバシ |

関連ストーリー：
Chrome拡張機能のNano Defenderがマルウェア化 2020年10月18日
国税庁のe-Taxサイト、Google ChromeとChromium版Microsoft Edgeの対応を開始 2020年05月27日
Google曰く、Chrome拡張機能プラットフォームの新マニフェストは広告ブロックをより安全にする 2019年06月15日
楽天ウェブ検索のChrome機能拡張、ホームページと検索エンジンを楽天に変更し固定して批判される 2019年04月18日
SNSでの「有害なコメント」を非表示にできるChrome拡張機能 2019年03月15日
Google、ユーザー名とパスワードの流出を通知するChrome拡張機能を公開 2019年02月09日
Chrome拡張のマニフェスト変更で広告ブロック拡張機能の動作が制限される可能性 2019年01月26日

窓の杜によると、Google Chrome 88以降のバージョンでは「target=_blank」で記載されているリンクに関しては、自動的に「rel=noopener」を付与する形式へ変更されるそうだ。以前からtarget=_blankには脆弱性があることが指摘されており、その対策のためであるとのこと。同様の仕様はSafariやFirefoxでも取られており、今回Chromeでも同様の形に足並みを揃えたとしている（窓の杜、Web担当者Forum）。

すべて読む | セキュリティセクション | Chrome | セキュリティ | IT |

関連ストーリー：
Google Chrome、Windows 7のサポートを2022年1月まで延長 2020年11月22日
Chromeウェブストア、拡張機能がユーザーから収集するデータに関する情報の表示を1月に開始 2020年11月22日
GoogleがChrome独自のルート証明書プログラムを計画中 2020年11月13日
Google Chrome、終了時のサイトデータ削除を有効にしてもGoogle関連のサイトデータが一部残るバグ 2020年10月24日

Googleは21日、Google ChromeのWindows 7サポートを少なくとも2022年1月15日まで延長すると発表した(Google Cloud Blogの記事、 9to5Googleの記事)。

Googleは今年1月、MicrosoftによるWindows 7の延長サポート終了後少なくとも18か月間、2021年7月15日まではChromeでWindows 7をサポートする計画を示していた。しかし、COVID-19パンデミックによる労働環境の変化のサポートなど、ITリーダーがさまざまな困難に直面する中、Googleは現状の評価とエンタープライズ顧客からのフィードバックを元に6か月のサポート期間延長を決めたそうだ。

Windows 10への移行は多くの組織で今年のロードマップに含まれていたが、優先順位の変更により21%の組織がWindows 10への移行途中であり、1%は近く移行を始める計画だという。サポート期間延長により、エンタープライズ顧客は移行がまだ済んでいないWindows 7で引き続きChromeのセキュリティや生産性に関する利益を享受でき、エンタープライズ向け機能を活用できるとのこと。Googleでは今後も継続してエンタープライズ顧客が直面する状況の評価を行い、さらなる変更があれば発表するとのことだ。

なお、MicrosoftはChromiumベースの新Micosoft EdgeでWindows 7を2021年7月15日までサポートする計画を示している。この件が記載されたMicrosoft Docsの記事は11月16日に更新されているが、Windows 7/Server 2008 R2のサポート終了日については変更されていない。

すべて読む | セキュリティセクション | ビジネス | Chrome | Google | セキュリティ | Windows | IT |

関連ストーリー：
Windows 7 拡張セキュリティ更新プログラム1年目、間もなく終了 2020年11月14日
Microsoft Edge、Windows UpdateでWindows 7/8.1に提供開始 2020年06月21日
新Microsoft Edge、Windows 7のサポートは2021年7月15日まで 2020年04月14日
セキュリティソフトウェアの多くが当面はWindows 7をサポート 2020年02月01日
Windows 7の壁紙が黒くなる問題、全ユーザーに対し修正パッチを提供へ 2020年01月28日
FSF、Windows 7をフリーソフトウェア化して「価値を高める」よう求める 2020年01月28日
Windows 7、最後の更新プログラム適用で壁紙が黒一色になったとの報告 2020年01月23日
Windows 7のサポート終了でユーザー増を期待するLinuxディストロメーカー 2020年01月18日
2019年のPC出荷台数は8年ぶりに増加 2020年01月16日
Chromiumベースの新Microsoft Edge、延長サポート終了後もWindows 7をサポート 2020年01月16日
Windows 7のサポートが本日で終了 2020年01月14日
Google Chrome、Microsoftによるサポート終了から少なくとも18か月はWindows 7をサポート 2020年01月12日

