皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は冒頭に書いた昨日の記事『Chrome 80でECサイトに影響』の続きです。

Chrome 80の登場とECサイト対策

昨日の記事の最後では、

ECサイトなどにおいてこの『SameSite属性』が指定されていない場合、・・・中略・・・ECサイトなどによっては『ログイン情報が保持できない』、『カートの商品が保持できない』、『複数商品が購入できない』などといったことが起こる可能性があります。

これ以外にも問題が発生し得る条件などがあり・・・

ということを書きましたが、その条件というのは『クロスサイト（異なるドメイン（複数サイト）間）』での挙動に関してということになります。

具体的には『ドメインA』でログインし、その後に『ドメインB』に遷移する挙動がある場合などです。

このケースにおいては『SameSite属性』によって対応が異なります。

＜SamteSite=None＞

・SSL化（HTTPS化）されていること

・Cookie（クッキー）にSecure属性が付与されていること

この2点が満たされていれば今まで通り動作します。

＜SameSite=Lax＞

※　ECサイト側で指定がない場合はGoogle Chromeの既定値となる『SameSite=Lax』となります。

・『SameSite=None』に変更して対応

・『SameSite=Lax』を使用する場合、『サイト全体の常時SSL化（HTTPS化）』＋カートボタンなどの『method属性』を『post』から『get』に変更して対応

＜SameSite=Strict＞

セキュリティレベルが3つの中で一番高いもので、主に金融機関などで用いられると考えられるため割愛します。

大まかには以上のよう感じです。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭に書いた通り『Google Chrome 80』がリリースされたわけですが、『Google Chrome』はこのバージョンから『プライバシー保護』などを目的に一部仕様が変更されます。

（実際には約2週間後あたりのマイナーアップデートから段階的に行われるようです。）

今回の仕様変更は『ECサイト』などに影響しますので、今日はそれをご紹介します。

Chrome 80がECサイトに与える影響

今回の『Google Chrome 80』では『Gookie（クッキー）』というブラウザに一時保存されたデータの動作が変更になります。

つまり、『ログイン』や『カート』に入っている商品などの情報を『Gookie（クッキー）』を使って保持している『ECサイト』などにおいては影響が出るわけです。

では、『Google Chrome』における『Cookie（クッキー）』の扱いはどのような変更がされるのか？

『Google Chrome』には、CSRF（cross-site request forgeries：クロスサイトリクエストフォージェリ）という攻撃からユーザーを保護するため『SameSite』という『Cookie（クッキー）』に付与される属性があります。

この属性には3つのものがあり、

None　⇒　Lax　⇒　Strict　の順にセキュリティレベルが厳格になっていきます。

そして、ECサイトなどにおいてこの『SameSite属性』が指定されていない場合、『Google Chrome』からアクセスした際の『Cookie（クッキー）』の扱いが『Google Chrome 79以前』の既定値『None』から『Google Chrome 80以降』では『Lax』に変更されるため、ECサイトなどによっては『ログイン情報が保持できない』、『カートの商品が保持できない』、『複数商品が購入できない』などといったことが起こる可能性があります。

これ以外にも問題が発生し得る条件などがありますが、それに関してはまた後日お伝えしたいと思います。

今日のところはこの辺で。。。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は冒頭に書いた通り、『Google Chrome』、『Firefox』、『Thunderbird』がそれぞれアップデートされていますのでその情報をお伝えします。

Chrome Firefox Thunderbird がアプデ

＜Google Chrome 78＞

まずは『Google Chrome』です。

『Google Chrome』は『Chrome 77』から『Chrome 78』にアップデートされました。

今回のリリースでは、

・Native File System API、SMS Receiver APIといったAPIの追加

・その他の機能強化

・37件のセキュリティ修正

・XSS（クロスサイトスクリプティング）対策としてXSS Auditorの削除

が行われているようです。

＜Firefox 70 & Firefox ESR 68.2＞

『Firefox』は、『Firefox 70』と法人向け延長サポート版の『Firefox ESR 68.2』がリリースされています。

『Firefox 70』では、

・FacebookなどのSNSに対するトラッキング防止機能

・パスワード管理『Lockwise』でのパスワード生成機能

・アドレスバーでの安全でないサイト（ページ）に対するアイコン表示の変更

・OS側のダークモード設定に沿った反映

・13件の脆弱性修正

・ロゴマークの刷新

・Firefox Quantum ⇒ Firefox Browser

などが行われております。

また、ESR版の『Firefox ESR 68.2』はセキュリティ修正が主となっており、『Firefox ESR 60系』から自動更新（アップデート）されるようにもなっています。

（この関係でFirefoxを可としている銀行の対応ブラウザも更新されているようです。）

＜Thunderbird 68.2＞

最後に『Thunderbird 68.2』のリリースに関してです。

今回、『Firefox ESR 68.2』が『Firefox ESR 60系』自動更新（アップデート）されるようになったように、『Thunderbird 68.2』においても『Thunderbird 60系』からの自動更新（アップデート）に対応するようになりました。

