headless 曰く、

Googleは23日、Chrome 90以降でプロトコルを省略したURLが入力された場合のデフォルトをHTTPSにすると発表した(Chromium Blogの記事、 Neowinの記事、 Android Policeの記事、 Softpediaの記事)。

現在のところChromeを含む多くのブラウザーではプロトコルを省略したURLが入力された場合、HTTPで接続する。HTTPSをサポートする多くのサイトでは自動でHTTPSにリダイレクトされ、Chromeではリダイレクトを記憶して次回からはHTTPSでアクセスする仕組みを備える。ただし、Internet ArchiveのようにHTTPSをサポートしながらHTTPアクセスをリダイレクトしないサイトもある。

現在ではHTTPSをサポートするサイトが主流になっているため、デフォルトをHTTPSにすることで最初のアクセス時の読み込み速度が改善するほか、セキュリティも向上する。そのため、GoogleではChromeのデフォルトHTTPS化計画を進めていた。

デフォルトHTTPS化は当初、デスクトップ版とAndroid版のChrome 90でロールアウトし、その後iOS版が続く計画だという。HTTPSをサポートしないサイトや、証明書エラーが発生した場合にはHTTPにフォールバックする仕組みも備える。

なお、現在Chrome Betaはバージョン90、Chrome Devはバージョン91となっているが、まだデフォルトはHTTPのままのようだ。一方、Chrome Canary 91ではデフォルトがHTTPSになっている。Chrome 90安定版は4月13日にリリース予定だ(Chrome Platform Status)。

すべて読む | ITセクション | Chrome | セキュリティ | 暗号 |

関連ストーリー：
Google、プロトコルを省略したURLがChromeに入力された場合のデフォルトをHTTPSにする計画 2021年01月08日
中国でハッキング大会が開催。主要OSやブラウザ、仮想環境で脆弱性が見つかる 2020年11月12日
Chrome拡張機能のNano Defenderがマルウェア化 2020年10月18日
Chrome 85、AndroidでもSecure DNSが順次利用可能に 2020年09月05日
延期されていたTLS 1.0/1.1のデフォルト無効化、6月から順次実施 2020年06月15日
Google、Chromeで混合コンテンツを完全にブロックする計画 2019年10月06日
Chrome/Firefox/Safariがカザフスタン政府の証明書をブロック、政府による傍受に対処 2019年08月23日
Google Chrome、FTPサポートを削除する計画 2019年08月21日

Googleは4日、Chromeのマイルストーン(メジャーバージョン)リリース間隔を現在の6週おきから4週おきに短縮する計画を発表した(Chromium Blogの記事、 The Vergeの記事、 9to5Googleの記事、 Android Policeの記事)。

現在、Googleではオープンソースコードにセキュリティバグの修正が適用されてから安定版に反映するまでのパッチギャップを小さくするため、2週間おきにChromeのセキュリティアップデートをリリースしている。また、テストとリリースのプロセスも改善していることから、リリース間隔を短縮して新機能をより早く提供できるのは明らかだという。新しいリリース間隔は第3四半期のChrome 94から開始する予定とのこと。

これに加え、アップデートの管理に時間が必要な企業のIT管理者とChromium埋め込みアプリ開発者向けに、8週間おきにメジャーバージョンをリリースする「Extended Stable」オプションを追加する計画も示された。Extended Stable向けには重要な問題を修正するアップデートが2週間おきにリリースされるが新機能は含まれず、4週間隔のオプションに提供されるセキュリティ修正のすべてが含まれることにはならないという。また、Chrome OSでは複数の安定版リリースをサポートする計画だといい、詳細は今後発表するとのことだ。

すべて読む | セキュリティセクション | Chrome | アップグレード | Google | セキュリティ | インターネット | Chromium | デベロッパー |

関連ストーリー：
アップデート適用が進まないLinux Mint、より多くのユーザーに迅速なアップデート適用を実行してもらうための改善計画 2021年03月01日
Windows 10 21H1は小規模なアップデートとなり、21H2が大規模なアップデートになるという報道 2020年11月29日
Firefoxのリリーススケジュール、現在のところ変更なし 2020年04月01日
Google Chrome、4月第2週にはメジャーアップデート再開へ 2020年03月28日
Google、ChromeブラウザーおよびChrome OSの次バージョンリリースを一時停止 2020年03月21日
Mozilla、Firefoxのメジャーリリースサイクルを4週間に短縮する計画 2019年09月18日
Mozilla、Firefoxのリリース間隔を6～8週間ごとに変更 2016年02月06日

国内外含めてChromebookのシェアが拡大している。世界的にも2020年のPC出荷台数でChromebookのシェアが10％を超えMacを上回ったとする報道もあったほか、国内でも政府のGIGAスクール構想の後押しにより、大幅なシェア拡大を果たしている（PC Watch、TechCrunch Japan）。MM総研が2月16日に発表した「GIGAスクール構想実現に向けたICT 環境整備調査」によれば、国内の教育市場においてはGoogle Chrome OSが43.8％のシェアを獲得、2位のiPadOSの28.2％、Microsoft Windowsの28.1％を上回ったという。

