2 ポイント 投稿者 GN⁺ 2024-02-01 | 1件のコメント | WhatsAppで共有
  • Windows向け Microsoft Edge が、ユーザーの許可なしに、または設定をオフにした状態でも、Chromeで開いているタブやブラウザーデータを取り込むという報告が相次いでいる
  • Edgeには、起動するたびにChromeからお気に入りや保存済みパスワードを超えて、ほぼすべてのブラウザーデータを取り込める機能があり、少なくとも2022年半ばから存在している
  • The VergeのTom Warren氏は、再起動後にEdgeが以前のChromeの状態と同じタブで開き、取り込みを許可したこともなく、設定もオフになっていたと明らかにした
  • 最近の事例は、2024年1月23日に配布されたWindows 11アップデート KB5034204 以降に増えているようで、インストール画面にはEdgeが他のブラウザーのデータを定期的に取り込むという文言が含まれている
  • Microsoftは公式コメントを拒否したが、内部事情を知る人物は、別のデバイスで選択した continuous import の状態がデバイス間で誤って同期された可能性があり、次のEdge Stableリリースで修正中だと伝えた

EdgeによるChromeデータ自動取り込みをめぐる論争

  • Windowsユーザーは、EdgeがChromeで開いているタブや他のデータを許可なく取り込むと報告している
  • 核心的な問題は、関連設定がオフになっていても同じ動作が発生する点である
  • Edgeの取り込み機能は、単なる1回限りのお気に入り・パスワード移行にとどまらず、起動時ごとにChromeデータを取り込める
  • Microsoftアカウントでログインしている場合、取り込まれたデータがクラウドに同期される可能性があり、ChromeとEdgeの環境を分けようとしていたユーザーにとって負担になる

以前から続くユーザー報告

  • Windowsユーザーは2023年から、Edgeの取り込み機能で予期しない動作を経験してきた
  • 一部メディアは edge://settings/profiles/importBrowsingData で設定をオフにする方法を案内したが、読者の反応やユーザー報告によると、設定をオフにしても取り込みが続く
  • Microsoftサポートフォーラムの複数のスレッドやReddit投稿も、EdgeがChromeデータを予期せず取り込み、設定がオフでも同じだと主張している
  • Microsoft社員や独立アドバイザーは、ImportBrowsingData 設定の確認とGroup Policyレジストリキーの追加によって自動取り込みを手動で無効化する方法を提案したが、ユーザーの反応は効果がないという見方に近い

Tom Warren氏の事例と広がり

  • The VergeのTom Warren氏は、再起動後にEdgeがChrome再起動前の状態と同じタブで開く現象を経験した
  • Warren氏は、ChromeデータをEdgeに取り込んだり、Chromeで開いているタブの取り込みを許可したりしたことはなく、確認時点で該当設定もオフだったと明らかにした
  • オンライン上の報告を見ると、この現象は複数のユーザーに発生しているが、すべてのユーザーに普遍的に見られるわけではない

KB5034204アップデート後に目立つ変化

  • Chromeのタブで埋まった状態でEdgeが起動する事例は、2024年1月23日に配布されたWindows 11アップデート KB5034204 以降に目立つようになったとみられる
  • KB5034204のインストール過程の画面には、Edgeが「Windowsデバイスで利用可能な他のブラウザーのデータを定期的に取り込む」という文言が含まれている
  • セキュリティ研究者のZach Edwards氏は、このインストール画面があるため、Microsoftには今回は釈明の余地があるかもしれないとX/Twitterで見ている
  • ただし、EdgeによるChromeデータ取り込みの問題自体は新しいものではなく、フォーラム投稿や助けを求める声ですでに文書化されている

Microsoftの反応と残る論点

  • KB5034204はEdgeの問題以外にも、複数のWindows 11ユーザーにインストール失敗や起動問題を引き起こしたと報告されている
  • 他のサイトは、アプリの破損、ファイルエクスプローラーの問題、タスクバーの問題なども報告している
  • Microsoftはこの問題に関する質問に公式回答を出しておらず、Edgeの問題についても公式コメントを拒否した
  • 内部事情を知る人物は、ユーザーが別デバイスのEdge初回起動体験で continuous import を選択した場合、その状態がデバイス間で誤って同期された可能性があると伝えた
    • この人物は、その動作は意図した機能体験ではないと見ている
    • Microsoftは次の Edge Stable リリースでこれに対応中だと伝えられている