Chromeウェブストアでは来年1月から、拡張機能がユーザーから収集するデータに関する情報を拡張機能の詳細情報ページに表示するそうだ(Chromium Blogの記事、 9to5Googleの記事、 Android Policeの記事、 The Registerの記事)。

表示される情報は開発者の自己申告によるもので、拡張機能を新規公開または更新する場合は開発者向けダッシュボードで収集するデータと用途に関する情報の提供が求められる。Chromeウェブストアでは2021年1月18日から情報表示が始まり、それまでに開発者が情報を提供していない拡張機能に関してはその旨が表示されることになる。

これに合わせて開発者プログラムポリシーも更新されており、ユーザーから収集したデータに対する使用制限が追加された(Limited Uses of User Data)。ユーザーデータの使用は拡張機能が持つ単一の用途を提供または改善する目的のみに制限され、その他の目的での使用や販売は禁じられる。

第三者へのユーザーデータ転送が認められるのは、拡張機能の単一の用途を提供または改善するために必要な場合や法律の順守、セキュリティ目的のほか、買収や合併などに伴うものであって、ユーザーから明示的な許可を得た場合に限られる。また、ユーザーから明示的な許可を得た場合などを除き、人間がデータを読むことは認められない。

すべて読む | ITセクション | Chrome | デベロッパー | プライバシ |

関連ストーリー：
Chrome拡張機能のNano Defenderがマルウェア化 2020年10月18日
Google、Chromeウェブストアの決済機能を廃止へ 2020年09月26日
“Chrome ウェブストア”の不明瞭な審査に不満の声 2020年08月04日
Microsoft Edgeプレビュービルド、Chromeウェブストアからの拡張機能入手を推奨 2020年05月10日
Google、Chromeウェブストアでのスパム対策を強化 2020年05月04日
過剰なデータ収集行為が指摘されていたAvast/AVGの拡張機能、Chromeウェブストアから一時削除される 2019年12月24日
必要以上のパーミッションを要求しないことなどを定めたChrome拡張の新ユーザーデータポリシー、10月15日に適用開始 2019年07月28日
Google曰く、Chrome拡張機能プラットフォームの新マニフェストは広告ブロックをより安全にする 2019年06月15日
Google、拡張機能のデータアクセス制限強化などのChromeウェブストアポリシー変更を発表 2019年06月06日
Chrome拡張のマニフェスト変更で広告ブロック拡張機能の動作が制限される可能性 2019年01月26日

あるAnonymous Coward 曰く、

Google ChromeはTLSで使用されるルート証明書を伝統的にOSの証明書ストアから参照していたが、近い将来GoogleはiOS版を除いて独自のルート証明書プログラムへの移行を計画しているようだ(公式ページ)。これはFirefoxと類似のモデルである。

初期ルートストアにはLet's EncryptのISRG Root X1が含まれているので、移行が完了すればChromeがサポートするAndroid 5.0以降ではLet's Encryptの証明書の有効期限切れ問題は解消すると思われる。

情報元へのリンク

すべて読む | セキュリティセクション | Chrome | セキュリティ | インターネット | IT |

関連ストーリー：
Let's Encrypt、ルート証明書切り替えに向けて古いAndroidへの対策を呼びかけ 2020年11月08日
Microsoft、Microsoft Edge 85以降でSHA-1証明書の使用を可能にする新たな(かつ非推奨の)グループポリシーを追加 2020年09月02日
Let's Encrypt証明書を使用しているWebサイト、Android 7.1以前の端末での閲覧に影響か 2020年08月12日
Chrome/Firefox/Safariがカザフスタン政府の証明書をブロック、政府による傍受に対処 2019年08月23日
無料SSL「Let’s Encrypt」のルート証明書がすべての端末で直接信頼されるには5年必要 2018年08月10日

Google Chromeで終了時のサイトデータ削除を有効にしてもGoogle関連のサイトデータが一部削除されない問題が指摘され、Googleがバグだと説明しているそうだ(The Registerの記事、 The Vergeの記事、 Android Policeの記事、 発見者Jeff Johnson氏のブログ記事)。

この設定はGoogle Chromeの設定画面で「プライバシーとセキュリティ→Cookieと他のサイトデータ」にある「Chromeの終了時にCookieとサイトデータを削除する」をオンにすることで有効化できる。

