Microsoft、Google Chromeユーザーを悪意あるWebサイトから守る拡張機能を公開 31
ストーリー by headless
本物 部門より
本物 部門より
MicrosoftがGoogle Chrome用拡張機能「Windows Defender Browser Protection」をChromeウェブストアで公開した(公式サイト、
The Vergeの記事、
BetaNewsの記事)。
Windows Defender Browser ProtectionはユーザーがアクセスしようとするWebサイトをフィッシングサイトやマルウェアホスティングサイトなど有害なサイトのリストと照合し、一致する場合はブロックするというもの。つまり、SmartScreenをGoogle Chromeで使用できるようにするということのようだ。同様の機能はGoogle Chromeにも備わっているが、Microsoft Edge 99%、Google Chrome 87%というフィッシング攻撃からの保護率(NSS Labs調べ)を提示し、Windows Defender Browser Protection拡張機能をインストールすることでMicrosoft Edge並みの安全性が保たれると説明している。
公式サイトの動画ではWindows 10 PCでMicrosoft Edgeを使用すれば常に最も安全だと説明しているが、3月のデスクトップブラウザーシェアでMicrosoft Edgeは4%台(StatCounter、Net Applications)。一方Google Chromeは60%を超える圧倒的なシェアを獲得しており、このままではWindows 10ユーザーの保護が不十分だと考えたのかもしれない。
なお、Microsoft EdgeとInternet Explorerで公式サイトにアクセスした場合、Microsoft Edgeの導入ページにリダイレクトされてしまう。そのため、公式サイトの内容を見るにはGoogle ChromeやMozilla Firefoxなど別のWebブラウザーでアクセスする必要がある。
Windows Defender Browser ProtectionはユーザーがアクセスしようとするWebサイトをフィッシングサイトやマルウェアホスティングサイトなど有害なサイトのリストと照合し、一致する場合はブロックするというもの。つまり、SmartScreenをGoogle Chromeで使用できるようにするということのようだ。同様の機能はGoogle Chromeにも備わっているが、Microsoft Edge 99%、Google Chrome 87%というフィッシング攻撃からの保護率(NSS Labs調べ)を提示し、Windows Defender Browser Protection拡張機能をインストールすることでMicrosoft Edge並みの安全性が保たれると説明している。
公式サイトの動画ではWindows 10 PCでMicrosoft Edgeを使用すれば常に最も安全だと説明しているが、3月のデスクトップブラウザーシェアでMicrosoft Edgeは4%台(StatCounter、Net Applications)。一方Google Chromeは60%を超える圧倒的なシェアを獲得しており、このままではWindows 10ユーザーの保護が不十分だと考えたのかもしれない。
なお、Microsoft EdgeとInternet Explorerで公式サイトにアクセスした場合、Microsoft Edgeの導入ページにリダイレクトされてしまう。そのため、公式サイトの内容を見るにはGoogle ChromeやMozilla Firefoxなど別のWebブラウザーでアクセスする必要がある。
Edge が使い物になればいいのに (スコア:2, 興味深い)
業務で Windows10 使ってます。
当初は我慢して、 Edge 使っていたのですが、業務用の社内システムのページなどが非常に使いづらいので、 IE にしました。
Google Chrome も併用していますが、要するに Edge が使いものにならないから、安全かどうかに関係なく他のブラウザを使ってます。
姿勢は評価しますが、早く Edge を使い物になるようにしてくれよと。
典型的なのが、ウィンドウの中が灰色か真っ白一面になって閉じられなくなることで、タスクマネージャで落とします。
ウィンドウの大きさを変えるとわくの大きさが大きくなるときに、枠線はひろがりますが、中身は広がらず、右上の×は見えなくなりますが、表現力が乏しくてうまく説明できてる気がしません。
