Chromium 系ブラウザをいろいろ見てみたよ!
Google Chromeはいろいろ懸念事項があるので(ぇ)Chromium系は使用を控えていたのですが,スマホでAndroidを使っているとやはりブラウザ連携が便利なので使い始めました。
しかし,もともと忌避する理由があって使うのを控えていた(のとMozillaスキーなのでですが)ので,少しでも安全にとSRWare Ironを使っています。
しかし,Chrome Stable版更新後もなかなか更新されないことが多く,ほかのChromium系ブラウザもいくつか調べてみました。
こちらが 2014/08/03 現在のGoogle Chrome Stable版のバージョン画面です。
さすが,何も対策しなくてもWindowsと違って安全だよ!とか言っちゃう企業は・・・
About the security content of iTunes 10.7
すごいですね~。
壮観と言ってもいいほどの数となるWebKit対象のセキュリティFixの数々・・・。
ざっとあげると・・・
面倒くさいのでセキュリティホールmemoさんからコピペ!
iTunes 10.7 登場。Windows 版については、163 件ものセキュリティ欠陥が修正されている。全て WebKit の欠陥。 CVE-2011-3016 CVE-2011-3021 CVE-2011-3027 CVE-2011-3032 CVE-2011-3034 CVE-2011-3035 CVE-2011-3036 CVE-2011-3037 CVE-2011-3038 CVE-2011-3039 CVE-2011-3040 CVE-2011-3041 CVE-2011-3042 CVE-2011-3043 CVE-2011-3044 CVE-2011-3050 CVE-2011-3053 CVE-2011-3059 CVE-2011-3060 CVE-2011-3064 CVE-2011-3068 CVE-2011-3069 CVE-2011-3071 CVE-2011-3073 CVE-2011-3074 CVE-2011-3075 CVE-2011-3076 CVE-2011-3078 CVE-2011-3081 CVE-2011-3086 CVE-2011-3089 CVE-2011-3090 CVE-2011-3105 CVE-2011-3913 CVE-2011-3924 CVE-2011-3926 CVE-2011-3958 CVE-2011-3966 CVE-2011-3968 CVE-2011-3969 CVE-2011-3971 CVE-2012-0682 CVE-2012-0683 CVE-2012-1520 CVE-2012-1521 CVE-2012-2817 CVE-2012-2818 CVE-2012-2829 CVE-2012-2831 CVE-2012-2842 CVE-2012-2843 CVE-2012-3589 CVE-2012-3590 CVE-2012-3591 CVE-2012-3592 CVE-2012-3593 CVE-2012-3594 CVE-2012-3595 CVE-2012-3596 CVE-2012-3597 CVE-2012-3598 CVE-2012-3599 CVE-2012-3600 CVE-2012-3601 CVE-2012-3602 CVE-2012-3603 CVE-2012-3604 CVE-2012-3605 CVE-2012-3606 CVE-2012-3607 CVE-2012-3608 CVE-2012-3609 CVE-2012-3610 CVE-2012-3611 CVE-2012-3612 CVE-2012-3613 CVE-2012-3614 CVE-2012-3615 CVE-2012-3616 CVE-2012-3617 CVE-2012-3618 CVE-2012-3620 CVE-2012-3621 CVE-2012-3622 CVE-2012-3623 CVE-2012-3624 CVE-2012-3625 CVE-2012-3626 CVE-2012-3627 CVE-2012-3628 CVE-2012-3629 CVE-2012-3630 CVE-2012-3631 CVE-2012-3632 CVE-2012-3633 CVE-2012-3634 CVE-2012-3635 CVE-2012-3636 CVE-2012-3637 CVE-2012-3638 CVE-2012-3639 CVE-2012-3640 CVE-2012-3641 CVE-2012-3642 CVE-2012-3643 CVE-2012-3644 CVE-2012-3645 CVE-2012-3646 CVE-2012-3647 CVE-2012-3648 CVE-2012-3649 CVE-2012-3651 