実際に試してみたところ、Cookieはすべてのサイトで削除されたが、「chrome.google.com」と「www.google.com」ではローカルストレージが削除されず、「www.youtube.com」ではデータベースストレージ、サービスワーカー、ローカルストレージが削除されなかった。ただし、この動作は終了時の自動削除に限られ、個別に手動で削除すればすべて削除できる。

Googleはこの問題を調査中で近日中に修正版をロールアウトすると説明しており、手元の環境ではChromeを86.0.4240.111に更新したところ、YouTubeのサービスワーカーとローカルストレージは削除されるようになった。YouTubeのデータベースストレージとGoogleのローカルストレージは相変わらず削除されない。

ちなみに、Chromiumベースの新Microsoft Edgeでも同様の設定を試してみたが、いくつかのサイトで削除されないものがみられた。

すべて読む | ITセクション | Chrome | YRO | バグ | プライバシ |

関連ストーリー：
Google ChromeのSameSite cookie強制、7月に再開へ 2020年05月31日
Safari、すべてのサードパーティCookieをブロックへ 2020年03月25日
Google、ChromeでUser Agent文字列を凍結する計画 2020年01月17日
Firefox 69.0リリース、「サードパーティのトラッカーCookie」のブロッキングが全ユーザーのデフォルトで有効に 2019年09月07日
Google、Webユーザーのプライバシーを強化しつつ関連性の高い広告を表示可能なオープン標準の開発を提唱 2019年08月28日
WebKit、サードパーティーによるユーザー追跡を禁じる新ポリシーを発表 2019年08月20日
世の中には「個人情報保護のためにCookieを使用している」と主張するサイトが多数存在する 2019年08月15日
Chrome 76ではWebサイトによるシークレットモード検出が困難に 2019年07月21日
Firefox、サードパーティのトラッカーCookieをデフォルトでブロックへ 2019年06月07日
ログリー、「Cookieを使用せずにユーザー属性を推定する技術」の特許を取得 2019年05月14日
Firefox 82、複数の問題が報告されてロールアウトを制限 2020年10月25日

headless 曰く、

Googleは21日、Google Chrome 86における不正な通知許可リクエストをブロックする機能の強化を発表した(Chromium Blogの記事)。

Webサイトからの通知許可リクエストは必要としないユーザーにも表示されるため、苦情の多い機能の一つになっているという。中にはユーザーをだますようなメッセージで通知を許可させようとする不正な通知許可リクエストや、通知自体がユーザーをだますことを目的とした不正な通知を表示するWebサイトもある。

そのため、Chrome 80では「静かな方法で通知する」オプションが追加された。このオプションは設定画面の「プライバシーとセキュリティ→サイトの設定→通知」で有効化できる。有効にすると通知許可リクエストがポップアップ表示されなくなり、Omnibox(アドレス・検索ボックス)に斜線の入ったベルのアイコンが追加されるようになる。このアイコンをクリックすると通知がブロックされた旨表示され、通知を許可するかどうかを指定できる。

さらにChrome 84では不正な通知許可リクエストに自動で静かな方法の通知を適用し、Omniboxのアイコンをクリックすると侵襲的な通知を表示するためにだまそうとしているといった内容の説明が表示されるようになっていた。Chrome 86では対象を拡大し、不正な通知のパターンに一致する通知を表示するWebサイトからの通知許可リクエストに対しても静かな方法の通知が適用されるようになったとのこと。なお、Chrome 84での変更を発表するブログ記事では不正な通知を表示するWebサイトも対象となるような記述もみられるが、これはなかったことになっているようだ。

すべて読む | ITセクション | Chrome | セキュリティ |

関連ストーリー：
Google Chrome、タブの検索機能がテスト可能に 2020年10月21日
Google、音声文字変換アプリに音検知通知機能を追加 2020年10月10日
Google、Android 12ではサードパーティーのアプリストアを利用しやすくする計画 2020年10月01日
Google Playで配布されるアプリのアプリ内購入機能に対し、Googleが課金システム使用義務付けを厳格化する計画との報道 2020年09月27日
Google、Chromeウェブストアの決済機能を廃止へ 2020年09月26日
Chrome 86 Dev/Canary、アドレスボックスにドメイン名のみを表示するテストを実施 2020年08月15日

国税庁は16日、来年1月からChromiumベースの「Microsoft Edge」と「Google Chrome」が、e-Taxの送信に利用できるようになると発表した。（国税庁、窓の杜）。

これまで国税庁ホームページの確定申告書等作成コーナーでは、Internet Explorerや旧Microsoft Edgeだけがサポート対象となっていた。5月から「受付システム」と「e-Taxの開始（変更等）届出書作成・提出コーナー」に関しては拡張機能との併用で対応していたが、このほかに関しては令和3年1月からのサポート予定となっていた。

