GoogleがChromeのエクステンションを安全にするために来年から制限を厳しくする

Googleが今日(米国時間10/1)、Chrome側からのエクステンションの扱い方がいくつか変わったことを発表した。中でもとくに、多くのパーミッションを要求するエクステンションへの対応が変わり、さらに、デベロッパーがChrome Web Storeで公開するエクステンションには、新たな要求が加わった。

今や公然の事実として、どんなブラウザーでも、ユーザーデータにアクセスするための仕掛けを悪者のデベロッパーが仕込むのは、エクステンションの上であることが多い。Googleは長年、ストアに並ぶ前に悪意あるエクステンションを自動的に検出する努力を積み重ねてきた。またブラウザー本体にもいくつか改良を加え、エクステンションがいたずらできないようにしてきた。今回は、これらの努力をさらに数歩前進させる。

Chrome 70からは、ユーザーが制限サイトのリストを作り、それらのサイトにはホストアクセスができないようになる。デフォルトでは、ほとんどのエクステンションが、ユーザーが訪ねるどんなWebサイトでも見たり操作したりできるから、この制限は重要だ。ホワイトリスト(無害者のリスト)はメンテナンスが困難だから、エクステンションがクリック後の現在ページにのみアクセスできるようにも指定できる。

Googleはこう説明している: “ホストのパーミッションにより、何千もの強力でクリエイティブなエクステンションのユースケースが可能になったが、それらはさまざまな誤用に導きがちだ。それらの中には、悪意的なものもあれば、意図せざるものもある。それらのエクステンションは、Webサイト上のデータを自動的に読んだり変えたりするものが多いからだ”。

Googleが“強力なパーミッション”と呼ぶものをリクエストするエクステンションはどれも、今後はより詳細なレビュープロセスを経なければならない。さらにGoogleは、リモートでホストされているコードを使うエクステンションを仔細に調べる。そのコードが、いつ変えられたか、それとも変えられてないか、分からないからだ。

パーミッションに関してGoogleは2019年に新しい仕組みを導入し、より狭いスコープのAPIにより広いパーミッションの必要性を減らし、またエクステンションに対するユーザーのコントロールを大きくして、エクステンションに対するアクセスの許可をより厳しくできるようにする。2019年からGoogleは、Chrome Web Storeのデベロッパーアカウントへのアクセスに、二要素認証を必須にする。悪者がデベロッパーのアカウントを乗っ取って、ハックされたエクステンションをストア上に公開したりできないようにする。

これらの変更はまだ数か月先だが、今日(米国時間10/1)からデベロッパーは、難読化コード(obfuscated code)の公開ができなくなる。難読化コードだから悪い、とは言えないが、デベロッパーがJavaScriptのソースコードをわかりにくくするために利用することもあり、そうするとレビューする側にとって、そのコードが一体何をしているのかわかりづらくなる。そして悪役エクステンションの70%は、難読化コードでGoogleの目をかいくぐろうとしている。Googleは、既存のエクステンションでも、難読化コードで書かれているものは90日以内にすべて削除する。

ただし、ホワイトスペースやコメントや改行を省いてコードを小さくするのは、許される。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Chromeの暗号通貨マイニング拡張機能は全面禁止――Google、Chrome Web Storeの規約改定

今日(米国時間4/2)、GoogleはChrome Web Storeで暗号通貨マイニングを行うブラウザ拡張機能(エクステンション)を公開することを全面的に禁止すると発表した。

ブラウザを利用して暗号通貨マイニングを行うことは手っ取り早く金持ちになる方法とはいえない。しかし運用者がデベロッパーで、何千台ものマシンに密かにアクセスできるなら話は別だ。GoogleのChrome Web Storeではこれまで長い間、暗号通貨マイニングを目的とする拡張機能の公開をを許していた。しかしChrome Web Storeに登録できる拡張機能は単一の機能の実行を目的とし、かつその目的を明示したものなければならない。

ところが暗号通貨マイニングを実行する拡張機能の90%はこのルールに従っていなかった。金持ちになれるという誘惑はあまりに大きく、一部のデベロッパーは一見まともと見える拡張機能にマイニングのスクリプトを紛れこませていた。こういう拡張機能は発見されて即座にストアから削除されることもあれば、首尾よくストアで公開されることもあった。マイニング機能はバックグラウンドで動作し、勝手にCPUパワーを大量に使う〔下図〕。こうした拡張機能はユーザーによって個別に削除される必要があった。当然ながらGoogleはユーザー体験を悪化させるこうした拡張機能を快く思っていなかった。

そこでChrome Web Storeでは暗号通貨マイニングを行う拡張機能の新規登録が今日から禁止され、既存の拡張機能についても6月以降削除されることになった。ただしブロックチェーン関連であってもマイニングを行わない拡張機能は引き続き許可される。

Chromeの拡張機能プラットフォームのプロダクト・マネージャー、James Wagnerは、ブログに「Chromeの拡張機能プラットフォームはデベロッパーが各種の有用な拡張機能を開発することを可能にし、ユーザーにとってChromeの価値を高めるために大いに貢献してきた。残念ながら、これまでこの機能が悪意あるソフトウェアを開発するデベロッパーを引き寄せ、ユーザーを不当に利用することを可能にしていた。今回の措置はChromeユーザーが知らないうちにリスクにさらされることを防ぎ、安心して拡張機能を利用できるようにするわれわれの努力の一環だ」と書いている。

画像:matejmo

[原文へ]

(翻訳:滑川海彦@Facebook Google+