Chrome Canary のバージョンが 100 に到達した (Android Police の記事)。

Chrome 96 以降ではメジャーバージョンが 3 桁になる影響を事前に確認するためメジャーバージョンを 100 にするフラグ (#force-major-version-to-100) が追加されており、現在ベータ版の Chrome 98 以降にはマイナーバージョンを 100 にするフラグ (#force-minor-version-to-100) も追加されている。これらのフラグはChrome Canary 100 でも引き続き使用できるが、前者を Disabled にしなければ 後者を Enabled にしてもマイナーバージョンは 100 にならない。

Brave や Opera、Vivaldi といった Chromium 系ブラウザーも前者のフラグをサポートしている。Microsoft Edge Canary 99 は年末時点で前者のフラグをサポートしていなかったが、現在は両方のフラグをサポートしている。

すべて読む | ITセクション | Chrome | インターネット | Chromium | IT |

関連ストーリー：
Web ブラウザーのバージョン 100 問題、接近中 2021年12月25日

Google Chrome のメジャーバージョンが間もなく 100 に到達するのに先立ち、Chorme 96 では User Agent 文字列の Chrome メジャーバージョンを 100 にするフラグ (#force-major-version-to-100) が追加されている (9to5Google の記事、 Chrome Developers のブログ記事)。

このフラグはメジャーバージョンが 3 桁になった場合の影響を事前に確認するために追加された。影響としては User Agent パーサーがメジャーバージョンの桁数を決め打ちしていると正常に処理が実行できなくなるといったもので、同様の問題は Chrome 10 でメジャーバージョンが 2 桁に増えた際にも発生している。今回、バージョン 100 フラグを有効にすると www.energysavingspecialist.co.uk などの「Powered by Yell Business」サイトで問題が発生する (403 エラー) ことが報告され、Yell 側に報告して修正が行われた。Chrome のメジャーバージョンが 100 以上になっているかどうかを確認するサイト Is Chrome 100 yet? も公開されている。

フラグは Brave や Opera、Vivaldi といった Chrome 以外の Chromium 系ブラウザーでもサポートされているが、Microsoft Edge は Canary チャネルの Edge 99 でもサポートしていない。Chromium Gerrit ではメジャーバージョンを 99 に固定してマイナーバージョンに 100 以降のメジャーバージョンを記述するという提案もみられるが、Google の User Agent 文字列削減計画では Chrome 101 で逆オリジントライアルにオプトインしていないサイトに対し、マイナーバージョンを「0.0.0」にする予定となっている。

スラドの皆さんは対策の必要なサイト等を抱えているだろうか。

すべて読む | ITセクション | Chrome | Chromium | デベロッパー | IT |

関連ストーリー：
Windows バージョン別シェア で Windows 10 が 80 % を超える 2021年11月03日
Chrome の User Agent 文字列情報削減計画、完了は 2023 年 5 月の Chrome 113 を予定 2021年09月16日
Google、ChromeのUser Agent文字列情報削減計画を再開 2021年05月23日
新Microsoft Edge、デスクトップブラウザーシェアでFirefoxを超える 2021年04月04日
NetMarketShare、User Agent文字列の情報量削減を見据えて10月分を最後にブラウザーやOSなどのシェアデータ提供を終了 2020年11月03日
iOS版Chrome 85、デスクトップ版サイトをリクエストした場合のUser Agent文字列が変更される 2020年09月16日

Google が Google Chrome の Windows 7 サポートを 1 年間延長すると以前のブログ記事に追記する形で発表している (Google Cloud Blog の記事 [1]、 [2]、 Softpedia の記事)。

Google は Windows 7 の延長サポート終了直前の昨年 1 月、Microsoft によるサポートが終了してから少なくとも 18 か月、2021 年 7 月 15 日までは Google Chrome で Windows 7 をサポートすると発表した。しかし昨年 11 月には COVID-19 パンデミックにより Windows 10 への移行が遅れたことを踏まえ、少なくとも 2022 年 1 月 15 日までサポート期間を延長すると発表していた。今回の延長により、Windows 7 上の Google Chrome は少なくとも 2023 年 1 月 15 日までセキュリティと安定性に関する更新を受け取ることができるようになる。

なお、Microsoftも Microsoft Edge の Windows 7 / Server 2008 R2 サポート期間を当初は 2021 年 7 月 15 日までとしていたが、その後延長が繰り返されて現在では 2023 年 1月 15 日までとなっている。

すべて読む | ITセクション | Chrome | Google | セキュリティ | Windows |

関連ストーリー：
Windows 7 拡張セキュリティ更新プログラム、2年目が間もなく終了し、最終年の3年目へ 2021年11月16日
Microsoft、Windows Update を通じた Windows 7 へのドライバー提供を終了 2021年06月20日
Google Chrome、Windows 7のサポートを2022年1月まで延長 2020年11月22日
Windows 7 拡張セキュリティ更新プログラム1年目、間もなく終了 2020年11月14日
新Microsoft Edge、Windows 7のサポートは2021年7月15日まで 2020年04月14日
セキュリティソフトウェアの多くが当面はWindows 7をサポート 2020年02月01日
Windows 7のサポート終了でユーザー増を期待するLinuxディストロメーカー 2020年01月18日
Chromiumベースの新Microsoft Edge、延長サポート終了後もWindows 7をサポート 2020年01月16日
Windows 7のサポートが本日で終了 2020年01月14日
Google Chrome、Microsoftによるサポート終了から少なくとも18か月はWindows 7をサポート 2020年01月12日
Microsoft Security Essentials、1月14日以降もウイルス定義の更新が提供されることに 2019年12月21日
0patch、Windows 7/Server 2008のサポート終了後もサードパーティーパッチを提供する計画 2019年09月22日

headless 曰く、

Googleは 23 日、Chrome 拡張機能プラットフォームの Manifest V2 終息と Manifest V3 移行タイムラインを公開した (Chrome Developers のブログ記事、 Manifest V2 support timeline、 9to5Google の記事)。

