Googleは今週、Chromeブラウザのパスワード保存方法をめぐり、厳しい批判にさらされている。この批判は、ソフトウェア開発者のエリオット・ケンバー氏がChromeのパスワード保存方法に欠陥を発見したという新たな発見を受けてのものとなった。
どうやらブラウザの設定パネルには、ユーザーがパスワードを保存しているすべてのウェブサイトと、それぞれのパスワードを一覧表示するセクションがあるようです。データは最初は非表示になっていますが、マウスをクリックするだけでパスワードが表示される可能性があります…
誰もが同意するわけではないが、ケンバー氏は、これは Chrome のパスワード保存の欠陥であり、ひいてはブラウザ全体のセキュリティの欠陥であると考えている。
GoogleがYouTube、映画館のプレロール、そして看板広告などで自社ブラウザを宣伝している世界において、明確なターゲットは開発者ではありません。それはマスマーケット、つまりユーザーです。圧倒的多数です。彼らはブラウザがこのように機能することを知りません。パスワードがこんなに簡単に見れるとは思っていません。毎日、何百万人もの普通のユーザーがChromeにパスワードを保存しています。これは許されません。
実際に確認してみたい方は、Chromeユーザーの方は chrome://settings/passwordsをご覧ください。
しかし、AppleInsiderが指摘しているように、他のブラウザでも同様の挙動が見られます。MozillaのFirefoxブラウザは、認証を必要とせずに「パスワードを表示してもよろしいですか?」とユーザーに尋ねますが、Safariはログイン済みのユーザーのパスワードを要求します。
ご想像のとおり、Googleはここで何も悪いことをしているとは考えていません。こうした懸念に対し、Chromeのセキュリティ技術責任者であるジャスティン・シュー氏はHacker Newsに次のように投稿しました。
私はChromeブラウザのセキュリティ技術責任者なので、ここで私たちの考え方を説明すると役立つかもしれません。パスワード保存における唯一の強力な権限境界は、OSのユーザーアカウントです。そのため、Chromeはシステムが提供する暗号化ストレージを使用して、ロックされたアカウントのパスワードを安全に保管しています。しかし、それ以外のOSのユーザーアカウント内の境界は信頼性が低く、ほとんどが単なる見せかけであることがわかりました。
悪意のある人物があなたのアカウントにアクセスした場合を考えてみましょう。その悪意のある人物は、あなたのセッションCookieをすべてダンプしたり、履歴を盗んだり、悪意のある拡張機能をインストールしてすべてのブラウジングアクティビティを傍受したり、OSのユーザーアカウントレベルの監視ソフトウェアをインストールしたりする可能性があります。私が言いたいのは、悪意のある人物があなたのアカウントにアクセスした時点で、もうゲームオーバーだということです。なぜなら、目的を達成するための手段があまりにも多く、その手段があまりにも多く存在するからです。
マスターパスワードやそれに類するものを、たとえそれが効果的だとは思っていなくても、なぜサポートしないのかと、何度も質問を受けてきました。何度も議論を重ねてきましたが、いつも行き着く結論は、ユーザーに誤った安心感を与え、危険な行動を助長したくないということです。OSユーザーアカウントへのアクセスを誰かに許可すると、その人はすべてにアクセスできるようになるということを、私たちは明確にしておきたいのです。なぜなら、事実上、それが彼らの手に委ねられているものだからです。
確かに、パスワードを閲覧するには、誰かがGoogleアカウントにログインしている必要があります。そして、そのデバイスやマシン上でのみ、パスワードが危険にさらされます。しかし、これを知った後、どれだけの人がChromeにパスワードを保存し続けるでしょうか。
このことについてどう思いますか?大したことじゃないと思いますか?それとも、そんなに大きなことじゃないと思いますか?
