【漏洩】ChromeとEdge、スペルチェック時にパスワードなどの入力データが外部送信される仕組みに注意 [樽悶★]

1 名前：樽悶 ★ mailto:sage [2022/09/22(木) 23:49:13.16 ID:JQ52QSwS9.net] Alibaba Cloudへのログイン中にパスワードが送信される様子 https://news.mynavi.jp/techplus/article/20220921-2459897/images/001l.jpg Chromeで「拡張スペルチェック」を無効にする https://news.mynavi.jp/techplus/article/20220921-2459897/images/002l.jpg Microsoft Edgeにスペルチェック機能を提供する「Microsoft エディター」拡張 https://news.mynavi.jp/techplus/article/20220921-2459897/images/003l.jpg 　Chromeなど複数のブラウザーで、「拡張スペルチェック」機能を有効にしていると、パスワードなどの情報も外部に送信される仕組みであることが判明し、波紋を呼んでいる。 　これはChromeおよびEdgeにおいて、ブラウザー上で入力したテキストが外部のサーバーに送信されてスペルチェックが行われる「拡張スペルチェック」機能によるもの。セキュリティ企業のottoの報告によると、フォームに入力中の名前やメールアドレスなどの個人情報のほか、パスワードについても画面上で「パスワードを表示」オプションを有効にしていると送信されるというから恐ろしい。送信先は、ChromeであればGoogle、EdgeであればMicrosoftであるとはいえ、第三者のサーバーに送信されていることになる。拡張スペルチェック機能はデフォルトだと無効だが、有効化していないか、自身のブラウザーの設定を今のうちに確認しておこう。 2022年9月21日 12:00 https://internet.watch.impress.co.jp/docs/yajiuma/1441451.html ottoの研究チームは9月16日（米国時間）、「Chrome & Edge Enhanced Spellcheck Features Expose PII, Even Your Passwords」において、Google ChromeやMicrosoft Edgeのスペルチェック機能を有効にしている場合に、パスワードや個人情報などの機密データが漏洩する可能性があるという問題を明らかにした。 同チームのレポートによると、Chromeにおいて「拡張スペルチェック」を有効にしている場合、および、EdgeにおいてMicrosoftエディターを利用している場合、Webサイトのログインページなどで「パスワードを表示する」のチェックを入れた際にGoogleやMicrosoftに入力済みのパスワードが送信されるリスクがあるという。 この問題はGoogleやMicrosoftが意図的に仕組んだものではなく、スペルチェックの精度を上げるためにクラウド上に入力テキストを送信していることが裏目に出た結果と言える。通常、パスワード入力フィールドに入力されたテキストは送信されることはない。しかし、多くのWebサイトがユーザビリティのために一時的にパスワードを表示する「パスワード表示」ボタンを提供している。このボタンをクリックしてパスワードを表示した瞬間に、入力テキストはスペルチェックの対象となってクラウドに送信されてしまう。 ottoでは、企業向けのサービスを提供しているサイトのうち、特に影響の大きいサービスとしてとしてMicrosoft 365、Allibaba Cloud、Google Cloud、AWS、LastPassを挙げている。ただし、レポートの公開時点でAWSとLastPassではすでに問題への対象が完了しており、リスクは取り除かれたとのことだ。 ottoではさらに50を超えるWebサイトをテストし、そのうちの30のWebサイトについてカテゴリ別に分類した上で、機密性の高いデータをGoogleやMicrosoftに送信しているかどうかを調査したという。その結果、1サイトを除く96.7％が機密データの送信を行っており、73％が「パスワードを表示」ボタンでパスワードの送信を行っていることが判明した。パスワードを送信していないWebサイトには単に「パスワードを表示」ボタンが用意されていないものも含まれているため、残りの27％が必ずしも安全だとは限らないとのことだ。 