Manifest V3 は Chrome 拡張の信頼性向上を目指して 2018 年に発表された。コンテンツブロッカーの動作が制限されるとして反対の声も出ていたが、その後制限はある程度緩和された。今年 1 月には Chrome 88 で Manifest V3 がロールアウトし、Chrome ウェブストアで Manifest V3 拡張機能の登録が可能になっている。

Manifest V2 終息タイムラインによると、2022 年 1 月 17 日には Chrome ウェブストアで公開設定が「一般公開」「限定公開」となっている Manifest V2 拡張機能の新規登録を停止し、既存の Manifest V2 拡張機能の公開設定を「非公開」から「一般公開」「限定公開」に変更できなくなる。2022 年 6 月には「非公開」の Manifest V2 拡張機能も新規登録が終了する。

2023 年 1 月には既存の Manifest V2 拡張機能の更新版の受け入れも停止し、Chrome では Manifest V2 拡張機能が動作しなくなる。この段階ではエンタープライズポリシーで Manifest V2 拡張機能が動作するよう設定可能だが、その猶予期間も 2023 年 6 月には終了する。

すべて読む | ITセクション | Chrome | Google | ソフトウェア | デベロッパー |

関連ストーリー：
FirefoxにおけるChrome拡張機能プラットフォームのManifest V3サポート、ブロッキング用途でのwebRequest API使用は認める計画 2021年05月30日
Google、Chrome拡張機能プラットフォームのManifest V3ロールアウト計画を公式に発表 2020年12月11日
Microsoft Edge、Chrome拡張機能プラットフォームのManifest V3サポートへ 2020年10月17日
ChromiumベースのEdgeはChromeと完全に互換性がある訳ではない 2020年02月13日
Google曰く、Chrome拡張機能プラットフォームの新マニフェストは広告ブロックをより安全にする 2019年06月15日
Chrome拡張のマニフェスト変更で広告ブロック拡張機能の動作が制限される可能性 2019年01月26日
Google、信頼できるChrome拡張にするための対策を発表 2018年10月07日

headless 曰く、

Google は 14 日、Chrome の User Agent (UA) 文字列情報削減に向け、より具体的なスケジュールとオリジントライアルの詳細を発表した (Chromium Blog の記事、 Chrome Developers のブログ記事)。

Google が昨年 1 月に発表した UA 文字列情報削減計画は COVID-19 の影響で 2021 年以降に先送りされていた。Google は 5 月に再開を発表し、7 段階に分けて計画を進める計画を示したが、Chrome 92 で実施する第 1 段階を除き、具体的な実施時期は示されていなかった。

今回発表された計画では、第 2 段階以降を実施する予定の Chrome バージョンが示されている。まず、削減済み UA 文字列によるオリジントライアルを実施する第 2 段階は Chrome 95 ～ Chrome 100 で少なくとも 6 か月間続けられる。Chrome 100 では移行に時間が必要なサイトが従来の UA 文字列を利用可能にする第 3 段階の逆オリジントライアルも始まる。

逆オリジントライアルにオプトインしていないサイトでは、UA 文字列から Chrome バージョン番号を削減する第 4 段階が Chrome 101 で、デスクトップ版の UA 文字列と関連 JavaScript API を削減する第 5 段階が Chrome 107 で、Android 版でも削減が始まる第 6 段階がChrome 110 で開始予定だ。逆オリジントライアルが終了し、すべてのページで UA 文字列と関連 JavaScript API が削減される第 7 段階は Chrome 113 となる。

安定版のリリーススケジュールは Chrome 95 が 2021 年 10 月 19 日、Chrome 100 が 2022 年 3 月 29 日、Chrome 101 が 2022 年 4 月 26 日、Chrome 107 が 2022 年 10 月 18 日、Chrome 110 が 2023 年 2 月 7 日となっており、移行が完了する Chrome 113 は 2023 年 5 月 2 日に設定されている。

すべて読む | セキュリティセクション | セキュリティ | インターネット | Chromium | Chrome | YRO | 広告 | デベロッパー | プライバシ |

