アカウント名:
パスワード:
WebAssemblyなんてやれることはJavaScriptとほとんど変わらないから。
そんなものよりPWAを禁止しろ。
ブラウザを閉じてもバックグラウンドで動かせるとかいう邪悪な用途しか存在しないService Worker、勝手にデスクトップに居座ってくるa2hs(今はまだDesktop PWAs installable from the omniboxで無効化できるが、いつ無効化できなくなるかわかったものではない)、ブラウザを閉じても宣伝を送りつけてくるWebPUSH通知。
どれもWebには必要ない。
攻撃ルーチンは、ユーザーが攻撃者の制御するウェブサイトにアクセスしたときにService Workerを登録し、次に ServiceWorker APIのSyncManagerインターフェースのバックグラウンド同期機能を悪用して、ユーザーがそのウェブサイトから離れた後もService Workerがアクティブな状態を維持するというものだ。
この攻撃はサイレントであり、ユーザーとのやり取りを一切必要としない。ブラウザはService Workerを登録する前に、ユーザーに警告を発したり、許可を求めたりしないからだ。
https://japan.zdnet.com/article/35133271/ [zdnet.com]
これが、今の Google Chrome の 仕様
最近のトレンド追ってない人にとっては「そんなの嘘に決まってる」と感じるかもしれないが、警告メッセージ無しで任意のWebサイト(一応https対応は必要だが)がService Workerをインストールでき、Webブラウザを閉じた状態でもトリガーを使ってバックグラウンドでJavaScriptの動作ができてしまう。例えば、スマホが圏外から圏内に入ったときに、そのWebサイトの最新のデータをダウンロードしておいてキャッシュしておくといったことも可能。
リソースを無限に使えるわけではないが、ほぼアクセスしないWebサイトのJavaScriptが定期的に実行され、裏でギガも消費したりする害悪機能なのだ。プッシュ通知には権限がいるももの、バックグラウンドでのJavaScriptの実行(ブラウザ終了時も含む)に権限がいらないなど、意味不明な有害機能。
なんでユーザに確認画面も表示させずに勝手なことするんだろう。
AdblockでServiceWorker っぽい名前のやつを排除してる。名前でしかないから完全じゃないが、一応効果はある。
*serviceworker*.min.js*serviceworker*.js*service_worker*.js*service-worker*.js*service_worker*.min.js*service-worker*.min.js*sw.min.js*serviceworkerhandler*.ashx*sw.js*push7-worker*.js*pushworker*.js*sw.cms*calimero*.js*OneSignalSDKWorker*.js.php*service_worker_binary*.js*reg_webpush*.js*pc_sw*.js*ngsw-worker.js*ngsw_worker.js*ua-push-worker.js*OneSignalSDKWorker.js*sw-loader.js
Chromeを使うなら、必ずServiceWorkersを無効化しよう [qiita.com] の方法で無効化できるのかな?
記事の最後の方に> 数日たって開発者ツールを開いてみたら、削除したはずのServiceWorkers共がしれっと再侵入していた。> いったいどういうこと?> chrome://flags/の設定、本当に効いてるの???とあるから不安なのだが...
こういう挙動があるからChromeはあまり使いたくない
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
WebAssemblyよりPWAを禁止しろ (スコア:3, 興味深い)
WebAssemblyなんてやれることはJavaScriptとほとんど変わらないから。
そんなものよりPWAを禁止しろ。
ブラウザを閉じてもバックグラウンドで動かせるとかいう邪悪な用途しか存在しないService Worker、
勝手にデスクトップに居座ってくるa2hs(今はまだDesktop PWAs installable from the omniboxで無効化できるが、いつ無効化できなくなるかわかったものではない)、
ブラウザを閉じても宣伝を送りつけてくるWebPUSH通知。
どれもWebには必要ない。
Service Worker はサイレント(警告無し)でインストール可能 (スコア:0)
攻撃ルーチンは、ユーザーが攻撃者の制御するウェブサイトにアクセスしたときにService Workerを登録し、次に ServiceWorker APIのSyncManagerインターフェースのバックグラウンド同期機能を悪用して、ユーザーがそのウェブサイトから離れた後もService Workerがアクティブな状態を維持するというものだ。
この攻撃はサイレントであり、ユーザーとのやり取りを一切必要としない。ブラウザはService Workerを登録する前に、ユーザーに警告を発したり、許可を求めたりしないからだ。
https://japan.zdnet.com/article/35133271/ [zdnet.com]
これが、今の Google Chrome の 仕様
最近のトレンド追ってない人にとっては「そんなの嘘に決まってる」と感じるかもしれないが、警告メッセージ無しで任意のWebサイト(一応https対応は必要だが)がService Workerをインストールでき、Webブラウザを閉じた状態でもトリガーを使ってバックグラウンドでJavaScriptの動作ができてしまう。
例えば、スマホが圏外から圏内に入ったときに、そのWebサイトの最新のデータをダウンロードしておいてキャッシュしておくといったことも可能。
リソースを無限に使えるわけではないが、ほぼアクセスしないWebサイトのJavaScriptが定期的に実行され、裏でギガも消費したりする害悪機能なのだ。
プッシュ通知には権限がいるももの、バックグラウンドでのJavaScriptの実行(ブラウザ終了時も含む)に権限がいらないなど、意味不明な有害機能。
なんでユーザに確認画面も表示させずに勝手なことするんだろう。
Re:Service Worker はサイレント(警告無し)でインストール可能 (スコア:1)
AdblockでServiceWorker っぽい名前のやつを排除してる。
名前でしかないから完全じゃないが、一応効果はある。
*serviceworker*.min.js
*serviceworker*.js
*service_worker*.js
*service-worker*.js
*service_worker*.min.js
*service-worker*.min.js
*sw.min.js
*serviceworkerhandler*.ashx
*sw.js
*push7-worker*.js
*pushworker*.js
*sw.cms
*calimero*.js
*OneSignalSDKWorker*.js.php
*service_worker_binary*.js
*reg_webpush*.js
*pc_sw*.js
*ngsw-worker.js
*ngsw_worker.js
*ua-push-worker.js
*OneSignalSDKWorker.js
*sw-loader.js
chrome://flags/ でいけるか? (スコア:1)
Chromeを使うなら、必ずServiceWorkersを無効化しよう [qiita.com] の方法で無効化できるのかな?
記事の最後の方に
> 数日たって開発者ツールを開いてみたら、削除したはずのServiceWorkers共がしれっと再侵入していた。
> いったいどういうこと?
> chrome://flags/の設定、本当に効いてるの???
とあるから不安なのだが...
Re: (スコア:0)
こういう挙動があるからChromeはあまり使いたくない