Chrome 79以下や他ブラウザのデフォルト値。 Chrome 80からこの値を設定する場合、Secure属性も必須となる。 Aサイトに対し、Bサイトからどのようなリクエストがあっても、発行したサイトでCookieヘッダーに含める (Cookieを使用する) 図にすると以下のようになります。 Strict 外部サイトからのアクセスではCookieを送らない。 Lax 外部サイトからのアクセスはGETリクエストのときだけCookieを送る。 None 従来通りの動き。 【追記】なおChrome 80以降でSecure属性を付けずSameSite=Noneを指定した場合、set-cookie自体が無効になります。 セキュリティ上の効果 CSRF対策になります。 CSRF (クロスサイト・リクエスト・フォージェリ) とは、 WEBサイトがユーザー本人の意図した動作であることを検証していないため
今年もChrome開発者の集まりChrome Dev Summit 2019 (CDS) がサンフランシスコで開催されました。 今回、私が Chrome Customer Advisory Board (CAB) に選出していただいたこともあり、CDSに初めて参加しました。 これは、CDS終了後のCAB meetingで頂いたChrome Dinosaurフィギュアです。ちなみにゲームはできません。 タイトルの「なぜChromeはURLを殺そうとするのか?」は、2日目Chrome Leadsのパネルセッションで司会のGooglerが、Chrome UX担当のProduct Managerに対して一番最初に投げかけた問いです。 PMは直ちに「そんなことはしない」と即答しました。しかしChromeは、URLの表示領域からHTTPSの緑色表示の廃止・EV表示場所の移動・wwwサブドメイン表示の削
1. Chrome でEV証明書の組織名表示がなくなる ついにGoogleからChromeのURLバーからEV表示を削除する正式なアナウンスが出ました。 Upcoming Change to Chrome's Identity Indicators EV UI Moving to Page Info 現在(2019年8月) StableのChrome76では、以下の様にURLバー左側にEV証明書を利用していることを示す「組織名+国名」表示が付いています。 Chrome76のEV表示 2019年9月10日Stableリリース予定のChrome77からはEV表示がURLバーから削除され、鍵アイコンをクリックして表示されるPage Infoに「組織名+国名」が表示されるようになります。 Googleのアナウンスでは、 "on certain websites" と書いてあることから一気にではなく
William A. Anders, the astronaut behind perhaps the single most iconic photo of our planet, has died at the age of 90. On Friday morning, Anders was piloting a small…
不正広告対策を手掛けるセキュリティ企業のConfiantは2019年4月16日のブログで、iPhoneやiPadに搭載されている「iOS」のユーザーを狙った不正な広告が横行し、ユーザーセッションが乗っ取られる被害が多発しているとブログで伝えた。 Confiantによると、今回発見された不正広告キャンペーンは、連休や週末を狙って攻撃を仕掛けることで知られる「eGobbler」と呼ばれる集団が関与しているという。同集団は、不正なコードを正規の広告に隠して、ユーザーがWebブラウザで閲覧しているWebサイトをリダイレクトしたり、ポップアップを表示させる手口を使って、ユーザーセッションを乗っ取ったりしているとのこと。 ConfiantがさまざまなOSやWebブラウザでこのコードをテストした結果、Googleが提供するiOS向けのWebブラウザ「Chrome」では、内蔵されているはずのポップアップ防
[2018/07/07 追記] 本記事ではChrome拡張について説明していますが、Firefox1やEdgeの拡張機能もほぼ同じ仕組みで動いています。 [2023/11/06 追記] #参考 ページを追加しました。 Chrome拡張。便利な機能を簡単に追加できるので使っている人も多いと思います。 ただ、インストール時の権限の注意書きが分かり難いので無条件に承認(追加)していることもあるのではないかと思われます。 そこで、本記事ではChrome拡張の権限の種類・確認方法の他、拡張がどこまで(悪いことを)できるのかとその対策を3段階の権限(危険性)レベルごとに紹介していきたいと思います。 便利だが危険性もあるChrome拡張 Chrome拡張をインストールすると、Webページを読むというブラウザ本来の機能だけでなく様々なことができるようになります。 例えば、Webメールの新着通知や記事などの
