Google Chrome 79には、2つの主要なパスワードセキュリティ機能とAndroidの大規模なバグが搭載されています
Googleは先週、Chrome 79のロールアウトを発表しました。これにより、ブラウザベンダーは、ユーザーがより安全なオンラインエクスペリエンスを得ることができるようにするいくつかの新機能を導入し、PRの人々は新しい追加が好評を得ることを望んでいました。しかし、代わりに、先週かそこらで、Chrome 79に関するほとんどの議論は、Googleだけでなく多くのAndroidユーザーとアプリ開発者にとってかなりの頭痛の種となるかなり深刻なバグを中心に展開しました。ただし、その前に、Chromeの新しいセキュリティ機能について説明しましょう。
Table of Contents
Chromeは、侵害されたパスワードを使用しているかどうかを認識しています
最初の新機能は実際にはそれほど新しいものではないことを言わなければなりません。 Googleはこれを今年初めに登場したPassword Checkup Chrome拡張機能に統合しました。
パスワード検査は、見栄えの良いパスワード強度メーターにすぎませんが、実際にはそれ以上です。これは、使用しているすべてのパスワードを、侵害されたログイン資格情報のコーパスに対してチェックするという考え方です。一致するものが見つかると、警告が表示され、侵害されたパスワードを変更するようにアドバイスされます。
それはほとんど画期的なアイデアではありません。トロイハントはしばらくの間、同様のサービスを提供しており、米国国立標準技術研究所(NIST)でさえ、侵害されたパスワードはほぼ間違いなく簡単なものよりも危険であるため、同様のアラートを実装することをお勧めします。推測するもの。おそらくこれが原因で、Googleは診断をブラウザに直接統合することを決定しました。 Chromeの最新バージョンに更新したユーザーは、Googleの拡張機能を使用する必要がなくなりました。
明らかに、一部の人々はプライバシーの問題を抱えているかもしれません。結局のところ、Googleは、使用しているパスワードが侵害されたかどうかを通知することを約束します。パスワードが表示されない場合はどうしますか?答えは「暗号化」です。
Google は 、Chrome 79の発売時に、セキュリティチームがオンラインサービスから漏洩したログイン資格情報を見つけるたびに、複雑なプロセスを使用してパスワードの「ハッシュ化および暗号化」コピーを作成し、サーバーに保存すると述べました。パスワードを入力すると、同じプロセスがパスワードをハッシュして暗号化し、結果がGoogleのデータベースと照合されます。これにより、Googleはプレーンテキストのパスワードを見ることができませんが、過去に漏洩したかどうかを知ることができます。
Chromeは、この特定の分野で先駆者のたいまつを実際に保持していません。数ヶ月前、MozillaはTroy HuntのAPIをFirefoxに統合しました。ただし、40億件近くの侵害されたレコードでは、Chromeユーザーのパスワードがチェックされるデータセットははるかに大きくなります。いずれにせよ、世界で最も人気のあるブラウザーの作成者が人々のオンラインセキュリティの面倒を見ようとしているのは喜ばしいことです。そういえば、GoogleがChrome 79で導入した2番目の機能もかなり便利です。
Chromeのフィッシング対策が強化されました
Chromeは長年、フィッシングや危険なWebサイトにフラグを付けるためにGoogleのSafe Browsing APIに依存してきました。簡単に言えば、ブラウザはアクセスするすべてのURLを既知のフィッシングページのリストと照合し、詐欺師にだまされそうになっていると思われる場合は、大きな赤い警告を表示します。フィッシングページのセーフブラウジングリストには常に新しいURLが追加され、Chromeは30分ごとに更新されたバージョンをダウンロードします。歴史的に、これは人々が詐欺師に追いつくのに役立ちましたが、結局のところ、それはもはや十分ではありません。 Chromeの開発者は、フィッシング詐欺師が最近ドメインとURLの変更を頻繁に開始していることに気付きました。つまり、30分の遅延は致命的である可能性が非常に高いことを意味します。
これに対処するために、Chromeの新しいバージョンでは、より高度でほぼリアルタイムのフィッシング保護が提供されるようになりました。新しい機能を有効にした場合、GoogleはアクセスするURLを確認する必要がありますが、すべてのデータが匿名化されるため心配する必要はないと述べています。
これはすべて朗報であり、少なくとも一部のユーザーはChrome 79のリリースを熱心に期待していたと言っても過言ではありません。ただし、Androidデバイスを使用しているユーザーは少し驚きました。
新しいChromeバージョンは、かなりの数のAndroidアプリケーションを破壊しました。
アップデートが発表されて間もなく、Androidユーザーは何かがおかしいと不平を言い始めました。突然、彼らは自分のデバイス上のアプリのいくつかがリセットされたことを発見しました。アカウントから自動的にログアウトされ、個人設定が上書きされていました。当然のことながら、人々は最初にアプリの開発者に連絡しましたが、彼らは行った変更が原因ではないため、この問題に完全にd然としていました。
最終的に、犯人が見つかりました-それはGoogleの新しく更新されたブラウザでした。影響を受けるすべてのアプリケーションは、Chromeの簡易バージョンであるAndroidのWebView上で実行されていました。これにより、通常ブラウザで表示されるWebアプリケーションの機能をスタンドアロンAndroidアプリに簡単に移行できます。これらのアプリは、キャッシュファイルやセッションCookieなどの情報を保存し、Chrome 79はそのデータの場所を変更しました。その結果、アプリはユーザーの古い設定とファイルを見つけることができなくなり、デフォルトモードに戻りました。一部のアプリケーションでは、機能に重大な影響がありましたが、驚くことではないが、否定的なレビューがかなり早く届きました。
このバグはかなりの混乱を引き起こしました。一部の人々は、データが回復不能に失われたとさえ考えていました。ありがたいことに、Chromeの開発チームはこれが事実ではないことを知っていたため、今日早く、人々はすぐに修正を期待することを発表しました。 Chrome 79.0.3945.93はバグの原因となった変更を元に戻します。ユーザーがブラウザを更新すると、アプリは再び期待どおりに動作するようになります。影響を受けるアプリケーションの開発者は何もする必要はありません。
少なくとも、バグの修正はそれほど複雑に思えませんでした。ただし、このパッチにはしばらく時間がかかりましたが、特にアプリ開発者が被った損害はさほど重要ではありませんでした。そのため、Chrome 79の新しいパスワードチェックとフィッシング保護機能を覆い隠すことができました。将来、同様のインシデントが少なくなり、その中間になることを期待しています。