関連ストーリー：
Google、ChromeのUser Agent文字列情報削減計画を再開 2021年05月23日
新Microsoft Edge、デスクトップブラウザーシェアでFirefoxを超える 2021年04月04日
PHP、不正なコミット発生を受けてリポジトリをGitHubへ移行 2021年03月31日
従来のモバイル版ツイッター終了へ 2020年11月15日
NetMarketShare、User Agent文字列の情報量削減を見据えて10月分を最後にブラウザーやOSなどのシェアデータ提供を終了 2020年11月03日
新Microsoft Edge、Windows 10上のChromeやFirefoxなどで直接ダウンロードできなくなる 2020年10月18日
iOS版Chrome 85、デスクトップ版サイトをリクエストした場合のUser Agent文字列が変更される 2020年09月16日
Google、ChromeでUser Agent文字列を凍結する計画 2020年01月17日
SeaMonkeyでGoogle検索にアクセスするとFirefoxでアクセスした場合とは異なるCSSが送信される 2018年12月06日

先日リリースされた Chrome OS 91.0.4472.165 ではアップデート後にログインできなくなるなどのトラブルが報告されていたが、原因は 1 文字の Typo だったようだ(Android Police の記事 [1]、 [2]、 The Verge の記事、 SlashGear の記事)。

問題発生を受けて Google はこのビルドの提供を中止したが、既にインストールしてしまった場合はログイン画面から先に進めなくなるほか、最悪の場合はブートループに入ってログイン画面にも到達できなくなることもあったという。

7 月 21 日には問題を修正した 91.0.4472.167 がリリースされた。変更された vault_keyset.cc の diff をみると、修正前は2つの条件式のビット論理積 (&) を評価していた部分で、「&」が1つ追加されて論理積 (&&) に修正されている。

すべて読む | ITセクション | Chrome | OS | バグ | デベロッパー |

関連ストーリー：
「サッポロ 開拓使麦酒仕立て」、商品デザインのtypoで販売中止に 2021年01月13日
オーストラリア・メルボルン市政府、駐車料金支払いアプリで「0」と「O」を取り違えて入力して駐車違反となったケースで反則金を返金へ 2020年09月18日
スラドに聞け：やってしまったプログラミング上のtypo 2019年01月17日
「.com」のミスタイプを狙う「.cm」サイト、今年だけで1,200万回近くアクセスされていた 2018年04月08日
米東海岸で発生したAmazon S3の大規模障害、原因はタイプミス 2017年03月04日
「O」と「0」の取り違えにより北米でのHIV感染者第1号とされた男性 2016年10月30日

Google は14日、Chrome 94 以降で HTTPS 優先モード(HTTPS-First Mode)を利用可能にする計画を発表した(Chromium Blog の記事、 The Verge の記事、 SlashGear の記事)。

Chrome では現在、Omnibox にプロトコルを省略した URL を入力した場合に HTTPS 接続を優先して接続するようになっているが、HTTP プロトコルを指定した場合にはサイト側でリダイレクトされない限り HTTP 接続となる。HTTPS 優先モードは HTTP プロトコルを指定した場合でもまず HTTPS で接続し、対応していない場合は HTTP でページを表示する前に全画面で警告を表示するという。

同様のオプションは既にFirefox が搭載しており、Microsoft Edge もプレビュー版(Beta/Dev/Canary)でedge:flagsのAutomatic HTTPS (edge://flags/#edge-automatic-https")を Enabled にすることでオプションが利用可能になる。Google では Chrome 94 以降でテストを行い、デフォルトで有効にするかどうかを決めるとのこと。

また、Chrome 93 では HTTPS 接続時の南京錠のアイコン表示をやめ、ドロップダウンボタンのようなニュートラルな表示に置き換える実験をするそうだ。これは南京錠のアイコンが通信の暗号化を示すだけなのにもかかわらず、サイトが信頼可能であるような印象を与えてしまいことを避けるためだという。その一方で、HTTP 接続時の「保護されていない通信」という表示は維持していくとのことだ。

すべて読む | セキュリティセクション | Chrome | セキュリティ | インターネット | 暗号 |

関連ストーリー：
Microsoft Edge Canary、自動HTTPSオプションのテストを開始 2021年05月05日
Microsoft、HTTPでのナビゲーション時に自動でHTTPSへアップグレードする機能をMicrosoft Edge 92に追加する計画 2021年05月01日
Chrome 90、プロトコルを省略したURLが入力された場合のデフォルトがHTTPSに 2021年03月26日
Google、プロトコルを省略したURLがChromeに入力された場合のデフォルトをHTTPSにする計画 2021年01月08日

headless 曰く、

7 月 28 日に発効する Microsoft Store ポリシー バージョン 7.14 では、Chrome や Firefox などのブラウザーを Microsoft Store で公開可能にする変更が含まれている(Microsoft Store ポリシー最新版、 変更履歴)。

これまでのポリシーは 10.2.1 で「Web を閲覧する製品では、Windows プラットフォームによって提供される適切な HTML エンジンと JavaScript エンジンを使用する必要があります」となっており、Chrome や Firefox をそのまま UWP 化しても公開できなかった。

今回の改訂では Web エンジンに関する指定が「Web を参照する製品では、Chromium または Gecko オープン ソース エンジンのいずれかが使用されている必要があります 」に変更された。これらオープンソースエンジンの最新 2 つ以内のバージョンに更新する必要があること、セキュリティ上の問題を迅速に修正する必要があることといった要件も追加されている。既存の EdgeHTML エンジンを使用するブラウザーに関しては、引き続き公開可能だという。