Googleによると2021年中には新たに40機種もの「Chromebook」が発売される予定であるという。多くがコンバーチブルタイプとなり、リモート学習などに適したデュアルカメラを搭載する予定。Googleは3月頃に搭載される予定の画面録画ツールなども発表している。このツールを使用すると、教師と生徒は教室や自宅で授業内容やレポートを記録することができる。授業や宿題の管理などが行える「Google Classroom」に関しても、教師向けにアドオンのマーケットプレイスを導入する。授業に適したサービスやツールなどが提供される予定（Googleブログ、Googleブログその2、Engadget、CNET）。

nemui4 曰く、

教育用途向けに頑張ってる様子。端末固まっても、リセットでなんとかなるみたいだし。

すべて読む | ITセクション | Chrome | Google | 教育 | IT |

関連ストーリー：
IDC推計、2020年のPC出荷台数でChromebookがMacを上回る 2021年02月21日
Windowsバージョン別シェアで3か月ぶりにWindows 10が増加し、Windows 7が減少 2021年02月05日
世界的にもChromebookの出荷が増加。コロナ禍による教育市場への需要増で 2021年02月02日
2020年のPC出荷台数は3億261万台、10年ぶりの大幅増に 2021年01月14日
Google、CloudreadyのNeverware社を買収。古いPCをChromebook化 2020年12月18日
GIGAスクール構想で配付された端末、各地で様々な機能制限が報告される 2020年11月21日

人気のChrome拡張機能「The Great Suspender」がマルウェア化し、GoogleはChromeウェブストアから削除するだけでなく、インストール済みの拡張機能をリモートから無効化したそうだ(Android Policeの記事、 The Vergeの記事、 Neowinの記事、 SlashGearの記事)。

The Great Suspenderは使用していないタブをサスペンドしてメモリ使用量を削減するオープンソースの拡張機能で、ソースコードはGitHubで公開されている。しかし、昨年6月に開発者が正体不明な新オーナーへのプロジェクト譲渡を発表し、10月にはGitHubでリリースされていない更新が公開されて怪しい動作をするようになったとの報告が出始める。この頃にはほぼマルウェア化確定との見方が広がっていたが、Googleは調査の結果問題なしとみなしていたようだ。

しかし、Googleは2月4日になって拡張機能の実行をブロックし、Chromeウェブストアからも削除する。これにより、ユーザーはサスペンドしていたタブを復元できなくなるトラブル(サスペンドしたタブのURLには元のURLが含まれるので、手作業で復元することは可能)にも見舞われることになった。

オープンソースのChrome拡張機能では昨年、Nano Defender/Nano Adblockerが新オーナーへ譲渡後にマルウェア化している。このケースも今回のThe Great Suspenderのケースと同様だが、長年プロジェクトを維持していた元の開発者が徐々に時間を取れなくなったことが譲渡の主な理由となっている。このようなケースは今後増えていくのだろうか。なお、昨年11月にMicrosoft Edgeアドオンサイトで人気拡張機能の偽物が複数発見された際、The Great Suspenderも含まれていたが、本件との関係は不明だ。

すべて読む | セキュリティセクション | Chrome | セキュリティ | ソフトウェア | デベロッパー |

関連ストーリー：
マルウェアを含む拡張機能計28本、ChromeウェブストアとEdgeアドオンストアで見つかる 2020年12月20日
Google、Chrome拡張機能プラットフォームのManifest V3ロールアウト計画を公式に発表 2020年12月11日
新Microsoft Edgeのアドオンストア、人気拡張機能の偽物が複数見つかる 2020年11月24日
Chromeウェブストア、拡張機能がユーザーから収集するデータに関する情報の表示を1月に開始 2020年11月22日
Chrome拡張機能のNano Defenderがマルウェア化 2020年10月18日
EFFのブラウザー拡張機能「Privacy Badger」を特徴付ける機能、デフォルトで無効に 2020年10月10日
Webブラウザアドオン「Styish」、ユーザーデータの収集を始めて騒動に 2017年01月19日

headless 曰く、

Googleがサードパーティ製ChromiumベースブラウザーでChrome専用の非公開APIの使用制限を計画していることについて、Chromeの使用を強制するものだとFedoraのChromiumパッケージのメインテナーが批判している(FEDORA-2021-48866282e5、 The Registerの記事)。

Chromeの非公開APIはGoogleアカウントを通じたデータ同期機能やClick to Call機能などを利用可能にするものだ。Googleはサードパーティの使用を意図したAPIではないなどとして、3月15日以降アクセスに制限を設ける計画を先日発表した。しかし、FedoraメインテナーのspotことTom Callaway氏によると、Googleは2013年にAPIキーを通じ、これらの機能へのアクセス権限をChromiumパッケージのビルダーに提供していたのだという。これにより、オープンソースのChromiumブラウザーはChromeとほぼ同じ機能を得られていた。

そのため、API使用制限はセキュリティ上の問題を解決するためではなく、Chromeの使用を必須としたいだけだとCallaway氏は批判する。大幅な機能低下につながる変更を受けて、Callaway氏はChromiumパッケージのメインテナーを続けるかどうかについても思い悩んだそうだ。しかし、すべてのユーザーがこれらの機能を必要とするわけではないことや、後継メインテナーが同じ問題に突き当たることを考慮して当面は続けることにしたとのこと。