CVE-2012-3652 CVE-2012-3653 CVE-2012-3654 CVE-2012-3655 CVE-2012-3656 CVE-2012-3657 CVE-2012-3658 CVE-2012-3659 CVE-2012-3660 CVE-2012-3661 CVE-2012-3663 CVE-2012-3664 CVE-2012-3665 CVE-2012-3666 CVE-2012-3667 CVE-2012-3668 CVE-2012-3669 CVE-2012-3670 CVE-2012-3671 CVE-2012-3672 CVE-2012-3673 CVE-2012-3674 CVE-2012-3675 CVE-2012-3676 CVE-2012-3677 CVE-2012-3678 CVE-2012-3679 CVE-2012-3680 CVE-2012-3681 CVE-2012-3682 CVE-2012-3683 CVE-2012-3684 CVE-2012-3685 CVE-2012-3686 CVE-2012-3687 CVE-2012-3688 CVE-2012-3692 CVE-2012-3699 CVE-2012-3700 CVE-2012-3701 CVE-2012-3702 CVE-2012-3703 CVE-2012-3704 CVE-2012-3705 CVE-2012-3706 CVE-2012-3707 CVE-2012-3708 CVE-2012-3709 CVE-2012-3710 CVE-2012-3711 CVE-2012-3712
まあ,如何に前文で「お客様を保護するため調査が完了し,必要なパッチやリリースが利用可能になるまでは開示しません。」とか言ったところで,同じWindows上にはこれと同じだけの問題をはらんでいる可能性が非常に高いWindows版Safariが絶賛放置中なんですが!?
というわけで,バージョンアップがなされるまで(きっともうなされないと思いますが)はWindows版Safariは使うべきものではない・・・とかいう話ではなく,使ってはいけないプロダクトと言えるでしょう。
Firefox 15が出たので,JavaScriptベンチをやってみたよ
Firefoxもバージョンアップしたし,なんかGoogleから新しいJavaScriptベンチも出てたのでやってみたよ!っと(^_^;)
まずはいつものSunSpiderベンチからです。
なお,Windows版のSafariはセキュリティホールもそのままに,Appleが更新してくれないしまあきっと黒歴史になるんでしょう。
そうすると,SafariなんてもうApple環境(MacおよびiOS)でしかプレゼンスはないから,どんだけWeb標準に準拠されたところで
もうクソ(Apple製品以外で使えないんじゃ意味ないよね!)以下ですよね・・・。
次にお待ちかね(誰が?)のGoogleの新ベンチです。
そして,なんとなくというかほぼV8ベンチと傾向が変わらない気がしたので,Chrome基準で比較グラフを作ったよ,っと。
以上のような感じですね。
まあJavaScriptベンチの結果を踏まえると,スピード命!プライバシーなんて多少問題ないぜ!!って方はGoogle Chrome,
バランスと拡張性を重視という方はFirefoxといった感じでしょうか。
またまたJavaScriptベンチ - Windows版Safariはオワコン
というわけで,こちらでは前回に引き続きブラウザ(JavaScript)ベンチです。
環境は以下の通り
CPU:Intel Core i5-2320(3GHz)
M/B:ASUSTeK P8Z68-M PRO
メモリ:DDR3-1333 8GB(2GB×4)
GPU:GeForce GTX 550Ti
OS:Windows 7 Ultimate x64
まずはSunSpiderの結果グラフから・・・
ということで,Safari(Windows版)はアップルによる更新およびサポートが終了っぽく,セキュリティFixもなされることが期待できないため使用は控えるというか使ってはいけません。
@XSS (一部のブラウザのlocation.hrefがXSSを引き起こしやすいことに関する注意喚起)
お次はV8 Benchの結果です。(こちらは,結果がポイントになっていますので高い方が良い結果となっています。)
比較しやすいようにGoogle Chromeを1とした場合のグラフがこちらです。
IE9が最も遅く,それに続いてWebKit,Operaが0.2~0.4倍のスコア群を形成しています。
そして,Firefoxは32bit版については0.6倍のラインを越えており,64bit版の3ビルドは0.5倍強となっています。
Firefox群の中ではFirefox 17が最速な結果ですが,同Nightlyのfbuildcom氏私的ビルドがFirefox 14に迫る好結果を出しています!