1件のコメント

 
GN⁺ 2024-02-01
Hacker Newsのコメント
  • 重複投稿なので、以前の議論を見ればよい: https://news.ycombinator.com/item?id=39179929

  • 昨日上がった議論: https://news.ycombinator.com/item?id=39179929

  • Firefoxも一般的には守ってくれないと思う。
    母にスクリーンショットやリンクをもっと簡単に共有できるよう、web.whatsapp.comでWhatsappを使う方法を教えたところ、ログインして数秒後にApp StoreからWhatsappがインストールされたという通知が出て、実際にDesktopアプリがユーザー操作なしでインストールされていた。
    どう始まったのかは分からないが、デフォルトでDoHが無効になっていることと関係があるのではないかと思った。
    ただし多くのコメントが言うように、記憶が間違っている可能性が高く、Firefoxでwhatsapp.comの履歴を消してアプリを削除した後に再現を試みたが失敗した。別個の「アプリをインストール」ボタンを3つ見たが、いずれもApp Storeの追加インストール確認ダイアログを表示した。
    https://developer.mozilla.org/en-US/docs/Web/Progressive_web...によると、Firefoxは拡張なしではPWAをサポートしていないので、それでもなかった。

    • Progressive Web App(PWA)のように聞こえるし、おそらくインストール操作を押すよう誘導された可能性がある。
    • DNSはこの件とはまったく関係ないと思う。
      別のIPを返してもTLS検証を通過する必要があり、ブラウザができる動作そのものが変わるわけではない。それが可能なら巨大な脆弱性だ。DoHはセキュリティというよりプライバシー保護機能に近い。
      詳細情報なしでは奇妙で理解しにくいが、別の返信のようにPWAだったのかもしれない。
    • そんなことは起きなかったと思う。
    • 「ユーザー操作なしでDesktopアプリがインストールされた」というのは、かなり可能性が低い。
      もし本当にそうならニュースで埋め尽くされていただろうし、テック系タブロイドがこうしたFUDで大喜びでクリック稼ぎをしていたはずだ。
      何かインストールを承認またはトリガーするものを押していて、それを覚えていないという方がずっとありそうだ。
    • そのアドレスでは「Whatsappにログイン」することはできず、アプリをダウンロードしてインストールすることだけが可能で、サイトもその点を非常に明確に示している。
  • どの時点から、こういうものはダークパターンを超えて違法になるのだろうか。
    ユーザーがパスワードをMicrosoftにアップロードすることに同意したと主張することはできるかもしれないが、フィッシングサイトが利用規約に「この偽銀行サイトにパスワードを入力するとShadyFooCorpにアップロードされる」と書いておけば起訴を免れられる、というわけではない。

    • こうした戦術のかなりは、すでに違法なのではないかと思う。だがここまで来ると、罰金は単なるマーケティング費用だ。
      どんな罰金が出ようと、この戦略でEdgeに乗り換えさせたユーザー数と比べれば何でもないと思う。
    • ShadyFooCorpは政府と多数の契約を結んでいるわけではなく、政府のコンピュータが彼らのOSで動いているわけでもない。
      かろうじて真面目にあり得る主張は、ユーザーの利便性と利益を考慮しており、収集したパスワードを露骨に悪用していない、という程度だろう。
  • Debian Linuxを使い続けている身としては、Windowsを使うのはほぼ職場だけだ。
    Windows内部の設定はインフラチームに任せていて、ユーザー設定やアップデートのようなものは自分の関心事ではない。仕事用ノートPCは仕事をするときだけ使う。
    たまに義母の新しいノートPCのように、最新のWindowsを自分でインストールして設定しなければならないことがあるが、新たにやるべき雑多な作業の多さにうんざりする。前回はアカウント作成からタスクバーのニュース・天気、Microsoft Edgeまで、ありとあらゆるものが挟まっていた。
    Debianユーザーであることを誇りに思うし、完璧でも最新ゲームがすべてできるわけでもないが、自分に必要な最低限はすべて提供してくれる。
    もっと多くの人がWindowsを離れてほしい。ゲーマーはサポートされていないゲームを諦める必要があるかもしれないが、ゲーム開発会社を含む企業はお金のあるところへ向かう。
    コンピュータがより良く便利になるほど、失う自由も大きくなるのに、人々は気にしない。

