headless 曰く、
Google Chrome や Microsoft Edge の高度なスペルチェック機能を利用すると、ウェブサイトによっては個人を特定可能な情報 (PII) が Google や Microsoft に送られるほか、パスワードが送られてしまうこともあると報告されている
(otto のブログ記事、
BleepingComputer の記事、
BetaNews の記事、
Ghacks の記事)。Chromeの高度なスペルチェック機能は設定画面の「言語」でスペルチェックを有効にし、「拡張スペルチェック」を選択すれば利用できる。Edgeの方は拡張機能「Microsoft エディター」をインストールし、設定画面の「言語」に追加される文書作成支援機能の使用を有効にして「Microsoft エディター」を選択すればいい。ただし、環境によっては拡張機能をインストールしていなくても設定画面に表示されることがあるようだ。
Chrome ヘルプでは拡張スペルチェック有効時に入力したテキストが Google に送信されると明記されており、意図したとおりの動作ではある。ただし、ウェブページ側で制限しなければログイン画面やサインアップ画面に入力した PII なども送信されてしまう。また、パスワード入力フィールドで入力済みパスワードを表示する機能を使用すると、パスワードが送信されるという。
高度なスペルチェック機能を利用しつつ問題を避けるには、送信されたくない情報を含むフィールドに「spellcheck = “false”」属性を付加すればいいとのことだ。
| ITセクション
| Chrome
| マイクロソフト
| YRO
| インターネット
| プライバシ
|
関連ストーリー:
Slack、招待リンクを作成・破棄したユーザーのパスワードハッシュを他のメンバーに送信していた
2022年08月13日
IIJが受信もPPAP廃止へ、社外から届くパスワード付きZIPファイルはメール本文のみ受信
2021年11月19日
日立グループ、2021年12月13日以降すべての送受信メールでPPAP利用廃止
2021年10月18日
原子力規制委、PPAPシステムの不具合でメールアドレス76件を漏洩
2021年06月25日
マルウェアEmotetに盗み出された400万件以上の認証情報、Have I been pwned?で確認可能に
2021年05月01日
WindowsのデスクトップテーマファイルでWindowsの認証情報を盗み取れる可能性
2020年09月09日
Firefox 77ではテキスト入力フィールドにmaxlengthを超える文字列を貼り付けた時に自動で切り詰められなくなる
2020年05月21日
Source: スラッシュドット