このほか、バンドルソフトウェアの提供を禁止する文言が 10.2.3 に追加されており、完全なアンインストールが可能であることを必須とする 10.2.7 などが新規に追加されている。また、Microsoft Edge の拡張機能に関しては独立したMicrosoft Edge アドオンストアの開発者ポリシーが既に公開されており、Microsoft Store ポリシーの 10.12 は削除された。

すべて読む | デベロッパーセクション | マイクロソフト | インターネット | Chromium | Chrome | ソフトウェア | Firefox | デベロッパー | Windows |

関連ストーリー：
Microsoft と Google の非敵対協定、4 月に期限切れになっていた 2021年07月03日
Windows 11 Insider Preview 提供開始 2021年06月30日
Apple、やっぱりApp Storeの検索結果で自社アプリを優遇か？ 2021年06月14日
Arm版Windows 10導入済みの低価格開発キット「Snapdragon Developer Kit」 2021年05月29日
Microsoft Authenticatorの偽拡張機能、Chromeウェブストアで見つかる 2021年05月21日
Microsoft、Xboxゲームでも手数料率引き下げを計画していた 2021年05月05日
ChromeやFirefoxをそのままUWP化してもWindowsストアでは公開できない 2017年05月14日

Googleは24日、Chromeにおけるサードパーティ cookie 廃止のタイムラインを含むPrivacy Sandbox構想の進捗状況を公開した(The Keyword の記事、 Recode の記事、 The Verge の記事、 Android Policeの記事)。

Privacy Sandbox は Web ユーザーのプライバシーを強化しつつ、広告による無料コンテンツ提供を守ることを目的として Google が提唱しているオープン標準だ。Privacy Sandbox の一環として、Google はサードパーティ cookie を2年以内に廃止する計画を昨年1月に発表しており、サードパーティ cookie を使用せずに関連性の高い広告を表示する FLoC (Federated Learning of Cohorts) の Origin Trial を今年3月から実施している。

しかし、Chrome 以外のメジャーブラウザーは FLoC をサポートしない雰囲気になっており、Privacy Sandbox が競争を阻害する可能性についても厳しい視線が注がれている。英競争・市場庁 (CMA) は1月から調査を開始、3月には米司法省が調査しているとも報じられた。22日には欧州委員会が調査開始を発表した。

サードパーティ cookie 廃止の新しいタイムラインでは、2022年後半にテストが完了して API が Chrome で利用可能になった時点でステージ1に入る。ステージ1はパブリッシャーや広告業界がサードパーティ cookie 廃止に向けた移行を進めるための期間で、9か月間は続く予定だ。移行とフィードバックの様子を見つつ、2023年半ばにはサードパーティ cookie サポートを段階的に廃止するステージ2に移行する。段階的な廃止は3か月かけて行われ、2023年末までに完了する計画とのことだ。

すべて読む | ITセクション | Chrome | セキュリティ | 広告 | Chromium | プライバシ |

関連ストーリー：
Chrome Canary、FLoCをコントロールするオプションを表示可能に 2021年06月02日
GoogleのFLoC、Chrome以外のメジャーブラウザーはサポートしない雰囲気 2021年04月19日
Google曰く、サードパーティcookieに代わるユーザー追跡の仕組みは開発しないが、個別のユーザー追跡なしに関連性の高い広告を表示する仕組みを開発する 2021年03月06日
英競争・市場庁、Googleの提唱する「Privacy Sandbox」が競争を阻害しないか調査を開始 2021年01月10日
Google、ChromeでUser Agent文字列を凍結する計画 2020年01月17日
Google、Webユーザーのプライバシーを強化しつつ関連性の高い広告を表示可能なオープン標準の開発を提唱 2019年08月28日

Googleは11日、Chrome OSのリリース間隔を4週間に短縮する計画を明らかにした(Chromium Blogの記事、 9to5Googleの記事、 Andoid Policeの記事)。

Googleは3月にChromeブラウザーのリリース間隔をChrome 94以降で4週間おきにする計画を発表しており、これに合わせてChrome OSのリリース間隔が調整されることになる。リリース間隔をこれまでの6週間おきから4週間おきに短縮することで新機能をより早く提供できるようになるだけでなく、セキュリティ・安定性・高速性・シンプルさというChrome OSの重要な柱を優先し続けていくことにもなるという。

Chrome OSのリリース間隔が4週間に短縮されるのは第4四半期のM96から。M94から4週間おきとなるChromeブラウザーのリリース間隔とのギャップを埋めるため、Chrome OSのM95はスキップされ、M94が10月14日、M96が11月30日に安定版リリース予定となっている(Chromium Dash)。また、企業や教育機関ユーザー向けに6か月おきの更新チャンネルをM96までに導入する計画もあるとのことだ。

すべて読む | ITセクション | Chrome | アップグレード | OS | デベロッパー |

関連ストーリー：
Microsoft Edge、Google Chromeに合わせた4週間おきのメジャーリリースと8週間おきの拡張安定オプション提供へ 2021年03月15日
Google Chrome、メジャーバージョンリリース間隔を4週間に短縮する計画 2021年03月07日
Mozilla、Firefoxのメジャーリリースサイクルを4週間に短縮する計画 2019年09月18日
Mozilla、Firefoxのリリース間隔を6～8週間ごとに変更 2016年02月06日