今回の対応により、「Firefox」以外ではマイナンバーカード方式によるe-Taxの送信が可能となった。FirefoxでもID・パスワード方式に関しては利用できる。

このほか、スマートフォンによるマイナンバー方式のe-Tax送信に関しても、従来はe-TaxアプリやマイナポータルAPなど複数の専用アプリをインストールする必要があった。しかし、来年の1月からはマイナポータルAPのみで完結するように改善される。

タブレットでの申告書作成に関しても、スマートフォンと組み合わせることにより、ICカードリーダライターなしでも申告が行えるようになった。具体的には、スマートフォンのアプリマイナポータルAPでQRコードを表示させ、これをタブレットで読み取ることで申告が可能となる。

すべて読む | ITセクション | Chrome | IT | 政府 | お金 |

関連ストーリー：
国税庁のe-Taxサイト、Google ChromeとChromium版Microsoft Edgeの対応を開始 2020年05月27日
ChromiumベースのMicrosoft Edge、正式リリース 2020年01月17日
国税庁のシステムでもシステム障害 2019年12月20日
国会でIE論争 2019年02月27日

headless 曰く、

Windows版のGoogle Chromeでタブの検索機能がテスト可能になっている(Ghacksの記事、 Techdowsの記事、 9to5Googleの記事、 Redditの記事)。

タブの検索機能はデフォルトで無効になっている。有効化はchrome:flagsでフラグを設定するのではなく、コマンドラインオプション「--enable-features=TabSearch」を指定してChromeを起動する必要がある。常用するならコマンドラインオプション付きで起動するようにショートカットを編集するといいだろう。

コマンドラインオプション付きで起動するとタブストリップの「+」ボタンの隣にタブ検索ボタンが追加され、クリックすると検索ボックスと開いているタブのリストが表示される。機能的にはFirefoxでタブがオーバーフローしたときに表示されるボタンと同様だが、Chromeの場合はFirefoxと違ってボタンが常に表示され、複数のウィンドウで開いているタブがすべてリストアップされる。

コマンドラインオプションは安定版を含む全チャネルの最新ビルドで有効だが、タブ検索のショートカットキーは安定版で「Ctrl+Shift+E」なのに対し、プレビュービルド(Canary/Dev/Beta)では「Ctrl+Shift+A」となり、タブ検索ボタンのデザインも異なる。

この機能はChrome OSのCanaryチャネルで8月から利用可能になっていた。8月にはMacでのタブ検索機能に関するバグ報告が出ており、最近はすべてのデスクトップOS版(Linux/Windows/Chrome/Mac)を対象にしたバグ報告も出ているので、LinuxやMacでも利用できるのかもしれない。

なお、先日話題になったタブストリップのスクロール機能はCanaryとDevで利用可能になり、スクロールボタンも表示されるようになっている。

すべて読む | ITセクション | Chrome | Google | インターネット | IT |

関連ストーリー：
新Microsoft Edge、Windows 10上のChromeやFirefoxなどで直接ダウンロードできなくなる 2020年10月18日
Chrome Canary、タブストリップのスクロールが可能に 2020年10月09日
Google、Chromeウェブストアの決済機能を廃止へ 2020年09月26日
グーグルと共同設計してChrome OSのパフォーマンスが向上したAMD製プロセッサ 2020年09月23日
iOS版Chrome 85、デスクトップ版サイトをリクエストした場合のUser Agent文字列が変更される 2020年09月16日
Chrome 85、AndroidでもSecure DNSが順次利用可能に 2020年09月05日

あるAnonymous Coward 曰く、

Chrome拡張機能のNano DefenderとNano Adblockerが悪意ある者に売却され、マルウェア化してしまったようだ(元の開発者によるプロジェクト譲渡に関するアナウンス、 280blockerの記事[1]、 [2]、 gHacksの記事)。

Firefox用Nano DefenderとNano Adblockerは大丈夫みたい。

有名拡張が買収で…といえばStylishを思い出した。uBlockも委譲されたかと思ったら結局元の開発者がuBlock Originを立ち上げていたな。

元の開発者はNanoプロジェクトに割り当てる時間がなくなってバックログがたまり続けたためメインテナーを探しており、新しい開発者から申し出がなければ開発停止をアナウンスする計画だったという。金銭的なやりとりはあったようだが、新しい開発者がいい仕事をすれば寄付の形で大半を返金することも考えていたそうだ。