Googleによるアクセス制限は3月15日だが、Callaway氏は先日リリースしたChromium 88のパッケージでAPIアクセスを無効化した。これには時期尚早とのコメントもみられるが、Callaway氏はこのことを事前に知っておき、Chromiumを使い続けるかどうか検討した方がいいと考えているようだ。代替としてGoogleの機能をフルに活用したいならプロプライエタリなChromeを使用すればよく、後で機能制限がかからないFOSSなブラウザーを使いたければFirefoxがあるとも述べている。

すべて読む | オープンソースセクション | オープンソース | Chrome | Google | Chromium | デベロッパー |

関連ストーリー：
Google、サードパーティ製ChromiumベースブラウザーでChrome専用の非公開API使用を制限する計画 2021年01月18日
Google、Chrome拡張機能プラットフォームのManifest V3ロールアウト計画を公式に発表 2020年12月11日
Microsoft Edge、Chrome拡張機能プラットフォームのManifest V3サポートへ 2020年10月17日
Google、Chromeウェブストアの決済機能を廃止へ 2020年09月26日
Web版「Google Earth」、Edge/Firefox/Operaがサポート対象になる 2020年03月05日
Google Playの脆弱性報告報奨金プログラム、対象が1億回以上インストールされた全アプリに拡大 2019年09月03日

headless 曰く、

Google ChromeのOmnibox(アドレス・検索ボックス)にプロトコルを省略してURLを入力した場合、HTTPS接続をデフォルトにする計画が進められているようだ(Issue 1141691、 Ghacksの記事、 Windows Latestの記事)。

Chromeに限らず、多くのブラウザーではプロトコルを省略したURLが指定された場合はHTTPで接続する。たとえば、「example.com」を指定すれば「http://example.com」に接続する。ただし、HTTPSをサポートするWebサイトの多くはHTTP接続をHTTPSにリダイレクトするため、「srad.jp」を指定した場合は「http://srad.jp」経由で最終的に「https://srad.jp」が表示されることになる。Chromeではリダイレクトを記憶して次回からHTTPS接続する仕組みを備えるが、多くのWebサイトでHTTPSへの移行が進む中、デフォルトをHTTPSにすることでセキュリティとパフォーマンスの向上が期待できる。

5日にコミットされた最初の実装では「upgraded HTTPS navigations」という仕組みが導入され、ナビゲーションのデフォルトスキームとしてHTTPSが使われるようになる。HTTPSナビゲーションが失敗した場合にHTTPへフォールバックする仕組みや、この際のSSLエラーを無視する仕組みも備える。次のコミットではHTTPSナビゲーションに時間制限を設け、遅いHTTPSサイトでは一定時間経過後にHTTPへフォールバックする仕組みも追加された。ただし、現在の実装は最低限のものだといい、一般提供されるまでには時間がかかるようだ。

すべて読む | セキュリティセクション | Chrome | セキュリティ | インターネット | Chromium | 暗号 |

関連ストーリー：
中国政府、TLS 1.3とESNIを使用するすべての暗号化されたHTTPSトラフィックをブロック中 2020年08月13日
EFF曰く、あなたが思うよりずっと公衆Wi-Fiは安全 2020年02月06日
Google、Chromeで混合コンテンツを完全にブロックする計画 2019年10月06日
Chrome 69ではHTTPS接続ページの「保護された通信」という表示が削除される 2018年05月20日
Wikipediaの常時HTTPS化によって政府による検閲が減少 2017年06月01日
FirefoxとChrome、パスワード入力フィールドを含むHTTP接続のページで警告を表示 2017年01月28日

Avastによれば、ChromeウェブストアやMicrosoft Edgeアドオンストアで公開されていた拡張機能28本でマルウェアが確認されたそうだ(Avastのプレスリリース、 Ars Technicaの記事、 SlashGearの記事)。

28本中15本がChromeウェブストア、13本がMicrosoft Edgeアドオンストアで公開されていた拡張機能で、ダウンロード件数は合計で300万件ほどだという。拡張機能はInstagram/Facebook用が半数以上を占め、種類としてはダウンロードツールが多い。マルウェアの機能としては広告やフィッシングサイトにリダイレクトしたり、個人情報を盗んだりといったもので、別のマルウェアをダウンロードする機能も確認されたそうだ。

マルウェアは調査しようとすると活動を控える仕組みを備えており、検出は困難なようだ。拡張機能は初めからマルウェアとして公開された可能性もあるが、人気が出るのを待ってアップデートでマルウェア化したり、元の作者から買い取ってマルウェアを仕込んだり、といったパターンも考えられるとのこと。

AvastではGoogleとMicrosoftに通知しており、19日朝の段階でChromeウェブストアからはリストアップされているすべての拡張機能が削除されている。Edgeアドオンストアでも19日午後にはすべて削除された。具体的な拡張機能の名称などはAvastのプレスリリースを参照してほしい。