テキストボックスの文字入力がおかしかったのは、三ヶ月くらいで直ったのですが、上記症状は昨年末くらいから三ヶ月では直らないので、まだ使用を見合わせています。
それでも、標準ブラウザにしているので、 MUA の URL をクリックすると Egde が起動してくるようにしているので、まだ待ってます。
Edge が安全なのは、実はちゃんと表示できるサイトが少なかったりしないか?と疑問にも思います。
まぁ、怪しいサイトはへんなスクリプトが入って表示されないのかもしれませんけど。
Re: (スコア:0)
そこまでひどい症状には遭遇したことないけど、なんかときどきフリーズする現象があるな。
アドインいれなければどのブラウザも機能的には大差ないので、職場ではEdge使ってる(自宅ではFirefox)。
使い物にならないとは思わないけど、なんかEdgeって冴えないんだよなあ…なんでかな。
たぶんUIのちょっとしたダサさとか、そういうところだと思うんだけど。
Re: (スコア:0)
Edgeはバーが灰色なのが損していると思う。
Re: (スコア:0)
うちのEdgeはバーが黒だょ♡
Re: (スコア:0)
黒にもできるのか。
しかし設定の表記上では灰色ではなく「白」なんだな・・・
そして黒よりは灰色の方がマシという結論に。
Re: (スコア:0)
アクセントカラーをタイトルバーに表示するよう設定しているときは反映してほしい(Firefoxは反映する)
Re: (スコア:0)
設定 - テーマの選択
白 or 黒
Re: (スコア:0)
たしかにEdgeはあまり、というか安定性の面では割とダメだけど、
「非常に使いづらい」ってそこまでのレベルだと御社の業務用社内システム作ってる連中がゴミカスなのでは
Re: (スコア:0)
そのゴミカスのおかげでWindowsにロックインできてるんだからあまり悪口言ってやるなよ。
シェアから考えると仕方ないとはいえ (スコア:0)
Chromeは使ってないので、Firefox版も出してほしいなあ。
同じGoogle Safe Browsing使っても、なぜかFirefoxの方が検出率が悪いらしいし。
ちなみにEdgeは動画再生用に使っているけど、なんかGyaoの動画、映像が時々止まるんだよね。
Chromeに最適化されているのかな。
Edge、もっと安定させてくれ (スコア:0)
割合好きにはなったが、まだぎこちない動作があるなぁ。
マイクロソフトは、Edgeの開発を更に頑張ってほしいよ。
Re: (スコア:0)
すごい日本語だな・・・何を言いたいのか理解不能。レビューが必要ですね・・・
Re: (スコア:0)
そんなこと言ったらマルウェア対策アプリだってザルじゃん
ユーザーが操作すれば実行できたり隔離したのを出したりできるんだからさ
フィッシングサイトだろうがアクセスしようと思えばできちゃうしね
署名無し exe ファイルの誤検出率は、公開直後は 100% (スコア:0, 参考になる)
タイトルは誇大広告じゃなくてマジです
Edge/IEに搭載されているのは、最初全部誤検出して、ダウンロード・実行ユーザーがある程度増えてきてはじめて誤検出がなくなる人柱が必要なホワイトリスト形式の迷惑セキュリティソフトなんです
こういうのがフリーソフト文化を破壊するんだよね
作者にウイルスだと表示されたのなんだのと冤罪メールばっかきて迷惑
『少しでもアヤシイファイルは全部「警告」扱いにする』のが問題なんだよ
自分でプログラム作れば分かるけど、EdgeやIEはexeなどの実行ファイルをこう扱う
・EVコードサイニング署名付き ⇒ デフォルトでスルー(ブラック
Re:署名無し exe ファイルの誤検出率は、公開直後は 100% (スコア:1)
EV署名のない実行ファイルをデフォルトでブロックするのは普通の動作に見える。
当然知っていると思うけど、EVでないコード署名はプログラムの信用を担保しない。ただ改竄されていないことを証明するだけだ。
例えば、フィッシングサイトが公開するマルウェアにEVでないコード署名がついていたところで、なんの保証にもならない。
身元を証明したいのならEV署名は必要だ。
昔ながらの開発者として気に入らないのはわかるけど、これが不当に思えるのはちょっと時代遅れというしかない。
また、根本的な誤解として、SmartScreenはウイルススキャナではない。
SmartScreenはドメインやURLの信頼性を評価するもので、フィッシングサイトなどを遮断するのが目的だ。
その性能が高くて、特に新たに登場したフィッシングサイトへの対応がきわめて速いとされている。
Re:署名無し exe ファイルの誤検出率は、公開直後は 100% (スコア:2, 参考になる)