環境は以下の通り
CPU:Intel Core i5-2320(3GHz)
M/B:ASUSTeK P8Z68-M PRO
メモリ:DDR3-1333 8GB(2GB×4)
GPU:GeForce GTX 550Ti
OS:Windows 7 Ultimate x64
まずはSunSpiderの結果グラフから・・・
ということで,Safari(Windows版)はアップルによる更新およびサポートが終了っぽく,セキュリティFixもなされることが期待できないため使用は控えるというか使ってはいけません。
@XSS (一部のブラウザのlocation.hrefがXSSを引き起こしやすいことに関する注意喚起)
一部のブラウザのlocation.hrefは、XSSなどのセキュリティ問題を引き起こしやすい値を返します。この挙動により、location.hrefが自分と同じドメインのURLを返すことを前提に書いているコードは全て、正しく動かなくなる恐れがあります。というわけなのですが,まあこれだけとは限らずに今後もMac版が更新されていけば,更新されないままのWindows版には問題が露見する可能性も高いわけです。実際,WebKit Nightlyでは同現象は起きない模様です。
お次はV8 Benchの結果です。(こちらは,結果がポイントになっていますので高い方が良い結果となっています。)
比較しやすいようにGoogle Chromeを1とした場合のグラフがこちらです。
IE9が最も遅く,それに続いてWebKit,Operaが0.2~0.4倍のスコア群を形成しています。
そして,Firefoxは32bit版については0.6倍のラインを越えており,64bit版の3ビルドは0.5倍強となっています。
Firefox群の中ではFirefox 17が最速な結果ですが,同Nightlyのfbuildcom氏私的ビルドがFirefox 14に迫る好結果を出しています!
久しぶりにJavaScriptベンチ!
今日は久しぶりに各ブラウザの最新版(開発版・nightly含む)でJavaScriptベンチマークを取ってみました。
ちなみに,評価環境は下記のとおり。
CPU:Intel Core i5-2320(3GHz)
M/B:ASUSTeK P8Z68-M PRO
メモリ:DDR3-1333 8GB(2GB×4)
GPU:GeForce GTX 550Ti
OS:Windows 7 Ultimate x64
といった感じのPC。
なお,電源オプションは「高パフォーマンス」です。
相変わらずJavaScriptエンジンがV8エンジンのChromium系が優位であることは間違いありませんが,数々の改善が施されてきているFirefox系もその他ブラウザに比べて結果が向上しています。
Internet Explorerを基準にして比較してみると・・・。
Safari,Opera勢が1.数倍という値の中Firefoxは2倍以上となっており,ChromiumのV8エンジンに唯一追いすがっている状況のように思えます。
SunSpiderなどでは少なくともここまでの差異は認められないことなどからも,実環境ではV8ベンチほどの体感差は表れないのではないかと考えられます。
株式会社はてなは,JIAAの行動ターゲティング広告ガイドラインを遵守していると言えるのか?
はてなブックマーク(以下,はてブと表記)というサービスが,ユーザーに大した周知もせずに勝手にブログパーツ等に類するサービスであろう「はてなブックマークボタン」でMicroAd社の行動情報取得を開始していたようだ。最近(3月に入ってくらい?)になって,各所で話題になっている。
はてなブックマークボタンは2011年9月1日より行動情報の取得をしている - ARTIFACT@ハテナ系
あるいはすでに下記のサイトのように,改変された9月当時に問題提起していたページもあったようだ。
M.C.P.C.: はてなブックマークボタンのJavaScriptがdocument.write使っていてXHTMLで不具合があったのが直った(または9月1日からオプトアウト版はてなブックマークボタンが出ていた件)
M.C.P.C.: 企業サイトで設置していたはてなブックマークボタンのマイクロアド行動ターゲティング解析のオプトアウト説明ができる自信がない
いろいろ問題点はあろうかと思うのだが,私的にとくに問題だと思えるのは「どうも問題のはてブ・ボタンを設置したページを訪れただけでトラッキング(情報取得)されている」らしいことだ。これはつまり,はてブ・ボタンを設置したり設置されたボタンを押したはてブ・ユーザー以外もトラッキングされるということではないだろうか?