すべて読む | セキュリティセクション | Chrome | Google | セキュリティ | マイクロソフト | インターネット |

関連ストーリー：
Google、Chrome拡張機能プラットフォームのManifest V3ロールアウト計画を公式に発表 2020年12月11日
Chrome拡張機能のNano Defenderがマルウェア化 2020年10月18日
Mozilla、より安全なFirefox拡張機能を示す「アドオンバッジ」2種類を追加 2020年10月08日
Microsoft曰く、CCleanerの特定バージョンのインストーラーは望ましくない可能性のあるアプリ 2020年08月02日
チェコの個人情報保護当局、Avastのユーザーデータ販売が個人情報侵害に該当する可能性を調査 2020年02月19日
Avast、ユーザーデータを販売していた子会社を廃業する計画 2020年02月01日
Avastが販売する匿名化したユーザーデータに対し、ユーザーの特定が可能との指摘 2020年01月29日
過剰なデータ収集行為が指摘されていたAvast/AVGの拡張機能、Chromeウェブストアから一時削除される 2019年12月24日
Mozilla、AvastやAVGの提供するFirefox拡張機能がユーザー情報を収集・送信しているとしてアドオンサイトから削除 2019年12月05日
Mozilla、リモートコードを実行する拡張機能をブロックリストに追加 2019年11月08日
Avast、サプライチェーン攻撃を受けていたことを公表 2019年10月24日
MozillaがFirefoxの拡張機能で難読化コードの使用禁止を発表した2日後、全拡張機能が動作しなくなるトラブルが発生 2019年05月04日
ポイ活ブラウザアプリSmoozは閲覧情報をすべて外部送信している 2020年12月21日

headless 曰く、

Googleは9日、Chrome拡張機能プラットフォームのManifest V3をChrome 88でロールアウトする計画を公式に発表した(Chromium Blogの記事 、 Android Policeの記事、 The Registerの記事)。

Manifest V3ではリモートでホストされたコードの使用が禁止されてセキュリティが向上し、バックグラウンドページの置き換えとなるサービスワーカーの導入や、拡張機能API全般で宣言型モデルへの移行を進めることでパフォーマンスが向上する。また、拡張機能APIを宣言型モデルに移行することで、プライバシーも向上する。たとえば、新しいdeclarativeNetRequest APIを使用すると、拡張機能がユーザーのデータにアクセスすることなく、ネットワークリクエストのブロックが可能になる。

declarativeNetRequest APIに関しては、広告ブロック拡張機能の動作が制限されるとしてManifest V3のドラフト公開時に批判されたが、当初最大3万件となっていたブロッキングルールは最大15万件に拡大されるなど改善されている。安定版リリース後もフィードバックに応じて改善を進めていくとのこと。

Manifest V3は現在、Chrome 88 Betaで利用可能になっており、Chrome 88が安定版となる1月中旬にはChromeウェブストアでManifest V3拡張機能の登録が可能になる。現時点ではManifest V2拡張機能のサポートを削除する時期は決まっていないが、Manifest V3が安定版Chromeで利用可能になってから少なくとも1年間は移行期間が設けられるとのことだ。

すべて読む | ITセクション | Chrome | アップグレード | セキュリティ | スラッシュバック | デベロッパー | プライバシ |

関連ストーリー：
Chrome拡張機能のNano Defenderがマルウェア化 2020年10月18日
国税庁のe-Taxサイト、Google ChromeとChromium版Microsoft Edgeの対応を開始 2020年05月27日
Google曰く、Chrome拡張機能プラットフォームの新マニフェストは広告ブロックをより安全にする 2019年06月15日
楽天ウェブ検索のChrome機能拡張、ホームページと検索エンジンを楽天に変更し固定して批判される 2019年04月18日
SNSでの「有害なコメント」を非表示にできるChrome拡張機能 2019年03月15日
Google、ユーザー名とパスワードの流出を通知するChrome拡張機能を公開 2019年02月09日
Chrome拡張のマニフェスト変更で広告ブロック拡張機能の動作が制限される可能性 2019年01月26日

窓の杜によると、Google Chrome 88以降のバージョンでは「target=_blank」で記載されているリンクに関しては、自動的に「rel=noopener」を付与する形式へ変更されるそうだ。以前からtarget=_blankには脆弱性があることが指摘されており、その対策のためであるとのこと。同様の仕様はSafariやFirefoxでも取られており、今回Chromeでも同様の形に足並みを揃えたとしている（窓の杜、Web担当者Forum）。

すべて読む | セキュリティセクション | Chrome | セキュリティ | IT |

関連ストーリー：
Google Chrome、Windows 7のサポートを2022年1月まで延長 2020年11月22日
Chromeウェブストア、拡張機能がユーザーから収集するデータに関する情報の表示を1月に開始 2020年11月22日
GoogleがChrome独自のルート証明書プログラムを計画中 2020年11月13日
Google Chrome、終了時のサイトデータ削除を有効にしてもGoogle関連のサイトデータが一部残るバグ 2020年10月24日

Googleは21日、Google ChromeのWindows 7サポートを少なくとも2022年1月15日まで延長すると発表した(Google Cloud Blogの記事、 9to5Googleの記事)。

Googleは今年1月、MicrosoftによるWindows 7の延長サポート終了後少なくとも18か月間、2021年7月15日まではChromeでWindows 7をサポートする計画を示していた。しかし、COVID-19パンデミックによる労働環境の変化のサポートなど、ITリーダーがさまざまな困難に直面する中、Googleは現状の評価とエンタープライズ顧客からのフィードバックを元に6か月のサポート期間延長を決めたそうだ。