Nanoプロジェクトのフォーク元であるuBlock Origin開発者のRaymond Hill(gorhill)が更新後の拡張機能を分析した結果、拡張機能読み込み時にhttps://def.dev-nano.com/からリストを取得し、リストで指定された条件に一致するネットワークリクエストがあると情報をhttps://def.dev-nano.com/に送信するコードなどが追加されていたという。

なお、新しい開発者のGitHubアカウントは既に削除されており、Nano DefenderおよびNano AdblockerはChromeウェブストアから削除されている。Microsoft Edgeのアドオンストアに関しては元の開発者がアカウントを維持しており、ストアで表示されないようにしたと説明しているが、現在のところ削除はされていないようだ。

すべて読む | セキュリティセクション | Chrome | セキュリティ | デベロッパー | プライバシ |

関連ストーリー：
Google、Chromeウェブストアでのスパム対策を強化 2020年05月04日
過剰なデータ収集行為が指摘されていたAvast/AVGの拡張機能、Chromeウェブストアから一時削除される 2019年12月24日
Mozilla、リモートコードを実行する拡張機能をブロックリストに追加 2019年11月08日
Google曰く、Chrome拡張機能プラットフォームの新マニフェストは広告ブロックをより安全にする 2019年06月15日
Google、拡張機能のデータアクセス制限強化などのChromeウェブストアポリシー変更を発表 2019年06月06日
人気のFirefox拡張機能「Stylish」がポリシー違反でブロック、すべての閲覧履歴を収集か 2018年07月05日
Chromeウェブストアで怪しいサイトへ誘導しようとする「テーマ」が増加中 2018年05月30日
悪意あるコードを含む偽拡張機能、Chromeウェブストアで合計2,000万人以上がインストール 2018年04月21日
アンインストールを困難にする機能を備えたブラウザー拡張機能 2018年01月21日
2本のGoogle Chrome拡張機能、開発者アカウント乗っ取りでアドウェアが配信される 2017年08月05日
Webブラウザアドオン「Styish」、ユーザーデータの収集を始めて騒動に 2017年01月19日
アドウェアベンダー、広告を仕込むためにChrome拡張を買い取る 2014年01月21日

headless 曰く、

Chrome Canaryでタブストリップのスクロール機能が利用可能になっている(Ghacksの記事)。

タブストリップのスクロール機能はタブの数が増えてもタブ幅を一定幅よりも小さくならないようにし、はみ出した部分をマウスホイールでスクロール表示できるようにする機能だ。この機能を利用するにはChrome Canary 88.0.4284.0以降(88.0.4285.0で確認)でchrme://flagsの「Scrollable Tabstrip (chrome://flags/#scrollable-tabstrip)」を「Enabled」にしてChromeを再起動すればいい。

この機能は2018年から開発が進められており、フラグ自体は安定版のChromeにも実装されているが、タブが一定幅よりも小さくならないようになるだけでスクロールはできなかった(Macでは少し前からスクロールできるようになっていたようだが未確認)。また、タブストリップの隣に左右のスクロールボタンを配置してスクロールできるようにする機能の実装も進められているようだ。

すべて読む | ITセクション | GUI | Chrome | デベロッパー | IT |

関連ストーリー：
Chrome 86 Dev/Canary、アドレスボックスにドメイン名のみを表示するテストを実施 2020年08月15日
Android版Chrome Canary、ダウンロードのスケジュール機能をテスト中 2020年07月23日
デスクトップ版Chrome Canary、限定的ながらWebページのQRコード生成が可能に 2020年04月21日
Mozilla、2021年初めにFirefoxのFTPサポートを削除する計画 2020年03月20日
Google Chromeのタブ機能は改善するか 2018年11月25日

headless 曰く、

Googleは21日、Chromeウェブストアで有料アイテムを販売するための決済機能を廃止する計画を明らかにした(Googleの発表、 Android Policeの記事、 The Vergeの記事、 SlashGearの記事)。

Googleは11年前にChromeウェブストアを開始した当時、拡張機能の開発者に収益化手段を提供するために決済機能を追加したが、現在ではさまざまな決済手段が利用可能になったことを廃止の理由に挙げている。しかし、1月にはChromeウェブストアの決済機能を使用した不正な取引も問題になっている。既に新規有料アイテムの公開は3月27日から一時的に無効化されていたが、9月21日から恒久的な無効化となった。