それ以外では、

・Message Display WebExtension API、Message Search WebExtension APIといったAPIの追加

・ダークテーマ使用時の未読メッセージに対する改善

・メーリングリスト編集時の問題の修正

・macOSでのアドレス帳と通知の統合が機能しない問題の修正

・再起動後のアプリケーションウィンドウサイズの維持の問題の修正

などが行われています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は『Google Chrome』の『Software Reporter Tool』に関する続編です。

Software Reporter Toolが無効化されない

先月に投稿した『CPUを大量使用する○○な機能』では、

以前のバージョンではChromeの再起動後には無効化したものが元に戻って有効化されてしまっていたようですが、現在の最新バージョン『Chrome 76』においては無効化されたままになります。

と書きましたが、すみませんm(_ _)m、間違っていたようです。

これ、機能して欲しくない方にとっては定期的に強制的な無効化を行う必要があります。

＜定期的な無効化＞

前回の記事で『Software Reporter Tool』の強制的な無効化を以下のようにご紹介しました。

１．c:\Users\（ユーザー名）\AppData\Local\Google\Chrome\User Data\SwReporter\（バージョン）の場所に『software_reporter_tool.exe』というアプリケーションファイルを見つけます。

２．『software_reporter_tool.exe』のプロパティ ⇒ 『セキュリティ』タブ ⇒ 詳細設定 ⇒ 継承の無効化 ⇒ 『このオブジェクトから継承されたアクセス許可をすべて削除します。』をクリック ⇒ 適用（OK）

この『（バージョン）』というのが『定期的に強制的な無効化』を行う必要があるという意味です。

つまり、『Software Reporter Tool』は『バージョン別』に存在しているようで、『Google Chrome』がメジャーアップデートされると別の新しいフォルダに生成されます。

従って、メジャーバージョンアップした際は新しいフォルダの『Software Reporter Tool』を強制的に無効化しないと『Software Reporter Tool』が機能してしまうことになります。

ある意味迷惑な機能にも思えますが、仕様が変わらない限り何ともならないでしょう。

疑問に思いタスクマネージャーを確認すると、CPUの使用率が100%に達しようとしていました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭に書いた出来事は私が実際に体験したものなのですが、CPUに負荷をかけていたのはブラウザの『Google Chrome』にある機能が起こしていたものでした。

CPUを大量使用するChromeの機能とは

『Google Chrome』には、『有害なソフトウェア』、『システム設定』、『プロセス』について詳細なレポートをGoogleに送信する機能があります。

『Software Reporter Tool』というものです。

本来はそのまま有効にしておいた方が良い気もしますが、流石にCPUの使用率が大き過ぎ、CPUファンがうなりをあげて回転するようでは少々問題がある気もします。

では、もしこの『Software Reporter Tool』を無効にしてCPUへの負荷を抑えたい場合はどのようにしたら良いか？

＜Software Reporter Toolの無効化＞

『Software Reporter Tool』を無効にしておきたい場合は以下の手順で無効化できます。

Chromeの設定 ⇒ 詳細設定 ⇒ リセットとクリーンアップ ⇒ パソコンのクリーンアップ ⇒ 詳細なレポートをGoogleに送信するをオフにする

これで『Software Reporter Tool』が無効化されます。

以前のバージョンではChromeの再起動後には無効化したものが元に戻って有効化されてしまっていたようですが、現在の最新バージョン『Chrome 76』においては無効化されたままになります。

＜Software Reporter Toolの強制的な無効化＞

現状は一度無効化にしておけば再起動後に元に戻って有効化されてしまうことはないのですが、次回以降のアップデートで同様の現象が出てしまう可能性がないわけではありません。

そのような場合、『Software Reporter Tool』を強制的に無効化してしまう方法もあります。

１．c:\Users\（ユーザー名）\AppData\Local\Google\Chrome\User Data\SwReporter\（バージョン）の場所に『software_reporter_tool.exe』というアプリケーションファイルを見つけます。

２．『software_reporter_tool.exe』のプロパティ ⇒ 『セキュリティ』タブ ⇒ 詳細設定 ⇒ 継承の無効化 ⇒ 『このオブジェクトから継承されたアクセス許可をすべて削除します。』をクリック ⇒ 適用（OK）

これで強制的に『Software Reporter Tool』が無効化されます。

この『継承の無効化』に関しては、『継承の有効化』を行うことで元に戻すことも可能です。

ちなみに、『Windows Update』もCPU使用率は結構高いです。

このGoogle Chrome 70において、また新しいものが導入されるかもしれません。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

来月、Googleのブラウザ『Chrome 70』がリリース予定となっていますが、この『Chrome 70』においては以前にご紹介した通り、『HTTPサイトに対する警告表示』が『赤字』で『！保護されていません』と表示されます。

しかし、これに限らず他の機能も追加になるようです。

Chrome 70は指紋認証に対応する

Google Chrome 70で導入される新しい機能とは、各ウェブサイトへのログインに対して『macOSのTouch ID』や『Androidの指紋センサー』が使えるようになる。