Windows 10への移行は多くの組織で今年のロードマップに含まれていたが、優先順位の変更により21%の組織がWindows 10への移行途中であり、1%は近く移行を始める計画だという。サポート期間延長により、エンタープライズ顧客は移行がまだ済んでいないWindows 7で引き続きChromeのセキュリティや生産性に関する利益を享受でき、エンタープライズ向け機能を活用できるとのこと。Googleでは今後も継続してエンタープライズ顧客が直面する状況の評価を行い、さらなる変更があれば発表するとのことだ。

なお、MicrosoftはChromiumベースの新Micosoft EdgeでWindows 7を2021年7月15日までサポートする計画を示している。この件が記載されたMicrosoft Docsの記事は11月16日に更新されているが、Windows 7/Server 2008 R2のサポート終了日については変更されていない。

すべて読む | セキュリティセクション | ビジネス | Chrome | Google | セキュリティ | Windows | IT |

関連ストーリー：
Windows 7 拡張セキュリティ更新プログラム1年目、間もなく終了 2020年11月14日
Microsoft Edge、Windows UpdateでWindows 7/8.1に提供開始 2020年06月21日
新Microsoft Edge、Windows 7のサポートは2021年7月15日まで 2020年04月14日
セキュリティソフトウェアの多くが当面はWindows 7をサポート 2020年02月01日
Windows 7の壁紙が黒くなる問題、全ユーザーに対し修正パッチを提供へ 2020年01月28日
FSF、Windows 7をフリーソフトウェア化して「価値を高める」よう求める 2020年01月28日
Windows 7、最後の更新プログラム適用で壁紙が黒一色になったとの報告 2020年01月23日
Windows 7のサポート終了でユーザー増を期待するLinuxディストロメーカー 2020年01月18日
2019年のPC出荷台数は8年ぶりに増加 2020年01月16日
Chromiumベースの新Microsoft Edge、延長サポート終了後もWindows 7をサポート 2020年01月16日
Windows 7のサポートが本日で終了 2020年01月14日
Google Chrome、Microsoftによるサポート終了から少なくとも18か月はWindows 7をサポート 2020年01月12日

Chromeウェブストアでは来年1月から、拡張機能がユーザーから収集するデータに関する情報を拡張機能の詳細情報ページに表示するそうだ(Chromium Blogの記事、 9to5Googleの記事、 Android Policeの記事、 The Registerの記事)。

表示される情報は開発者の自己申告によるもので、拡張機能を新規公開または更新する場合は開発者向けダッシュボードで収集するデータと用途に関する情報の提供が求められる。Chromeウェブストアでは2021年1月18日から情報表示が始まり、それまでに開発者が情報を提供していない拡張機能に関してはその旨が表示されることになる。

これに合わせて開発者プログラムポリシーも更新されており、ユーザーから収集したデータに対する使用制限が追加された(Limited Uses of User Data)。ユーザーデータの使用は拡張機能が持つ単一の用途を提供または改善する目的のみに制限され、その他の目的での使用や販売は禁じられる。

第三者へのユーザーデータ転送が認められるのは、拡張機能の単一の用途を提供または改善するために必要な場合や法律の順守、セキュリティ目的のほか、買収や合併などに伴うものであって、ユーザーから明示的な許可を得た場合に限られる。また、ユーザーから明示的な許可を得た場合などを除き、人間がデータを読むことは認められない。

すべて読む | ITセクション | Chrome | デベロッパー | プライバシ |

関連ストーリー：
Chrome拡張機能のNano Defenderがマルウェア化 2020年10月18日
Google、Chromeウェブストアの決済機能を廃止へ 2020年09月26日
“Chrome ウェブストア”の不明瞭な審査に不満の声 2020年08月04日
Microsoft Edgeプレビュービルド、Chromeウェブストアからの拡張機能入手を推奨 2020年05月10日
Google、Chromeウェブストアでのスパム対策を強化 2020年05月04日
過剰なデータ収集行為が指摘されていたAvast/AVGの拡張機能、Chromeウェブストアから一時削除される 2019年12月24日
必要以上のパーミッションを要求しないことなどを定めたChrome拡張の新ユーザーデータポリシー、10月15日に適用開始 2019年07月28日
Google曰く、Chrome拡張機能プラットフォームの新マニフェストは広告ブロックをより安全にする 2019年06月15日
Google、拡張機能のデータアクセス制限強化などのChromeウェブストアポリシー変更を発表 2019年06月06日
Chrome拡張のマニフェスト変更で広告ブロック拡張機能の動作が制限される可能性 2019年01月26日

あるAnonymous Coward 曰く、

Google ChromeはTLSで使用されるルート証明書を伝統的にOSの証明書ストアから参照していたが、近い将来GoogleはiOS版を除いて独自のルート証明書プログラムへの移行を計画しているようだ(公式ページ)。これはFirefoxと類似のモデルである。

初期ルートストアにはLet's EncryptのISRG Root X1が含まれているので、移行が完了すればChromeがサポートするAndroid 5.0以降ではLet's Encryptの証明書の有効期限切れ問題は解消すると思われる。