今後は12月1日に無料トライアルが無効化、2021年2月1日にすべての決済が無効化される。少なくとも2021年7月まではライセンス情報を取得することが可能だが、将来的にはライセンシングAPIも廃止になるとのこと。拡張機能の収益化にChromeウェブストアの決済機能を使用してない開発者は何も影響を受けないが、決済機能を使用している場合やライセンシングAPIを使用している場合も別の手段を実装する必要がある。

個人的にはChromeウェブストアに「無料」というチェックボックスがあることから有料アイテムの存在を認識していた程度で、実際に有料アイテムを見たことも使ったこともなかった。スラドの皆さんはChromeウェブストアで有料アイテムを公開したり、入手したりしたことがあるだろうか。

すべて読む | ITセクション | Chrome | Google | デベロッパー | お金 |

関連ストーリー：
英文化・メディア・スポーツ委員会、ゲーム内のガチャを賭博とみなして規制対象にするよう英政府に勧告 2019年09月16日
子供がプレイするビデオゲームで課金プレイ提供を禁止する米法案、超党派で提出される 2019年05月26日
欧米のギャンブル規制当局、ルートボックスに関する共同声明を発表 2018年09月22日
オランダ当局、ゲーム内のランダム型アイテム課金を賭博と認定 2018年04月24日

AMDがChromebook向けモバイルプロセッサ、「Ryzen 3000 C-Series」と「Athlon 3000 C-Series」シリーズを発表した。Acer、ASUS、HP、およびLenovoから同プロセッサを搭載した製品が発売予定となっている（AMD、PC Watch、EL Chapuzas Informatico）。

Googleと共同で設計したというこのプロセッサでは、Chromebook向けに大きな拡張を行っているという。Ryzen 3000 Cシリーズでは、前世代のAMDプロセッサを搭載するChromebookと比べ、マルチタスク処理とコンテンツ制作能力に関しては、最大212％のパフォーマンス向上が見込まれているとしている。またWi-Fi 6やBluetooth 5をサポート、Radeon Graphicsを内蔵するなどグラフィックス性能も向上している。

ラインナップはAMD Ryzen 7 3700C、AMD Ryzen 5 3500C、AMD Ryzen 3 3250C、AMD Athlon Gold 3150C、AMD Athlon Silver 3050Cの5種類が用意されている。Ryzen 7 3700CとRyzen 5 3500Cでは製造プロセスが12nmを採用、残りのRyzen 3 3250C、Athlon Gold 3150C、Athlon Silver 3050Cでは14nmを採用している（各製品の仕様）。

すべて読む | ITセクション | Chrome | ハードウェア | Google | ニュース |

関連ストーリー：
GIGAスクール構想における教育向けPC市場、Chromebook採用が増える見込み 2020年08月04日
2020年第2四半期のPC出荷台数、Gartnerは2.8％増、IDCは11.2％増と推計 2020年07月12日
「Microsoft版のChromebook」は実現するのか 2020年06月26日
米国では新型コロナウイルスの影響でテレビやDVDプレイヤーの売り上げが大幅に増加 2020年05月01日
2020年第1四半期のPC出荷台数、上位ベンダーではDellのみが増加 2020年04月18日

headless 曰く、

iOS版Chrome 85では、デスクトップ版サイトをリクエストした場合のUser Agent文字列がChrome 84までとは異なるものになっているそうだ(Chromium Blogの記事、 開発者向け情報)。

iOS版Chromeでユーザーがデスクトップ版サイトをリクエストした場合、Chrome 84まではデスクトップ版Safariと同じUser Agent文字列が送信されていた。Chrome 85以降でもデスクトップ版SafariのUser Agent文字列がベースとなっているが、「Version/<バージョン>」の手前に「CriOS/<メジャーバージョン>」が追加されているという。

iOS版Chromeのデフォルト(モバイル版サイト表示)ではモバイル版SafariのUser Agent文字列の「Version/<バージョン>」を「CriOS/<Chromeリビジョン>」に置き換えたものが送信されている。今回の変更により、モバイル版とデスクトップ版でUser Agent文字列がこれまでよりも揃った形式になる。

User Agent文字列変更の目的としては、iOS上のChromeとSafariの違いを考慮したユーザーエクスペリエンスを開発者が提供できるようにすることだという。しかし、Googleはフィンガープリンティングで使われないよう、ChromeのUser Agent文字列に含まれる情報量を減らす計画を進めている。今回の変更は情報量を増やすことになるが、計画から大きく外れるものではないとのこと。なお、この計画はCOVID-19の影響で2021年以降に先送りされている。