つまり、二段階認証の承認プロセスとしてそれが使えるようになるということになります。

ただし、WindowsやiOSデバイスにおいてそれが可能かどうかは不明です。

（触れられていませんでした。）

この機能の導入により、パスワードやクレジットカード情報の入力などがより安全な状態となるため、また一歩前進といったところではないでしょうか。

Google Chromeに限らず、セキュリティに対する意識は高まっています。

高まっていないとすればユーザー側の意識かと思われますので、もう少しずつでもセキュリティに対する意識を高めてもらえることを願うばかりです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は、ここ数日間に出された脆弱性情報をまとめてお届けします。

Adobe Flash Palyerの脆弱性

まず、Adobe（アドビ）のFlash Playerですが、脆弱性を悪用したコンテンツをユーザーが開いた場合、リモートからの攻撃によって任意のコードが実行される可恐れがあります。

対策は、最新のバージョンに更新することです。

ただし、次のブラウザはAdobe Flash Playerが同梱されていますので、ブラウザのバージョンを最新にすることになります。

・Internet Explorer 11 (Windows 10 および Windows 8.1)

・ Microsoft Edge (Windows 10)

・ Google Chrome

Adobe Acrobat Readerの脆弱性

次に、AdobeのAcrobat Readerですが、PDFファイル閲覧ソフトウエアAdobe Reader及びPDFファイル作成・変換ソフトウエアAdobe Acrobatに複数の脆弱性があり、脆弱性を悪用したコンテンツをユーザが開いた場合、リモートからの攻撃によってAdobe ReaderやAcrobatが不正終了したり、任意のコードが実行されたりする恐れがあります。

こちらも対策は同じで、最新のバージョンに更新することで修正されます。

また、PDFファイルの閲覧にAdobe Reader 11.xを使われている方はAdobe Reader DCにアップデートされることをAdobe（アドビ）では強く推奨しています。

マイクロソフトのセキュリティ更新

マイクロソフトから、2017年11月のセキュリティ更新プログラムが公開されています。

・Flashのセキュリティ更新

・スクリプト エンジンのメモリ破損の脆弱性

・Microsoft Edge のメモリ破損の脆弱性

・Internet Explorer のメモリ破損の脆弱性

これも、早期の段階でWindows Updateなどにてセキュリティ更新プログラムを適用することが対策となります。

Microsoft Officeの脆弱性

最後に、Microsoft Office 数式エディタにスタックベースのバッファオーバーフローの脆弱性があり、細工されたOffice文書を閲覧した場合にユーザの権限で任意のコードが実行される可能性があります。

影響を受けるMicrosoft Officeのバージョンは以下の通りです。

・Microsoft Office 2007 Service Pack 3

・Microsoft Office 2010 Service Pack 2 (32-bit edition)

・Microsoft Office 2010 Service Pack 2 (64-bit edition)

・Microsoft Office 2013 Service Pack 1 (32-bit edition)

・Microsoft Office 2013 Service Pack 1 (64-bit edition)

・Microsoft Office 2016 (32-bit edition)

・Microsoft Office 2016 (64-bit edition)

こちらも、早期に最新版へアップデートすることが必要です。

いずれの場合も、自動でアップデートされる場合はいいですが、手動でアップデートしなければいけない場合においては早期にアップデートされることをお勧めします。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

先日、日本語ドメインは表示するだけという記事を書かせていただき、その中で、私は日本語ドメインをおススメしないことを申し上げました。

これは少々想定外であった部分でもあるのですが、日本語ドメインには相性的な問題が存在するものがあります。

日本語ドメインと相性の悪いものとは

日本語ドメインと相性的な問題が存在するものが何かといいますと、それはGoogle Maps APIです。

Google Maps APIとは、ウェブページにGoogleのサービスを活用した地図を掲載しようとした際、オリジナルのアイコン表示や複数のマーキングなどを行いたい場合などによく使われるものですが、これが日本語ドメインの場合においてはGoogle Maps APIそのものが一部のブラウザを除いてエラーを起こしてしまいます。

テストしたところ、Google Chromeでは正常に表示されるものの、Internet Explorer、Microsoft Edge、Firefoxにおいてはエラーになり、表示されません。

（日本語ドメインではない、example.comなどのドメインにおいては当然問題は起きません。）

日本語ドメインの際の解決策

これに対する1つの解決策として、マーキングを複数行いたいだけであればGoogleマイマップを使って複数の地点をマーキングすることが可能です。

ただし、オリジナルのアイコン表示などはできません。

もし、1つの地点だけをマーキングすれば良いのであれば通常のGoogleマップを使用するのが一番シンプルです。

また、他の方法としてiframe上で表示させるといった苦肉の策を取られている方もおられるようですが、これは正規にアナウンスされた方法ではないためグレーな方法となります。

このように、そのウェブサイトに何を掲載するのか、それに何を使用するのかなどによってもドメインの選択が分かれるところかと思います。