Googleは昨年から一部のユーザーを対象に、ChromeのOmnibox(アドレス・検索ボックス)のURL表示をドメイン部分のみにするテストを行っていたが、本格導入は行わないことにしたそうだ(Issue 1090393、 Ghacksの記事、 Android Policeの記事、 9to5Googleの記事)。

ドメイン名のみの表示はURLにブランド名を含めてユーザーを混乱させる攻撃への対策の一つで、テストはユーザーに悪意あるサイトへのアクセスを気付かせることができるかどうかを確認することが目的だった。しかし、このような表示方法を取ってもセキュリティは向上しないことが確認されたという。なお、テスト対象にならなかったユーザーもchrome:flagsでフラグ設定すればドメイン部分のみの表示を試せたが、該当のフラグは既にChrome 90で削除されていた。

すべて読む | セキュリティセクション | Chrome | セキュリティ | スラッシュバック | インターネット | Chromium |

関連ストーリー：
Google、プロトコルを省略したURLがChromeに入力された場合のデフォルトをHTTPSにする計画 2021年01月08日
Chrome 86 Dev/Canary、アドレスボックスにドメイン名のみを表示するテストを実施 2020年08月15日
Google Chrome、Web検索時にアドレスバー内に検索キーワードを表示するテストを実施 2020年02月06日
Chrome Canary、Web検索時に検索語句だけをOmniboxに表示する機能をテスト中 2018年09月24日
Google Chrome、URLの表示されないアドレスバーが標準となるか 2014年05月06日

headless 曰く、

Googleは10日、デスクトップ版Google ChromeでSharedArrayBuffer APIを使用するサイトに対するクロスオリジン分離義務付け開始をM92(Chrome 92)に延期すると発表した(Chromium Blogの記事)。

SharedArrayBuffer APIは2018年にSpectre対策としてすべての主要ブラウザーで無効化されたが、Googleはサイト分離を導入したChrome 67で再び有効化している。クロスオリジン分離義務付けはSharedArrayBufferのような攻撃者に広い帯域を与えるAPIを制限し、Spectreなどのサイドチャネル攻撃を緩和するものだ。MozillaはFirefox 79でクロスオリジン分離義務付けを導入しており、SharedArrayBufferをM88で導入したAndroid版Chromeでは、当初からクロスオリジン分離が義務付けられている。

Googleはデスクトップ版ChromeでもM91からSharedArrayBufferやperformance.measureUserAgentSpecificMemory()といったAPI使用にクロスオリジン分離の義務付けを開始する計画を2月に発表していた。しかし、フィードバックや報告された問題を受けてSharedArrayBufferのクロスオリジン分離義務付けをM92に延期するとのこと。

なお、Chrome 92のリリースまでに対応が間に合わない場合、Chrome Origin Trialsで取得したオリジンのトークンを「Origin-Trial」HTTPヘッダーに追加することでChrome 96までは現在のAPIの挙動を維持できる。

すべて読む | ITセクション | Chrome | セキュリティ | デベロッパー |

関連ストーリー：
HTTPS Everywhereが自前ルールセットの更新を終了へ 2021年05月07日
Microsoft、HTTPでのナビゲーション時に自動でHTTPSへアップグレードする機能をMicrosoft Edge 92に追加する計画 2021年05月01日
Firefox 88リリース、FTPサポートが無効化 2021年04月22日
GoogleのFLoC、Chrome以外のメジャーブラウザーはサポートしない雰囲気 2021年04月19日
新Microsoft Edge、デスクトップブラウザーシェアでFirefoxを超える 2021年04月04日
URLから追跡要素を削除する拡張機能 "ClearURLs" がChrome ウェブストアから削除 2021年03月26日
Chrome 90、プロトコルを省略したURLが入力された場合のデフォルトがHTTPSに 2021年03月26日
デスクトップ版Chrome 67、Spectreなどの対策としてSite Isolationが有効に 2018年07月15日

headless 曰く、

Googleは23日、Chrome 90以降でプロトコルを省略したURLが入力された場合のデフォルトをHTTPSにすると発表した(Chromium Blogの記事、 Neowinの記事、 Android Policeの記事、 Softpediaの記事)。

現在のところChromeを含む多くのブラウザーではプロトコルを省略したURLが入力された場合、HTTPで接続する。HTTPSをサポートする多くのサイトでは自動でHTTPSにリダイレクトされ、Chromeではリダイレクトを記憶して次回からはHTTPSでアクセスする仕組みを備える。ただし、Internet ArchiveのようにHTTPSをサポートしながらHTTPアクセスをリダイレクトしないサイトもある。

現在ではHTTPSをサポートするサイトが主流になっているため、デフォルトをHTTPSにすることで最初のアクセス時の読み込み速度が改善するほか、セキュリティも向上する。そのため、GoogleではChromeのデフォルトHTTPS化計画を進めていた。

デフォルトHTTPS化は当初、デスクトップ版とAndroid版のChrome 90でロールアウトし、その後iOS版が続く計画だという。HTTPSをサポートしないサイトや、証明書エラーが発生した場合にはHTTPにフォールバックする仕組みも備える。