情報元へのリンク

すべて読む | セキュリティセクション | Chrome | セキュリティ | インターネット | IT |

関連ストーリー：
Let's Encrypt、ルート証明書切り替えに向けて古いAndroidへの対策を呼びかけ 2020年11月08日
Microsoft、Microsoft Edge 85以降でSHA-1証明書の使用を可能にする新たな(かつ非推奨の)グループポリシーを追加 2020年09月02日
Let's Encrypt証明書を使用しているWebサイト、Android 7.1以前の端末での閲覧に影響か 2020年08月12日
Chrome/Firefox/Safariがカザフスタン政府の証明書をブロック、政府による傍受に対処 2019年08月23日
無料SSL「Let’s Encrypt」のルート証明書がすべての端末で直接信頼されるには5年必要 2018年08月10日

Google Chromeで終了時のサイトデータ削除を有効にしてもGoogle関連のサイトデータが一部削除されない問題が指摘され、Googleがバグだと説明しているそうだ(The Registerの記事、 The Vergeの記事、 Android Policeの記事、 発見者Jeff Johnson氏のブログ記事)。

この設定はGoogle Chromeの設定画面で「プライバシーとセキュリティ→Cookieと他のサイトデータ」にある「Chromeの終了時にCookieとサイトデータを削除する」をオンにすることで有効化できる。

実際に試してみたところ、Cookieはすべてのサイトで削除されたが、「chrome.google.com」と「www.google.com」ではローカルストレージが削除されず、「www.youtube.com」ではデータベースストレージ、サービスワーカー、ローカルストレージが削除されなかった。ただし、この動作は終了時の自動削除に限られ、個別に手動で削除すればすべて削除できる。

Googleはこの問題を調査中で近日中に修正版をロールアウトすると説明しており、手元の環境ではChromeを86.0.4240.111に更新したところ、YouTubeのサービスワーカーとローカルストレージは削除されるようになった。YouTubeのデータベースストレージとGoogleのローカルストレージは相変わらず削除されない。

ちなみに、Chromiumベースの新Microsoft Edgeでも同様の設定を試してみたが、いくつかのサイトで削除されないものがみられた。

すべて読む | ITセクション | Chrome | YRO | バグ | プライバシ |

関連ストーリー：
Google ChromeのSameSite cookie強制、7月に再開へ 2020年05月31日
Safari、すべてのサードパーティCookieをブロックへ 2020年03月25日
Google、ChromeでUser Agent文字列を凍結する計画 2020年01月17日
Firefox 69.0リリース、「サードパーティのトラッカーCookie」のブロッキングが全ユーザーのデフォルトで有効に 2019年09月07日
Google、Webユーザーのプライバシーを強化しつつ関連性の高い広告を表示可能なオープン標準の開発を提唱 2019年08月28日
WebKit、サードパーティーによるユーザー追跡を禁じる新ポリシーを発表 2019年08月20日
世の中には「個人情報保護のためにCookieを使用している」と主張するサイトが多数存在する 2019年08月15日
Chrome 76ではWebサイトによるシークレットモード検出が困難に 2019年07月21日
Firefox、サードパーティのトラッカーCookieをデフォルトでブロックへ 2019年06月07日
ログリー、「Cookieを使用せずにユーザー属性を推定する技術」の特許を取得 2019年05月14日
Firefox 82、複数の問題が報告されてロールアウトを制限 2020年10月25日

headless 曰く、

Googleは21日、Google Chrome 86における不正な通知許可リクエストをブロックする機能の強化を発表した(Chromium Blogの記事)。

Webサイトからの通知許可リクエストは必要としないユーザーにも表示されるため、苦情の多い機能の一つになっているという。中にはユーザーをだますようなメッセージで通知を許可させようとする不正な通知許可リクエストや、通知自体がユーザーをだますことを目的とした不正な通知を表示するWebサイトもある。

そのため、Chrome 80では「静かな方法で通知する」オプションが追加された。このオプションは設定画面の「プライバシーとセキュリティ→サイトの設定→通知」で有効化できる。有効にすると通知許可リクエストがポップアップ表示されなくなり、Omnibox(アドレス・検索ボックス)に斜線の入ったベルのアイコンが追加されるようになる。このアイコンをクリックすると通知がブロックされた旨表示され、通知を許可するかどうかを指定できる。

さらにChrome 84では不正な通知許可リクエストに自動で静かな方法の通知を適用し、Omniboxのアイコンをクリックすると侵襲的な通知を表示するためにだまそうとしているといった内容の説明が表示されるようになっていた。Chrome 86では対象を拡大し、不正な通知のパターンに一致する通知を表示するWebサイトからの通知許可リクエストに対しても静かな方法の通知が適用されるようになったとのこと。なお、Chrome 84での変更を発表するブログ記事では不正な通知を表示するWebサイトも対象となるような記述もみられるが、これはなかったことになっているようだ。

すべて読む | ITセクション | Chrome | セキュリティ |

関連ストーリー：
Google Chrome、タブの検索機能がテスト可能に 2020年10月21日
Google、音声文字変換アプリに音検知通知機能を追加 2020年10月10日
Google、Android 12ではサードパーティーのアプリストアを利用しやすくする計画 2020年10月01日
Google Playで配布されるアプリのアプリ内購入機能に対し、Googleが課金システム使用義務付けを厳格化する計画との報道 2020年09月27日
Google、Chromeウェブストアの決済機能を廃止へ 2020年09月26日
Chrome 86 Dev/Canary、アドレスボックスにドメイン名のみを表示するテストを実施 2020年08月15日