すべて読む | ITセクション | モバイル | Chrome | デベロッパー | iOS |

関連ストーリー：
Microsoft EdgeのシェアがFirefoxを上回る 2020年04月04日
Chromeウェブストア、新Microsoft EdgeでアクセスするとGoogle Chromeを推奨 2020年02月22日
Windowsバージョン別シェア1月分、Windows 7が25％を割る 2020年02月03日
Google、ChromeでUser Agent文字列を凍結する計画 2020年01月17日
Firefox 69.0リリース、「サードパーティのトラッカーCookie」のブロッキングが全ユーザーのデフォルトで有効に 2019年09月07日

Googleは2日、Chrome 85でSecure DNSをAndroid版Chromeでも利用可能にする計画を示した(Chromium Blogの記事、 Ghacksの記事、 Android Policeの記事)。

Secure DNSはDNS-over-HTTPS(DoH)プロトコルを利用するもので、デスクトップ版ではChrome 83から順次導入されている。Android版でも同様に順次導入されていき、デフォルトでは現在使用しているDNSプロバイダーがDoHをサポートしていれば自動で切り替えられる。自動モードの場合は状況に応じて通常のDNSにフォールバックし、定期的にDoHでの接続を試みるという。フォールバックなしでSecure DNSを使用するには、DNSプロバイダーをマニュアル設定するオプションを選択すればいい。Secure DNS自体をオフにすることも可能だ。

すべて読む | セキュリティセクション | Chrome | セキュリティ | インターネット |

関連ストーリー：
Windows 10 Insider Preview、DNS over HTTPSがテスト可能に 2020年05月16日
Mozilla、Firefoxで「DNS-over-HTTPS」を有効に 2020年02月27日
Microsoft、WindowsでDNS over HTTPSをサポートする計画 2019年11月23日
英ISP協会、今年の「インターネットの悪漢」賞は結局取りやめ 2019年07月14日
英ISP協会、Mozillaを「インターネットの悪漢」にノミネート 2019年07月07日
IIJ、DNS over TLSやDNS over HTTPSに対応するパブリックDNSサービスを開始 2019年05月09日
CloudflareのパブリックDNSサービス1.1.1.1ではarchive.isの名前解決が行えない 2019年05月08日
FirefoxがDNS over HTTPなどをサポート、批判も 2018年08月09日
Cloudflare、「DNS over Twitter」サービスを開始 2018年04月10日

VerisignのCSO Applied Research部門の主任エンジニアであるMatthew Thomas氏は、APNICのブログで、DNSルートサーバーのトラフィックの半数は、Chromium系ブラウザから出ている大量のクエリが原因であると指摘する（APNIC、ZDNet）。

Chromiumには初期の頃から、ユーザーがウェブサイト名、URL、または検索語を入力できるアドレスバーの機能が存在していた。しかしアドレスバーには、入力された単語を検索語として扱うのか、URLとして扱うのかといったインターフェースとして問題があるという。通常は「marketing」と打ち込めば検索語として扱われる。しかし「もしかして http:// marketing」というようにURLではないかとして判断する挙動を見せるときも多い。

この原因はChromiumがネットワークを信頼しているかどうかにあるという。DNSサーバーが傍受されないDNS応答を返さない場合、すべての検索語で「もしかして」という情報バーが表示されてしまうこともある。Chromiumベースのブラウザは、7〜15文字からなる3つのドメイン名をランダムに呼び出してテストし、2つのドメインの応答が同じIPを返した場合のみブラウザは、ネットワークが存在しないドメイン要求をキャプチャして、リダイレクトを行っていると考えられるという。

同氏の調査では、2020年5月13日の総トラフィックの45.80％は、Chromiumプローブからのトラフィックであるように見えるとしている。ルートサーバーのDNSトラフィックの半分が単一のブラウザをサポートするためだけに使用されているのではないかと指摘している。

すべて読む | ITセクション | Chrome | Chromium | IT |

関連ストーリー：
Chrome 86 Dev/Canary、アドレスボックスにドメイン名のみを表示するテストを実施 2020年08月15日
デスクトップ版Chrome Canary、限定的ながらWebページのQRコード生成が可能に 2020年04月21日
Chromiumベースの新Microsoft Edge、安定版がダウンロード可能に 2019年10月26日
Microsoft Edge Devビルド、Windows 10上でIEモードが利用可能に 2019年07月13日