なお、現在Chrome Betaはバージョン90、Chrome Devはバージョン91となっているが、まだデフォルトはHTTPのままのようだ。一方、Chrome Canary 91ではデフォルトがHTTPSになっている。Chrome 90安定版は4月13日にリリース予定だ(Chrome Platform Status)。

すべて読む | ITセクション | Chrome | セキュリティ | 暗号 |

関連ストーリー：
Google、プロトコルを省略したURLがChromeに入力された場合のデフォルトをHTTPSにする計画 2021年01月08日
中国でハッキング大会が開催。主要OSやブラウザ、仮想環境で脆弱性が見つかる 2020年11月12日
Chrome拡張機能のNano Defenderがマルウェア化 2020年10月18日
Chrome 85、AndroidでもSecure DNSが順次利用可能に 2020年09月05日
延期されていたTLS 1.0/1.1のデフォルト無効化、6月から順次実施 2020年06月15日
Google、Chromeで混合コンテンツを完全にブロックする計画 2019年10月06日
Chrome/Firefox/Safariがカザフスタン政府の証明書をブロック、政府による傍受に対処 2019年08月23日
Google Chrome、FTPサポートを削除する計画 2019年08月21日

Googleは4日、Chromeのマイルストーン(メジャーバージョン)リリース間隔を現在の6週おきから4週おきに短縮する計画を発表した(Chromium Blogの記事、 The Vergeの記事、 9to5Googleの記事、 Android Policeの記事)。

現在、Googleではオープンソースコードにセキュリティバグの修正が適用されてから安定版に反映するまでのパッチギャップを小さくするため、2週間おきにChromeのセキュリティアップデートをリリースしている。また、テストとリリースのプロセスも改善していることから、リリース間隔を短縮して新機能をより早く提供できるのは明らかだという。新しいリリース間隔は第3四半期のChrome 94から開始する予定とのこと。

これに加え、アップデートの管理に時間が必要な企業のIT管理者とChromium埋め込みアプリ開発者向けに、8週間おきにメジャーバージョンをリリースする「Extended Stable」オプションを追加する計画も示された。Extended Stable向けには重要な問題を修正するアップデートが2週間おきにリリースされるが新機能は含まれず、4週間隔のオプションに提供されるセキュリティ修正のすべてが含まれることにはならないという。また、Chrome OSでは複数の安定版リリースをサポートする計画だといい、詳細は今後発表するとのことだ。

すべて読む | セキュリティセクション | Chrome | アップグレード | Google | セキュリティ | インターネット | Chromium | デベロッパー |

関連ストーリー：
アップデート適用が進まないLinux Mint、より多くのユーザーに迅速なアップデート適用を実行してもらうための改善計画 2021年03月01日
Windows 10 21H1は小規模なアップデートとなり、21H2が大規模なアップデートになるという報道 2020年11月29日
Firefoxのリリーススケジュール、現在のところ変更なし 2020年04月01日
Google Chrome、4月第2週にはメジャーアップデート再開へ 2020年03月28日
Google、ChromeブラウザーおよびChrome OSの次バージョンリリースを一時停止 2020年03月21日
Mozilla、Firefoxのメジャーリリースサイクルを4週間に短縮する計画 2019年09月18日
Mozilla、Firefoxのリリース間隔を6～8週間ごとに変更 2016年02月06日

国内外含めてChromebookのシェアが拡大している。世界的にも2020年のPC出荷台数でChromebookのシェアが10％を超えMacを上回ったとする報道もあったほか、国内でも政府のGIGAスクール構想の後押しにより、大幅なシェア拡大を果たしている（PC Watch、TechCrunch Japan）。MM総研が2月16日に発表した「GIGAスクール構想実現に向けたICT 環境整備調査」によれば、国内の教育市場においてはGoogle Chrome OSが43.8％のシェアを獲得、2位のiPadOSの28.2％、Microsoft Windowsの28.1％を上回ったという。

Googleによると2021年中には新たに40機種もの「Chromebook」が発売される予定であるという。多くがコンバーチブルタイプとなり、リモート学習などに適したデュアルカメラを搭載する予定。Googleは3月頃に搭載される予定の画面録画ツールなども発表している。このツールを使用すると、教師と生徒は教室や自宅で授業内容やレポートを記録することができる。授業や宿題の管理などが行える「Google Classroom」に関しても、教師向けにアドオンのマーケットプレイスを導入する。授業に適したサービスやツールなどが提供される予定（Googleブログ、Googleブログその2、Engadget、CNET）。

nemui4 曰く、

教育用途向けに頑張ってる様子。端末固まっても、リセットでなんとかなるみたいだし。

すべて読む | ITセクション | Chrome | Google | 教育 | IT |

関連ストーリー：
IDC推計、2020年のPC出荷台数でChromebookがMacを上回る 2021年02月21日
Windowsバージョン別シェアで3か月ぶりにWindows 10が増加し、Windows 7が減少 2021年02月05日
世界的にもChromebookの出荷が増加。コロナ禍による教育市場への需要増で 2021年02月02日
2020年のPC出荷台数は3億261万台、10年ぶりの大幅増に 2021年01月14日
Google、CloudreadyのNeverware社を買収。古いPCをChromebook化 2020年12月18日
GIGAスクール構想で配付された端末、各地で様々な機能制限が報告される 2020年11月21日

人気のChrome拡張機能「The Great Suspender」がマルウェア化し、GoogleはChromeウェブストアから削除するだけでなく、インストール済みの拡張機能をリモートから無効化したそうだ(Android Policeの記事、 The Vergeの記事、 Neowinの記事、 SlashGearの記事)。

The Great Suspenderは使用していないタブをサスペンドしてメモリ使用量を削減するオープンソースの拡張機能で、ソースコードはGitHubで公開されている。しかし、昨年6月に開発者が正体不明な新オーナーへのプロジェクト譲渡を発表し、10月にはGitHubでリリースされていない更新が公開されて怪しい動作をするようになったとの報告が出始める。この頃にはほぼマルウェア化確定との見方が広がっていたが、Googleは調査の結果問題なしとみなしていたようだ。

しかし、Googleは2月4日になって拡張機能の実行をブロックし、Chromeウェブストアからも削除する。これにより、ユーザーはサスペンドしていたタブを復元できなくなるトラブル(サスペンドしたタブのURLには元のURLが含まれるので、手作業で復元することは可能)にも見舞われることになった。

オープンソースのChrome拡張機能では昨年、Nano Defender/Nano Adblockerが新オーナーへ譲渡後にマルウェア化している。このケースも今回のThe Great Suspenderのケースと同様だが、長年プロジェクトを維持していた元の開発者が徐々に時間を取れなくなったことが譲渡の主な理由となっている。このようなケースは今後増えていくのだろうか。なお、昨年11月にMicrosoft Edgeアドオンサイトで人気拡張機能の偽物が複数発見された際、The Great Suspenderも含まれていたが、本件との関係は不明だ。

すべて読む | セキュリティセクション | Chrome | セキュリティ | ソフトウェア | デベロッパー |

関連ストーリー：
マルウェアを含む拡張機能計28本、ChromeウェブストアとEdgeアドオンストアで見つかる 2020年12月20日
Google、Chrome拡張機能プラットフォームのManifest V3ロールアウト計画を公式に発表 2020年12月11日
新Microsoft Edgeのアドオンストア、人気拡張機能の偽物が複数見つかる 2020年11月24日
Chromeウェブストア、拡張機能がユーザーから収集するデータに関する情報の表示を1月に開始 2020年11月22日
Chrome拡張機能のNano Defenderがマルウェア化 2020年10月18日
EFFのブラウザー拡張機能「Privacy Badger」を特徴付ける機能、デフォルトで無効に 2020年10月10日
Webブラウザアドオン「Styish」、ユーザーデータの収集を始めて騒動に 2017年01月19日

headless 曰く、

Googleがサードパーティ製ChromiumベースブラウザーでChrome専用の非公開APIの使用制限を計画していることについて、Chromeの使用を強制するものだとFedoraのChromiumパッケージのメインテナーが批判している(FEDORA-2021-48866282e5、 The Registerの記事)。

Chromeの非公開APIはGoogleアカウントを通じたデータ同期機能やClick to Call機能などを利用可能にするものだ。Googleはサードパーティの使用を意図したAPIではないなどとして、3月15日以降アクセスに制限を設ける計画を先日発表した。しかし、FedoraメインテナーのspotことTom Callaway氏によると、Googleは2013年にAPIキーを通じ、これらの機能へのアクセス権限をChromiumパッケージのビルダーに提供していたのだという。これにより、オープンソースのChromiumブラウザーはChromeとほぼ同じ機能を得られていた。

そのため、API使用制限はセキュリティ上の問題を解決するためではなく、Chromeの使用を必須としたいだけだとCallaway氏は批判する。大幅な機能低下につながる変更を受けて、Callaway氏はChromiumパッケージのメインテナーを続けるかどうかについても思い悩んだそうだ。しかし、すべてのユーザーがこれらの機能を必要とするわけではないことや、後継メインテナーが同じ問題に突き当たることを考慮して当面は続けることにしたとのこと。

Googleによるアクセス制限は3月15日だが、Callaway氏は先日リリースしたChromium 88のパッケージでAPIアクセスを無効化した。これには時期尚早とのコメントもみられるが、Callaway氏はこのことを事前に知っておき、Chromiumを使い続けるかどうか検討した方がいいと考えているようだ。代替としてGoogleの機能をフルに活用したいならプロプライエタリなChromeを使用すればよく、後で機能制限がかからないFOSSなブラウザーを使いたければFirefoxがあるとも述べている。

すべて読む | オープンソースセクション | オープンソース | Chrome | Google | Chromium | デベロッパー |

関連ストーリー：
Google、サードパーティ製ChromiumベースブラウザーでChrome専用の非公開API使用を制限する計画 2021年01月18日
Google、Chrome拡張機能プラットフォームのManifest V3ロールアウト計画を公式に発表 2020年12月11日
Microsoft Edge、Chrome拡張機能プラットフォームのManifest V3サポートへ 2020年10月17日
Google、Chromeウェブストアの決済機能を廃止へ 2020年09月26日
Web版「Google Earth」、Edge/Firefox/Operaがサポート対象になる 2020年03月05日
Google Playの脆弱性報告報奨金プログラム、対象が1億回以上インストールされた全アプリに拡大 2019年09月03日

headless 曰く、

Google ChromeのOmnibox(アドレス・検索ボックス)にプロトコルを省略してURLを入力した場合、HTTPS接続をデフォルトにする計画が進められているようだ(Issue 1141691、 Ghacksの記事、 Windows Latestの記事)。