国税庁は16日、来年1月からChromiumベースの「Microsoft Edge」と「Google Chrome」が、e-Taxの送信に利用できるようになると発表した。（国税庁、窓の杜）。

これまで国税庁ホームページの確定申告書等作成コーナーでは、Internet Explorerや旧Microsoft Edgeだけがサポート対象となっていた。5月から「受付システム」と「e-Taxの開始（変更等）届出書作成・提出コーナー」に関しては拡張機能との併用で対応していたが、このほかに関しては令和3年1月からのサポート予定となっていた。

今回の対応により、「Firefox」以外ではマイナンバーカード方式によるe-Taxの送信が可能となった。FirefoxでもID・パスワード方式に関しては利用できる。

このほか、スマートフォンによるマイナンバー方式のe-Tax送信に関しても、従来はe-TaxアプリやマイナポータルAPなど複数の専用アプリをインストールする必要があった。しかし、来年の1月からはマイナポータルAPのみで完結するように改善される。

タブレットでの申告書作成に関しても、スマートフォンと組み合わせることにより、ICカードリーダライターなしでも申告が行えるようになった。具体的には、スマートフォンのアプリマイナポータルAPでQRコードを表示させ、これをタブレットで読み取ることで申告が可能となる。

すべて読む | ITセクション | Chrome | IT | 政府 | お金 |

関連ストーリー：
国税庁のe-Taxサイト、Google ChromeとChromium版Microsoft Edgeの対応を開始 2020年05月27日
ChromiumベースのMicrosoft Edge、正式リリース 2020年01月17日
国税庁のシステムでもシステム障害 2019年12月20日
国会でIE論争 2019年02月27日

headless 曰く、

Windows版のGoogle Chromeでタブの検索機能がテスト可能になっている(Ghacksの記事、 Techdowsの記事、 9to5Googleの記事、 Redditの記事)。

タブの検索機能はデフォルトで無効になっている。有効化はchrome:flagsでフラグを設定するのではなく、コマンドラインオプション「--enable-features=TabSearch」を指定してChromeを起動する必要がある。常用するならコマンドラインオプション付きで起動するようにショートカットを編集するといいだろう。

コマンドラインオプション付きで起動するとタブストリップの「+」ボタンの隣にタブ検索ボタンが追加され、クリックすると検索ボックスと開いているタブのリストが表示される。機能的にはFirefoxでタブがオーバーフローしたときに表示されるボタンと同様だが、Chromeの場合はFirefoxと違ってボタンが常に表示され、複数のウィンドウで開いているタブがすべてリストアップされる。

コマンドラインオプションは安定版を含む全チャネルの最新ビルドで有効だが、タブ検索のショートカットキーは安定版で「Ctrl+Shift+E」なのに対し、プレビュービルド(Canary/Dev/Beta)では「Ctrl+Shift+A」となり、タブ検索ボタンのデザインも異なる。

この機能はChrome OSのCanaryチャネルで8月から利用可能になっていた。8月にはMacでのタブ検索機能に関するバグ報告が出ており、最近はすべてのデスクトップOS版(Linux/Windows/Chrome/Mac)を対象にしたバグ報告も出ているので、LinuxやMacでも利用できるのかもしれない。

なお、先日話題になったタブストリップのスクロール機能はCanaryとDevで利用可能になり、スクロールボタンも表示されるようになっている。

すべて読む | ITセクション | Chrome | Google | インターネット | IT |

関連ストーリー：
新Microsoft Edge、Windows 10上のChromeやFirefoxなどで直接ダウンロードできなくなる 2020年10月18日
Chrome Canary、タブストリップのスクロールが可能に 2020年10月09日
Google、Chromeウェブストアの決済機能を廃止へ 2020年09月26日
グーグルと共同設計してChrome OSのパフォーマンスが向上したAMD製プロセッサ 2020年09月23日
iOS版Chrome 85、デスクトップ版サイトをリクエストした場合のUser Agent文字列が変更される 2020年09月16日
Chrome 85、AndroidでもSecure DNSが順次利用可能に 2020年09月05日

あるAnonymous Coward 曰く、

Chrome拡張機能のNano DefenderとNano Adblockerが悪意ある者に売却され、マルウェア化してしまったようだ(元の開発者によるプロジェクト譲渡に関するアナウンス、 280blockerの記事[1]、 [2]、 gHacksの記事)。

Firefox用Nano DefenderとNano Adblockerは大丈夫みたい。

有名拡張が買収で…といえばStylishを思い出した。uBlockも委譲されたかと思ったら結局元の開発者がuBlock Originを立ち上げていたな。

元の開発者はNanoプロジェクトに割り当てる時間がなくなってバックログがたまり続けたためメインテナーを探しており、新しい開発者から申し出がなければ開発停止をアナウンスする計画だったという。金銭的なやりとりはあったようだが、新しい開発者がいい仕事をすれば寄付の形で大半を返金することも考えていたそうだ。

Nanoプロジェクトのフォーク元であるuBlock Origin開発者のRaymond Hill(gorhill)が更新後の拡張機能を分析した結果、拡張機能読み込み時にhttps://def.dev-nano.com/からリストを取得し、リストで指定された条件に一致するネットワークリクエストがあると情報をhttps://def.dev-nano.com/に送信するコードなどが追加されていたという。