当然知っていると思うけど、EVでないコード署名はプログラムの信用を担保しない。ただ改竄されていないことを証明するだけだ。
例えば、フィッシングサイトが公開するマルウェアにEVでないコード署名がついていたところで、なんの保証にもならない。
身元を証明したいのならEV署名は必要だ。
SSL/TLSに使うX.509 証明書かなんかと勘違いしているように思える。
CA/Browser ForumのBaseline Requirementsではコードサイニング証明書にはVerification of Organizational Applicantsが必須だと書かれている。
11.Verification Practices から引用すると
のいずれかが必須。
実際の運用としては、大抵の認証局はEVでもEVでなくてもコードサイニング証明書は同じような審査をする(EVでなくてもコールバック確認や書類審査をする)のでなりすましリスクについては大きな違いがあるとはいえない)。EVの方が値段が高いので認証局の儲けが大きいという違うはあるね。
EVと非EVの大きな違いは、EVの方は個人事業主を含む個人だと取得できないことぐらいかな。でも、死ぬまで逃亡できない個人と、いくらでもペーパーカンパニー作り放題の法人で、後者の方が信頼できるというのは違うと思う。
民事の賠償責任や法人格としての刑事責任も法人は会社つぶせば逃れられるけど、個人の自己破産免責は簡単には認められない。
Re: (スコア:0)
本当に検出率が高いのか疑問だ。怪しげな詐欺サイトが表示されたことはあるが、SmartScreenの赤い画面を見たことがない。
Re: (スコア:0)
また、根本的な誤解として、SmartScreenはウイルススキャナではない。
SmartScreenはドメインやURLの信頼性を評価するもので、フィッシングサイトなどを遮断するのが目的だ。
その性能が高くて、特に新たに登場したフィッシングサイトへの対応がきわめて速いとされている。
SmartScreenがアンチウイルスかどうかは考え方次第では?
https://hebikuzure.wordpre [wordpress.com]
Re: (スコア:0)
仮に「プログラムの信用を担保する」のなら、それで問題が起きた時は証明書を発行した機関や実行を許可したOSメーカーは責任とってくれるの?
連帯保証人のハンコついたわけじゃないのに、信用を担保するなんてことはないでしょ。
Re:署名無し exe ファイルの誤検出率は、公開直後は 100% (スコア:1)
インテルのHPから新しいグラフィックドライバをダウンロードすると、これに引っ掛かってイライラさせられる。
Re: (スコア:0)
これは別にWindows Defenderに限らずNorton等でも起きる問題かと思います。
しかもNortonの場合は隔離されるのでいちいち除外・復元する必要があったり。
# 自分でビルドしたexeですらブロックされたのでAC
Re: (スコア:0)
Norton も新しいexeは原則誤検出ですね
カスペルスキーはそういう挙動無いのでまともですよ
Re: (スコア:0)
こういうのがフリーソフト文化を破壊するんだよね
作者にウイルスだと表示されたのなんだのと冤罪メールばっかきて迷惑
『少しでもアヤシイファイルは全部「警告」扱いにする』のが問題なんだよ
さっさとストアアプリに移行すればいいだけの話でしょ
Re: (スコア:0)
さっさとストアアプリに移行すればいいだけの話でしょ
特定の巨大営利企業が支配しているストアにアプリを預けるのは、古き良きフリーソフト文化とは相反する。
Re: (スコア:0)
でも漫画村やウイルスやアドウェア入りのアプリを含めてフリーでオープンなのを支持したいというのが出てくるからなぁ。
Re: (スコア:0)
特定の巨大営利企業が支配しているPC向けにアプリをリリースするのは、古き良きフリーソフト文化とは相反する。
Re: (スコア:0)
ストアが嫌ならChocolateyとかで公開すれば?
ブラウザを使わずにダウンロード・インストールできればブラウザのセキュリティ機能は無力なんだから
Re: (スコア:0)
まだ、業務でお使いのPCでWindows7が高いシェアを保っているので、まだ移行できないです。
あと2年耐えなくては...。
Re: (スコア:0)
「ダウンロード及び実行の実績が少ないソフトウェアです」
「ダウンロード及び実行の実績が少ないソフトウェアですが、署名はあります」
って正直に書いてくれればいいのにな。
ていうかそんなやり方だと大量にダウンロードさせることに成功したマルウェアには警告でないっていう凶悪なオチ