Webブラウザベースの攻撃阻止を目的とした拡張機能「Windows Defender Application Guard」を、Googleの「Chrome」と、Mozillaの「Firefox」向けに提供する。 米Microsoftは3月15日、Webブラウザベースの攻撃阻止を目的とした拡張機能「Windows Defender Application Guard」を、Googleの「Chrome」と、Mozillaの「Firefox」向けに提供すると発表した。 同拡張機能では、ユーザーがChromeやFirefoxで閲覧するWebサイトのURLを、企業の管理者が指定した信頼できるWebサイトのリストと照合。信頼できないWebサイトと判断した場合は、自動的にMicrosoftのWebブラウザ「Edge」のセッションへとリダイレクトして隔離する。 ユーザーは、隔離されたMicrosoft E
Chromeウェブストアにリストされている12万463件の「Google Chrome」の拡張機能とアプリを調査したところ、約35%があらゆるウェブサイトにあるユーザーのデータを読み込みむことができることがわかった。また、これら約12万のうち、プライバシーポリシーを掲示していないものは約85%にものぼった。つまり、その拡張機能の開発者がユーザーデータの処理をどのように行うかを記すドキュメントがないということである。 調査は米国のサーバーセキュリティ企業Duo Labsが、自社開発した新しいツール「CRXcavator」を使って調べたものだ。調査ではまた、Chrome拡張機能の約77%がサポートサイトを掲示しておらず、約32%が既知の脆弱性を含むサードパーティのJavaScriptライブラリを使っていることもわかった。クッキーデータを読むことができるものは9%あったという。 調査を行なった研
Google Chrome(以下、Chromeと略)の「シークレットモード」(シークレットウィンドウ)を利用すると、閲覧履歴やCookieといったユーザーにひも付く情報をChromeに残さずにWebブラウジングができます(詳細は本連載の「Google Chromeのインストールから基本的な使い方まで」参照)。 またシークレットモードを開始すると、キャッシュや各種履歴、パーソナライゼーションなどがクリアされた真っさらな状態でWebブラウジングを始められるため、Webサイトの動作確認や検索エンジンでの順位確認など、さまざまな場面で便利に使えます。 そんなシークレットモードで困るのが、デスクトップ版Chromeで拡張機能が利用できないことです。 実は、設定を変更すると簡単にシークレットモードでも拡張機能を使えるようになります。本稿ではその手順と注意点を説明します。 シークレットモードを開く手順に
Google Chromeの拡張機能がアクセスできるサイトを制限して安全性を高める:Google Chrome完全ガイド Google Chromeの拡張機能は通常、全てのサイトに対するアクセスの許可を求めてきます。これを制限することで安全性を高める方法を紹介します。 連載目次 Google Chrome(以下、Chromeと略)には拡張機能がたくさん提供されています。これらを組み込むことで、Chromeの機能を増強して、もっと便利にできます。 その一方で、サードパーティー製の拡張機能の中には、不正な広告の差し替えや情報の漏えいといった、ユーザーが意図しない悪意のある挙動をするものが過去には報告されています(Google Chrome完全ガイド「不正な処理を行っているGoogle Chromeの拡張機能を見つけるには?」参照)。 そのため、できることなら拡張機能に対して過度なアクセス許可を
Chromeで「保護されていない通信」という不安なメッセージが表示されるのはなぜ? Google Chrome(以下、Chromeと略)でWebページを開いた際、アドレスバー(オムニボックス)内のURLの左側に「保護されていない通信」と表示されて不安に感じたことはありませんか? この不安になるメッセージは一体何を表しているのでしょうか? 本稿では、このように表示される原因と対策について説明します。 「保護されていない通信」と表示されるのはHTTPのせい ●HTTPは「保護されていない通信」 上記の「保護されていない通信」というメッセージは、「安全」ではない通信路でWebサイトと接続し、Webページを開いたときに表示される警告の一種です。具体的には、URLが「http://」から始まるHTTP接続のWebページでは、必ずこの警告が表示されます。 HTTPはWebサーバとクライアントの間でやり
グーグルのブラウザ「Google Chrome」は登場から9年以上を経て、世界で最も人気のブラウザとして支持を獲得した。その人気の理由の一つはChromeがセキュリティに優れているからだ。 Chromeは不審なサイトにアクセスした場合、ユーザーにそれを警告する。しかし、Chromeに、PC内のランサムウェアなどの不審なソフトを発見する機能が備わっていることはあまり知られていない。 Chromeのウィンドウズ版にはアンチウイルスソフトと同様に、パソコンの内部をスキャンしてウイルスを発見する「Chromeクリーンアップ」機能があるのだ。 使い方はごく簡単だ。Chromeを立ち上げてアドレスバーに「chrome://settings/cleanup」と入力すると、「パソコンのクリーンアップ」という画面が表示される。そこで「検索」ボタンをクリックすると、不審なソフトウェアを検出することができる。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く