Webサイトの管理者がこの問題に対処する場合は、機密データを含む入力フィールドに対して「spellcheck=false」の属性を付加すればよい。ユーザー側で対処するには、スペルチェック機能を無効にする必要がある。Chromeの場合は、設定画面の「同期と Google サービス」のページを開き、「拡張スペルチェック」の項目を無効に設定すればよい。Edgeの場合、スペルチェック機能は「Microsoft エディター」という拡張機能として提供されているので、この拡張機能を無効にすることで対処できる。 2022/09/21 19:43 https://news.mynavi.jp/techplus/article/20220921-2459897/ 127 名前：ニューノーマルの名無しさん [2022/09/23(金) 16:26:57.50 ID:L8uKbnoz0.net] 少し前から企業のアプリで外部機能使う時が危ないって言われてるのに まだ対処しない企業が多いからこうなる 128 名前：ニューノーマルの名無しさん mailto:sage [2022/09/23(金) 16:28:50.12 ID:UoKYFGh10.net] ネスケは 129 名前：ニューノーマルの名無しさん mailto:sage [2022/09/23(金) 16:32:20.92 ID:LJT1uRJx0.net] >>127 上司が「利便性考えろ！」とセキュリティ 無視した行動要求するからなあ そのくせ情報セキュリティに気をつけろと ほざく 130 名前：ニューノーマルの名無しさん [2022/09/23(金) 16:44:12.53 ID:L8uKbnoz0.net] >>129 日本のこの分野のリテラシーは本当に受動的な人が多いからどうにもならんな どんな機器だろうと自分で自分を守るのが基本なのにテック情報は見ないから 震災や防災の情報を見ないぐらいの馬鹿揃ってると思う 131 名前：ニューノーマルの名無しさん mailto:sage [2022/09/23(金) 16:49:18.01 ID:YQ/0Hiq+0.net] クロームのパスワードはメモ帳に保存してあるパスワードを起こしてコピペして貼り付けてログインしている 132 名前：ニューノーマルの名無しさん mailto:sage [[ここ壊れてます] .net] >>124 > ウイルスソフトも素通りしてる筈 ん？ 133 名前：ニューノーマルの名無しさん mailto:sage [[ここ壊れてます] .net] >>119 >>123 よくわかったありがとう 必要ないわ！ 134 名前：ニューノーマルの名無しさん [[ここ壊れてます] .net] あーあ とうとうGoogleまでこう言うことやり出したか 135 名前：ニューノーマルの名無しさん [[ここ壊れてます] .net] >>126 Do you anderstand? ってネタで書き込もうとしたらかってにスペルチェックされてイライラする 136 名前：ニューノーマルの名無しさん [2022/09/23(金) 19:01:07.98 ID:AftZay+n0.net] chromeは使って無いしedgeにアドオン入れてないけど passwordフィールドの入力をスペルチェックする意味が分からん 137 名前：ニューノーマルの名無しさん [[ここ壊れてます] .net] >>134 前からだぞ 一時期横行してたAmazonとかフェースブックとかツイアカ乗っ取りだって Googleの承認システムがクソだったから起きてた この4月に渋々変えたのを知らない馬鹿多い 138 名前：ニューノーマルの名無しさん [2022/09/24(土) 00:44:50.66 ID:YnYKDTWP0.net] 取られるもん別にないし好きにすりゃいいよ 不正請求きたら連絡するだけだから 139 名前：ニューノーマルの名無しさん [2022/09/24(土) 01:18:09.74 ID:viF6BfGf0.net] 知ってた つか何回目だよw 最初から使ってないわ 140 名前：ニューノーマルの名無しさん [2022/09/24(土) 01:19:42.77 ID:+aXfoTrU0.net] それよりxvideosは大丈夫か？ 