Chromeに限らず、多くのブラウザーではプロトコルを省略したURLが指定された場合はHTTPで接続する。たとえば、「example.com」を指定すれば「http://example.com」に接続する。ただし、HTTPSをサポートするWebサイトの多くはHTTP接続をHTTPSにリダイレクトするため、「srad.jp」を指定した場合は「http://srad.jp」経由で最終的に「https://srad.jp」が表示されることになる。Chromeではリダイレクトを記憶して次回からHTTPS接続する仕組みを備えるが、多くのWebサイトでHTTPSへの移行が進む中、デフォルトをHTTPSにすることでセキュリティとパフォーマンスの向上が期待できる。

5日にコミットされた最初の実装では「upgraded HTTPS navigations」という仕組みが導入され、ナビゲーションのデフォルトスキームとしてHTTPSが使われるようになる。HTTPSナビゲーションが失敗した場合にHTTPへフォールバックする仕組みや、この際のSSLエラーを無視する仕組みも備える。次のコミットではHTTPSナビゲーションに時間制限を設け、遅いHTTPSサイトでは一定時間経過後にHTTPへフォールバックする仕組みも追加された。ただし、現在の実装は最低限のものだといい、一般提供されるまでには時間がかかるようだ。

すべて読む | セキュリティセクション | Chrome | セキュリティ | インターネット | Chromium | 暗号 |

関連ストーリー：
中国政府、TLS 1.3とESNIを使用するすべての暗号化されたHTTPSトラフィックをブロック中 2020年08月13日
EFF曰く、あなたが思うよりずっと公衆Wi-Fiは安全 2020年02月06日
Google、Chromeで混合コンテンツを完全にブロックする計画 2019年10月06日
Chrome 69ではHTTPS接続ページの「保護された通信」という表示が削除される 2018年05月20日
Wikipediaの常時HTTPS化によって政府による検閲が減少 2017年06月01日
FirefoxとChrome、パスワード入力フィールドを含むHTTP接続のページで警告を表示 2017年01月28日

Avastによれば、ChromeウェブストアやMicrosoft Edgeアドオンストアで公開されていた拡張機能28本でマルウェアが確認されたそうだ(Avastのプレスリリース、 Ars Technicaの記事、 SlashGearの記事)。

28本中15本がChromeウェブストア、13本がMicrosoft Edgeアドオンストアで公開されていた拡張機能で、ダウンロード件数は合計で300万件ほどだという。拡張機能はInstagram/Facebook用が半数以上を占め、種類としてはダウンロードツールが多い。マルウェアの機能としては広告やフィッシングサイトにリダイレクトしたり、個人情報を盗んだりといったもので、別のマルウェアをダウンロードする機能も確認されたそうだ。

マルウェアは調査しようとすると活動を控える仕組みを備えており、検出は困難なようだ。拡張機能は初めからマルウェアとして公開された可能性もあるが、人気が出るのを待ってアップデートでマルウェア化したり、元の作者から買い取ってマルウェアを仕込んだり、といったパターンも考えられるとのこと。

AvastではGoogleとMicrosoftに通知しており、19日朝の段階でChromeウェブストアからはリストアップされているすべての拡張機能が削除されている。Edgeアドオンストアでも19日午後にはすべて削除された。具体的な拡張機能の名称などはAvastのプレスリリースを参照してほしい。

すべて読む | セキュリティセクション | Chrome | Google | セキュリティ | マイクロソフト | インターネット |

関連ストーリー：
Google、Chrome拡張機能プラットフォームのManifest V3ロールアウト計画を公式に発表 2020年12月11日
Chrome拡張機能のNano Defenderがマルウェア化 2020年10月18日
Mozilla、より安全なFirefox拡張機能を示す「アドオンバッジ」2種類を追加 2020年10月08日
Microsoft曰く、CCleanerの特定バージョンのインストーラーは望ましくない可能性のあるアプリ 2020年08月02日
チェコの個人情報保護当局、Avastのユーザーデータ販売が個人情報侵害に該当する可能性を調査 2020年02月19日
Avast、ユーザーデータを販売していた子会社を廃業する計画 2020年02月01日
Avastが販売する匿名化したユーザーデータに対し、ユーザーの特定が可能との指摘 2020年01月29日
過剰なデータ収集行為が指摘されていたAvast/AVGの拡張機能、Chromeウェブストアから一時削除される 2019年12月24日
Mozilla、AvastやAVGの提供するFirefox拡張機能がユーザー情報を収集・送信しているとしてアドオンサイトから削除 2019年12月05日
Mozilla、リモートコードを実行する拡張機能をブロックリストに追加 2019年11月08日
Avast、サプライチェーン攻撃を受けていたことを公表 2019年10月24日
MozillaがFirefoxの拡張機能で難読化コードの使用禁止を発表した2日後、全拡張機能が動作しなくなるトラブルが発生 2019年05月04日
ポイ活ブラウザアプリSmoozは閲覧情報をすべて外部送信している 2020年12月21日