なお、新しい開発者のGitHubアカウントは既に削除されており、Nano DefenderおよびNano AdblockerはChromeウェブストアから削除されている。Microsoft Edgeのアドオンストアに関しては元の開発者がアカウントを維持しており、ストアで表示されないようにしたと説明しているが、現在のところ削除はされていないようだ。

すべて読む | セキュリティセクション | Chrome | セキュリティ | デベロッパー | プライバシ |

関連ストーリー：
Google、Chromeウェブストアでのスパム対策を強化 2020年05月04日
過剰なデータ収集行為が指摘されていたAvast/AVGの拡張機能、Chromeウェブストアから一時削除される 2019年12月24日
Mozilla、リモートコードを実行する拡張機能をブロックリストに追加 2019年11月08日
Google曰く、Chrome拡張機能プラットフォームの新マニフェストは広告ブロックをより安全にする 2019年06月15日
Google、拡張機能のデータアクセス制限強化などのChromeウェブストアポリシー変更を発表 2019年06月06日
人気のFirefox拡張機能「Stylish」がポリシー違反でブロック、すべての閲覧履歴を収集か 2018年07月05日
Chromeウェブストアで怪しいサイトへ誘導しようとする「テーマ」が増加中 2018年05月30日
悪意あるコードを含む偽拡張機能、Chromeウェブストアで合計2,000万人以上がインストール 2018年04月21日
アンインストールを困難にする機能を備えたブラウザー拡張機能 2018年01月21日
2本のGoogle Chrome拡張機能、開発者アカウント乗っ取りでアドウェアが配信される 2017年08月05日
Webブラウザアドオン「Styish」、ユーザーデータの収集を始めて騒動に 2017年01月19日
アドウェアベンダー、広告を仕込むためにChrome拡張を買い取る 2014年01月21日

headless 曰く、

Chrome Canaryでタブストリップのスクロール機能が利用可能になっている(Ghacksの記事)。

タブストリップのスクロール機能はタブの数が増えてもタブ幅を一定幅よりも小さくならないようにし、はみ出した部分をマウスホイールでスクロール表示できるようにする機能だ。この機能を利用するにはChrome Canary 88.0.4284.0以降(88.0.4285.0で確認)でchrme://flagsの「Scrollable Tabstrip (chrome://flags/#scrollable-tabstrip)」を「Enabled」にしてChromeを再起動すればいい。

この機能は2018年から開発が進められており、フラグ自体は安定版のChromeにも実装されているが、タブが一定幅よりも小さくならないようになるだけでスクロールはできなかった(Macでは少し前からスクロールできるようになっていたようだが未確認)。また、タブストリップの隣に左右のスクロールボタンを配置してスクロールできるようにする機能の実装も進められているようだ。

すべて読む | ITセクション | GUI | Chrome | デベロッパー | IT |

関連ストーリー：
Chrome 86 Dev/Canary、アドレスボックスにドメイン名のみを表示するテストを実施 2020年08月15日
Android版Chrome Canary、ダウンロードのスケジュール機能をテスト中 2020年07月23日
デスクトップ版Chrome Canary、限定的ながらWebページのQRコード生成が可能に 2020年04月21日
Mozilla、2021年初めにFirefoxのFTPサポートを削除する計画 2020年03月20日
Google Chromeのタブ機能は改善するか 2018年11月25日

headless 曰く、

Googleは21日、Chromeウェブストアで有料アイテムを販売するための決済機能を廃止する計画を明らかにした(Googleの発表、 Android Policeの記事、 The Vergeの記事、 SlashGearの記事)。

Googleは11年前にChromeウェブストアを開始した当時、拡張機能の開発者に収益化手段を提供するために決済機能を追加したが、現在ではさまざまな決済手段が利用可能になったことを廃止の理由に挙げている。しかし、1月にはChromeウェブストアの決済機能を使用した不正な取引も問題になっている。既に新規有料アイテムの公開は3月27日から一時的に無効化されていたが、9月21日から恒久的な無効化となった。

今後は12月1日に無料トライアルが無効化、2021年2月1日にすべての決済が無効化される。少なくとも2021年7月まではライセンス情報を取得することが可能だが、将来的にはライセンシングAPIも廃止になるとのこと。拡張機能の収益化にChromeウェブストアの決済機能を使用してない開発者は何も影響を受けないが、決済機能を使用している場合やライセンシングAPIを使用している場合も別の手段を実装する必要がある。

個人的にはChromeウェブストアに「無料」というチェックボックスがあることから有料アイテムの存在を認識していた程度で、実際に有料アイテムを見たことも使ったこともなかった。スラドの皆さんはChromeウェブストアで有料アイテムを公開したり、入手したりしたことがあるだろうか。

すべて読む | ITセクション | Chrome | Google | デベロッパー | お金 |

関連ストーリー：
英文化・メディア・スポーツ委員会、ゲーム内のガチャを賭博とみなして規制対象にするよう英政府に勧告 2019年09月16日
子供がプレイするビデオゲームで課金プレイ提供を禁止する米法案、超党派で提出される 2019年05月26日
欧米のギャンブル規制当局、ルートボックスに関する共同声明を発表 2018年09月22日
オランダ当局、ゲーム内のランダム型アイテム課金を賭博と認定 2018年04月24日