141 名前：ニューノーマルの名無しさん [2022/09/24(土) 01:20:30.68 ID:5wYHnWuq0.net] これだからgooleは信用できない 142 名前：ニューノーマルの名無しさん mailto:age [2022/09/24(土 ] [ここ壊れてます] 143 名前：) 08:35:08.15 ID:IhdQ/8dR0.net mailto: 若者のGoogle離れ [] [ここ壊れてます] 144 名前：ニューノーマルの名無しさん mailto:sage [[ここ壊れてます] .net] >>142 あいつらインスタとTikTokとTwitterくらいしか使えないからな 145 名前：ニューノーマルの名無しさん mailto:age [2022/09/25(日) 07:59:56.79 ID:nn/BbYVU0.net] >>143 だけど最近のGoogleは広告に汚染されて使い物にならないから、インスタやTwitterで検索したくなる気持ちも理解できる。 146 名前：ニューノーマルの名無しさん mailto:sage [2022/09/25(日) 08:02:44.15 ID:mzsYeBjr0.net] スマホの日本語入力がパスワード覚えて予測変換に出す方が怖いわ 147 名前：ニューノーマルの名無しさん mailto:sage [2022/09/25(日) 08:26:45.17 ID:GiG0Bjog0.net] ブラウザはFirefox、検索はDuckDuckGo、毎日cookie消去 148 名前：ニューノーマルの名無しさん mailto:sage [2022/09/25(日) 08:50:33.53 ID:8bMeWKj20.net] パスワードは意味がある単語を避けるべきというのはよく言われてるな それでも完全に回避するのは難しいけど 149 名前：ニューノーマルの名無しさん mailto:sage [2022/09/25(日) 09:16:18.29 ID:mzsYeBjr0.net] パスワードは256桁に統一すべき 150 名前：ニューノーマルの名無しさん mailto:sage [2022/09/25(日) 09:18:11.12 ID:eqswje9J0.net] デフォ設定でパスワードやクレカの情報を保存しないブラウザはUnGoogledのChromeかlibrewolfしかないのね。そこからServiceworkerやらwebrtcなんかの潜在的脆弱性も取り払ったブラウザはPC用にはないという絶望。 151 名前：ニューノーマルの名無しさん [[ここ壊れてます] .net] iPhoneだけ先にフィックスしてから情報を暴露。 152 名前：ニューノーマルの名無しさん mailto:sage [[ここ壊れてます] .net] 日本語のスペルチェックないの？ 153 名前：ニューノーマルの名無しさん [2022/09/26(月) 20:47:01.97 ID:VRg0Q4VN0.net] YouTubeでうんざりするほど流れるChromeのCM鬱陶しかったから良かったわ 154 名前：ニューノーマルの名無しさん [[ここ壊れてます] .net] スペルチェック機能で世界中のユーザーのキー入力情報の収集活動している 便利さの裏に潜む本当の目的、GAFAMは恐ろしいなあ 怖くてネットに繋げられなくなっちゃうよ 155 名前：ニューノーマルの名無しさん mailto:age [2022/09/27(火) 07:43:41.45 ID:4SR+QGWt0.net] Linuxならどのブラウザが安全なのかね？ 156 名前：ニューノーマルの名無しさん mailto:sage [2022/09/27(火) 08:00:24.45 ID:GnpRC/1+0.net] そもそもパスワードは全部グーグル管理なんだけど 157 名前：ニューノーマルの名無しさん [2022/09/27(火) 09:10:08.76 ID:MxqsnVu80.net] Googleで勝手に第三者に2段階認証を外されて よく分からん中東の国からくそ高いソフトを購入されてから もうGoogleと金とは隔離してる 158 名前：ニューノーマルの名無しさん [2022/09/27(火) 12:40:31.99 ID:UmCkouyT0.net] >>154 lynx wget curl 159 名前：ニューノーマルの名無しさん [2022/09/27(火) 12:49:33.54 ID:0Hezp4vF0.net] Firefoxだから安心だな。 160 名前：ニューノーマルの名無しさん mailto:sage [2022/09/27(火) 13:45:03.96 ID:odgXSVIy0.net] >>154 そりゃLibreWolfさ 161 名前：過去ログ ★ [[過去ログ]] ■ このスレッドは過去ログ倉庫に格納されています

---

---

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef