Googleは10日、デスクトップ版Google ChromeでSharedArrayBuffer APIを使用するサイトに対するクロスオリジン分離義務付け開始をM92(Chrome 92)に延期すると発表した(Chromium Blogの記事)。

SharedArrayBuffer APIは2018年にSpectre対策としてすべての主要ブラウザーで無効化されたが、Googleはサイト分離を導入したChrome 67で再び有効化している。クロスオリジン分離義務付けはSharedArrayBufferのような攻撃者に広い帯域を与えるAPIを制限し、Spectreなどのサイドチャネル攻撃を緩和するものだ。MozillaはFirefox 79でクロスオリジン分離義務付けを導入しており、SharedArrayBufferをM88で導入したAndroid版Chromeでは、当初からクロスオリジン分離が義務付けられている。

Googleはデスクトップ版ChromeでもM91からSharedArrayBufferやperformance.measureUserAgentSpecificMemory()といったAPI使用にクロスオリジン分離の義務付けを開始する計画を2月に発表していた。しかし、フィードバックや報告された問題を受けてSharedArrayBufferのクロスオリジン分離義務付けをM92に延期するとのこと。

なお、Chrome 92のリリースまでに対応が間に合わない場合、Chrome Origin Trialsで取得したオリジンのトークンを「Origin-Trial」HTTPヘッダーに追加することでChrome 96までは現在のAPIの挙動を維持できる。

すべて読む | ITセクション | Chrome | セキュリティ | デベロッパー |

関連ストーリー：
HTTPS Everywhereが自前ルールセットの更新を終了へ 2021年05月07日
Microsoft、HTTPでのナビゲーション時に自動でHTTPSへアップグレードする機能をMicrosoft Edge 92に追加する計画 2021年05月01日
Firefox 88リリース、FTPサポートが無効化 2021年04月22日
GoogleのFLoC、Chrome以外のメジャーブラウザーはサポートしない雰囲気 2021年04月19日
新Microsoft Edge、デスクトップブラウザーシェアでFirefoxを超える 2021年04月04日
URLから追跡要素を削除する拡張機能 "ClearURLs" がChrome ウェブストアから削除 2021年03月26日
Chrome 90、プロトコルを省略したURLが入力された場合のデフォルトがHTTPSに 2021年03月26日
デスクトップ版Chrome 67、Spectreなどの対策としてSite Isolationが有効に 2018年07月15日