BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース プライバシとセキュリティを最優先したmacOS MojaveとSafari 12

プライバシとセキュリティを最優先したmacOS MojaveとSafari 12

ブックマーク

原文(投稿日:2018/06/12)へのリンク

読者の皆様へ: 皆様のご要望にお応えするべく、ノイズを削減する機能セットを開発しました。皆様が関心をお持ちのトピックを、EメールとWeb通知で受け取ることができます。新機能をぜひお試しください。

毎年開催されるDeveloper Conference WWDCでAppleは、同社のデスクトップオペレーティングシステムの最新版であるmacOS Mojaveと、WebブラウザのアップデートであるSafari 12をプレビューした。プライバシとセキュリティの強化がこれらのリリースの最優先事項である、と同社は述べている。

Safari 12は“Intelligent Tracking Prevention”と、強力なパスワードの自動生成および保管機能を新たに備えている。macOS Mojave(とiOS12)では、トラッキングを目的としたデバイスの“フィンガープリンティング”を低減するため、サードパーティが可能なデバイスコンフィギュレーションを制限すると同時に、アプリケーションによるMacのカメラやマイクの使用、あるいはメール履歴やメッセージデータベースといった個人データへのアクセスに対しては、事前にユーザの許可を求めるようになった。

Webサイトは、イメージやスクリプトといったリソースを、自身以外のドメインからフェッチすることができる。これはクロスオリジンあるいはクロスサイトローディングと呼ばれるもので、Webの強力な機能のひとつだ。一方で、このようなフェッチはまた、ユーザのサイト間のトラッキングを可能にしている。2017年7月以降、Safari(およびmacOS、iOS、Linuxの多くのアプリ)が使用するオープンソースのWebブラウザエンジンであるWebKitでは、Intelligent Tracking Prevention(ITP)という機能を提供している。ITPのオリジナルバージョンである1.0は、関連するブラウザクッキーとその他のWebサイトトラッキングデータを制限し、定期的に削除することで、クロスサイトトラッキングを軽減する。例えば、最初のWebサイト操作から24時間が経過すると、関連するクッキーは、サードパーティのコンテキストから使用できない“パーティション”と呼ばれる状態に置かれた上で、30日後に削除される。

トラッキング防止は、2018年3月、“パーティション”化されたクッキーのディスク保存の防止と、即時削除の対象として決定されたクッキーの完全なブロックを備えたITP 1.1のリリースによってさらに拡張された。さらにStorage Access APIが導入されたことで、既定値としてユーザのプライバシの保護を維持しながら、コンテントの“認証済みの組込み”が可能になった。Storage Access APIはその中核で、組み込まれたサードパーティ製コンポーネントが、ユーザインタラクションを通じてクッキーのパーティショニングを回避するためのメカニズムを提供する。

Safari 12ではITP 2.0の導入により、サードパーティによるクッキーの再利用が可能な24時間枠が廃止され、トラッキング機能を持つと判断されたドメインのパーティションクッキーは直ちにパーティショニングされるようになった。さらに、WebKitにおけるStorage Access APIの実装にプロンプトが追加された。ユーザがアクセスを許可すれば、その選択が永続化されるが、拒否した場合の選択は永続化されず、後になって同じようにStorage Access APIを呼び出す組込みウィジェットをタップした時点で、選択を変更することが可能になっている。この機能によって、サードパーティがWebページの“コメントフィールド”や“「いいね」ボタン”などに、ユーザの明示的な操作や承認のないクッキーデータへのアクセス許可を埋込むことを防止する。

InfoQで以前にお伝えしたように、FirefoxもITPと同様な機能を提供する拡張機能をリリースしていて、明示的な許可なくユーザのFacebook以外のWebトラフィックの傍受を防止している。

その他のSafari 12の新機能として、ユーザが新たなオンラインアカウントを生成した時に、ブラウザが強力なパスワードを自動生成、自動入力、保存するようになった。再利用されたパスワードは強度が低下するので、ユーザが変更することもできる。

WWDCではまた、アプリケーションによるMacのカメラやマイクの使用、メール履歴やメッセージデータベースなどの個人データへのアクセス、あるいはファイルシステムの重要な部分へのアクセスに対して、ユーザの許可を求める新たなデータ保護機能が、macOS MojaveとiOS 12に装備されることが発表されている。

Apple's new approach to restricting private information

macOS Mojaveではさらに、既存のクッキーやコンテンツをベースとしたトラッキング機能以外の方法でデバイスを一意に識別する目的で、ユニークな“フィンガープリント”を生成することが困難になっている。ソフトウェアエンジニアリング担当シニアバイスプレジデントのCraig Federighi氏は基調講演で、この問題について取り上げている。

コンフィギュレーションやインストール済みのフォント、デバイスにあるプラグインといった固有の特性によって、デバイスを識別することが可能なのです。Mojaveでは、トラッカによる独自のフィンガープリント生成が非常に困難になっています。

フィンガープリントの有効性を低減するためには、個々のデバイスをその他のデバイスに紛れ込ませる必要がある。Mojaveでは組込みフォントのみを提示したり、レガシープラグイン(Safari Extension Gallery以外のもの)のサポートを廃止することによって、外部から見たシステム構成を簡略化し、フィンガープリントとして使用できないようにしている。“結果として、あなたのMacは他の人たちのMacと同じように見えるようになる”、とFedereghi氏は述べている。

macOS Mojaveの完全な公開リリースは今年後半に提供される予定である。現在は、macOS High Sierra用にSafari Technology Preview リリース 58がダウンロード提供中である。Safari Technology PreviewはmacOS Mojaveベータ版でも提供されている。

この記事を評価

採用ステージ
スタイル

この記事に星をつける

おすすめ度
スタイル

BT