Googleは12日、デスクトップ版Chrome 86(Dev/Canary)で一部のユーザーを対象に、Omnibox(アドレス・検索ボックス)のURL表示をドメイン部分のみにするテストを実施していることを発表した(Chromium Blogの記事、 Ghacksの記事、 Neowinの記事、 SlashGearの記事)。

URLに細工してユーザーを混乱させる攻撃手法は無数にあり、Googleとイリノイ大学アーバナシャンペーン校の共同研究によると、ブランド名を含むURLパスを見たユーザーの60%以上がだまされるという結果が出ている。ドメイン部分のみの表示はこういった攻撃への対策の一つで、現実の使用でユーザーを悪意あるWebサイトへのアクセスに気付かせ、保護できるかどうかを確認するのが目的だという。

テスト対象になったユーザーの環境ではデフォルトでURL表示がドメイン部分のみになり、OmniboxをポイントしたときにのみフルURLが表示されるようになる。常にフルURLを表示するには、Omniboxのコンテキストメニューで「URL全体を常に表示」を選べばいい。

テスト対象になっていないユーザーは「chrome://flags」で「#omnibox-ui-sometimes-elide-to-registrable-domain」および「#omnibox-ui-reveal-steady-state-url-path-query-and-ref-on-hover」の両方をEnabledにすれば試すことができる。また、「#omnibox-ui-hide-steady-state-url-path-query-and-ref-on-interaction」をEnabledにすると、ページ内で何らかの操作をするまではフルURLが表示されるようになる。これらのフラグはChromium 86ベースのMicrosoft Edge Dev/Canaryにも用意されている。

ドメイン名のみの表示にするフラグは6月にChrome 85 Dev/Canaryで見つかり、話題となっていた。ただし、当時は上述の最初のフラグがなく、代わりに「chrome://flags/#omnibox-ui-hide-steady-state-url-path-query-and-ref」というフラグが用意されていた。なお、現在BetaチャンネルではChrome 85が提供されているが、対応するフラグは後の2つのみとなっている。

すべて読む | ITセクション | Chrome | セキュリティ |

関連ストーリー：
Chrome 85ではURLバーのドメイン名以外がすべてデフォルトで非表示になる可能性がある 2020年06月17日
Google Chrome、Web検索時にアドレスバー内に検索キーワードを表示するテストを実施 2020年02月06日
Google Chrome 77ではURLバーのEV証明書の組織表示を廃止へ 2019年08月13日
Chrome Canary、Web検索時に検索語句だけをOmniboxに表示する機能をテスト中 2018年09月24日
Android版Chrome 64、共有したWebページURLから不要なパラメーターを除去する機能が実装される 2018年02月23日
Google Chrome、URLの表示されないアドレスバーが標準となるか 2014年05月06日
Google Chrome開発版、アドレスバーを非表示にするオプション搭載 2011年05月22日
ChromeのUI改良、将来的にURL欄は非表示になる？ 2011年02月22日

Android版Chromeをしばらく使用していないユーザーに対し、通知を表示してChromeの使用を推奨する計画が進められているようだ(9to5Googleの記事、 Neowinの記事、 The Next Webの記事)。

9to5Googleが発見したコミットによると、他のアプリ内にChromeのタブを表示するCCT(Chrome Custom Tabs)が実行されたタイミングで使用状況をチェックし、Chromeをしばらく使用していないと判定した場合に3種の通知の一つを表示するという。通知の内容は主にChromeの使用でデータ使用量を削減できるといったものだ(android_chrome_strings.grd)。既にAndroid版Chrome Canaryには「Enable re-engagement notifications (chrome://flags#reengagement-notification)」というフラグが追加されている。

すべて読む | ITセクション | Chrome | spam | Chromium | デベロッパー |

関連ストーリー：
Mozilla、モバイル版Firefoxユーザーの一部にFacebookボイコットを呼びかけるリンクを通知表示 2020年07月26日
Android版Chrome Canary、ダウンロードのスケジュール機能をテスト中 2020年07月23日
Google、新規アカウントはデフォルトでアクティビティを自動削除 2020年06月28日
Apple、サードパーティーがバッテリーを交換したiPhoneの表示変更はユーザーを守るためだと説明 2019年08月17日
Apple、プッシュ通知で元Apple Musicユーザーに2度目の無料トライアルを提案 2019年02月13日
Apple、iOSユーザーの一部に宣伝をプッシュ通知して批判を浴びる 2018年12月23日
Chrome 69の「Googleサービスログイン時に自動でブラウザにもログインする仕様」に批判が集まる 2018年09月26日