  • Microsoftが初期のWeb 1.0と2.0の流れを完全に逃した後に出した対応は、Meta・Google・TikTok・Apple・Amazonを合わせたよりも信用しにくい会社になろうとしているように見える。
    個々の変更だけを見ると他のSaaS企業もやりそうなことに見えるかもしれないが、合わせて見るとクラウド/SaaS市場の大手の中でMicrosoftが最も節度を欠いているように見える。

  • これは新しいことではない。2か月前にHNで同じ挙動が報告され、新しいEU DMAアップデートでEdgeを削除し、どのブラウザの履歴であれMicrosoftへ送信される可能性を防いだと書いた。
    https://news.ycombinator.com/item?id=38430102

  • Microsoft Edgeは独特な種類のいたずら型マルウェアだ。開発責任者は少なくとも配置転換されるべきで、ここまでユーザー敵対的であることに言い訳の余地はない。

    • Microsoft Edgeが残念なのは、優れたブラウザだったし、今でもそうなり得るからだ。
      最近、低スペックPC(Celeron 6305、RAM 4GB、Windows 11)を使わなければならなかったが、Firefoxはまともに動かなかった。Edgeに変えるとWebページの表示がずっと速くなり、RAMとCPUの使用量もはるかに少なかった。
      問題は、設定に入ってショッピングアシスタント、Copilot、サイドバーなど少なくとも10項目をオフにしなければならなかったことだ。平均的なユーザーはこうした「機能」をオフにする方法を知らないか、オフにしてよいのか不安に思うだろうし、結局は広告的な要素を表示し続け、Microsoftへ多くのデータを送るブラウザを使うことになる。
      要するに、低スペックPCでEdgeはよく動くが、Microsoftがあらゆるゴミを注入している。
    • おかしいのは、市場シェアを築く前に徹底的に台無しにした点だ。今では、頼んでもいないクーポンやローンの仕組みのせいでChromeよりも悪い。
    • 弁護士たちのせいだろう。
  • 2つ気になることがある

    1. Edgeを実際に使って初めてこういうことが起きるのか、それともEdgeのウィンドウを一度も開かなくてもバックグラウンドで自動的に起きるのか?
    2. そうして収集されたデータが、匿名化の有無に関係なく Windows テレメトリ に流れ込むのか?
      Edgeの削除も「許可」されず、テレメトリの完全無効化も「許可」されない状況で、Edgeが取り込んだものかどうかにかかわらず、ブラウザ履歴をMicrosoftのサーバーに送る可能性があるという話が出ている
  • こうした統合作業には間違いなくエンジニアたちが関わっていたはず。その一部は今ここにある投稿も読んでいるかもしれない
    こういう機能の実装を正当化するために、社内ではどんな 物語 を作っているのか気になる

    • おそらく「MS Edgeユーザーとして、MS Edgeを開いたときにChromiumのタブをすぐ使えるべきであり、そうすればMS Edgeで途切れなく作業を続けられる」といったユーザーストーリーなのだろう
    • プログラミングができることと、倫理観や共感能力には相関がない
      利益のためにユーザーを踏みにじりたいという欲望は、広告業界の幹部だけの専売特許ではない
    • GoogleやMetaの社員が、世界中を対象に広告トラッキングと監視網を作り、若者を抑うつや自己嫌悪へ追い込む操作まで正当化するときに使う物語と似ているのではないか
      おそらく倫理を考えなくて済むほど大金を稼いでいるのだろう。誰にでも値札はあり、とくに自分名義の資産を持たない人ほどそうだと思う
    • ドル建ての物語だ。金が入れば倫理は出ていく
      広告、トラッキング、侵襲的なプロファイリング、個人情報の集約といった明らかに反人間的な技術で開発者の給料を払っているハイテク企業の大半も同じようなものだ。事例を遠くに探す必要もない
    • ステップ1: Edgeユーザーの割合やEdgeに乗り換えたユーザー数といった KPI を定義する
      ステップ2: 四半期ごとのKPI目標を設定する
      ステップ3: 目標達成のための機能や変更点についてユーザーストーリーを作る
      ステップ4: 実装して配布したうえで、KPIの増加を測定する
      ステップ5: KPIの線が順調に上がったと発表する