Sassyブログ

埼玉県在住のシステムエンジニアです。基本的にはIT技術関連の内容を中心に発信していきます。たまにゲーム関連ネタも載せます

Web Security情報PickUp!(20210508 - 20210514)

f:id:y_saiki:20210315230255j:plain

20210508 ~ 20210514の間で海外サイトで取り上げられたWebに関連しそうなセキュリティ記事をPickUpして共有していこうと思います。

掲載された記事は以下です。

1. Google Chrome's new privacy feature restricts online user tracking(Google Chromeの新しいプライバシー機能は、オンラインユーザーの追跡を制限します)

Googleが埋め込まれたコンテンツを埋め込みページから分離することでユーザーの追跡を防ぐ「フェンス付きフレーム」と呼ばれる新しい形式の埋め込みiframeを追加したそうです。

これにより埋め込みページのユーザー情報を見れなくできるそうです。

このフェンス付きフレームはまだプロトタイプであるため現在はまだ活発に開発がされていないそうですね。

Fenced frames - Chrome Platform Status

www.bleepingcomputer.com

2. GitHub now supports security keys when using Git over SSH(Git Hubは、Git overSSHを使用するときにセキュリティキーをサポートするようになりました)

GitHubがFIDO2に対応したようです。

これらの背景には日々GitHubで機密情報が流出しているリポジトリの多さが影響しているようですね。

FIDO2デバイスを使用してGIt操作を保護できるようになるので承認なしに秘密鍵の公開やマルウェアによるリクエストの開始を防ぐことできるようです。

SSH authentication with security keys | GitHub Changelog

www.bleepingcomputer.com

3. Google Releases Open Source Tool for Verifying Containers(Googleがコンテナを検証するためのオープンソースツールをリリース)

Googleがコンテナイメージの署名と検証のプロセスを管理できるようにするcosignというツールをリリースしたそうです。

github.com

Googleはこのツールを導入することでどう変わるのかを以下で述べています。

【翻訳】

「この追加の手順では、コサインコンテナイメージとGCP KMSに保存されているキーペアを使用して、すべてのディストロレスイメージに署名します。この追加の署名手順により、ユーザーは、実行しているディストロレスイメージが正しいCI環境で構築されていることを確認できるようになりました」とGoogleは説明します。

出典:https://www.securityweek.com/google-releases-open-source-tool-verifying-containers

www.securityweek.com

4. Twitter’s New Tip Jar Feature has Some Privacy Issues(Twitterの新しいチップジャー機能にはいくつかのプライバシー問題があります)

Twitterに「TipJar」という日本でいう投げ銭機能的なものが導入されたようです。

有益な情報をもたらしてくれたユーザーについて謝礼することができる?んですかね。

しかし日本のTwitterではまだ使えないようです。英語版の少数のユーザーに対して機能を検証しているようですね。

問題がこの「TipJar」がプライバシー的に問題があることを述べており、TwitterではなくPayPal側で発生していることが見つかったようです。

それはPayPalで支払いを送信する前に、[配送先住所]フォームフィールドがあるのですが、これを入力して送金してしまうと受け取り側でその住所が見れてしまうようです。

news.softpedia.com

5. GoogleがChrome90アップデートで19の脆弱性にパッチを当てる(Google Patches 19 Vulnerabilities With Chrome 90 Update)

Chrome90へのアップデートで19の脆弱性が解消されるようです。

リリースノートについてはこちら

Chrome Releases: Stable Channel Update for Desktop

www.securityweek.com