ここで考えてみてほしい。いかに株式会社はてなが自社サイトにプライバシーポリシーを提示しようが,行動情報取得について明示しようがそれらはユーザーに対しての説明でしかないのではないか?
はたして,はてブ・ユーザー以外への説明や情報取得についての提示として十分なものであるのだろうか・・・。
ここで,はてブ・ボタンの行動情報取得について記載されているはてブ・ヘルプページ該当部分を見てみる。
はてブのヘルプなんてはてブ・ユーザー以外が見るのだろうか?また,オプトアウト版はてなブックマークボタンというページをご覧いただけばわかるが,まったく通常版はてブボタンと見分けがつかない。(そもそも外見で見分けがついたところで設置されたページを訪れた時点でトラッキングされてしまうので,意味はないのだけれど。)
さらにはてブ・ヘルプの行動情報の取得について,株式会社はてなが遵守を謳っているJIAAの行動ターゲティング広告ガイドラインを参照してみる。
わかりやすいページに明示する,と規定されている。はてブ・ヘルプが果たしてはてブユーザー以外にもわかりやすいページと言えるのだろうか?
ブログパーツやソーシャルボタンの類でアクセスログが残るのは当然だけどトラッキングされるのは当たり前にはなっていない via 最速転職研究会
こちらにあるように,
また・・・
という点が非常に大きな,そして非常識と言っても過言ではない問題なのではないかと思える。
実際に通常版はてブ・ボタンを設置したすべてのページに対して広告が表示されているのだろうか?そして,仮に表示されるとしたらそれははてブ・ボタンを設置したページ管理者が望んだ広告配信なのだろうか?
最後に以下を引用させていただく。
はてなブックマークボタンは2011年9月1日より行動情報の取得をしている - ARTIFACT@ハテナ系
あるいはすでに下記のサイトのように,改変された9月当時に問題提起していたページもあったようだ。
M.C.P.C.: はてなブックマークボタンのJavaScriptがdocument.write使っていてXHTMLで不具合があったのが直った(または9月1日からオプトアウト版はてなブックマークボタンが出ていた件)
M.C.P.C.: 企業サイトで設置していたはてなブックマークボタンのマイクロアド行動ターゲティング解析のオプトアウト説明ができる自信がない
いろいろ問題点はあろうかと思うのだが,私的にとくに問題だと思えるのは「どうも問題のはてブ・ボタンを設置したページを訪れただけでトラッキング(情報取得)されている」らしいことだ。これはつまり,はてブ・ボタンを設置したり設置されたボタンを押したはてブ・ユーザー以外もトラッキングされるということではないだろうか?
ここで考えてみてほしい。いかに株式会社はてなが自社サイトにプライバシーポリシーを提示しようが,行動情報取得について明示しようがそれらはユーザーに対しての説明でしかないのではないか?
はたして,はてブ・ユーザー以外への説明や情報取得についての提示として十分なものであるのだろうか・・・。
ここで,はてブ・ボタンの行動情報取得について記載されているはてブ・ヘルプページ該当部分を見てみる。
行動情報の取得について
はてなブックマークボタンは、2011年9月1日より興味関心に基づく広告の掲載を目的とした行動情報の取得(個人情報以外)をしています。
この行動情報は株式会社マイクロアドのプラットフォームを利用し、Cookie を用いて取得されます。取得される情報は、ユーザーのみなさまが使用しているブラウザにおいて閲覧したページ履歴情報などで、これらはすべて匿名のものとして収集されます。個人が特定されうる情報(生年月日、メールアドレス、はてなIDなど)は一切収集されません。
Cookieと行動情報の取得は、広告配信の目的に限定しています。また、この取り組みは「一般社団法人 インターネット広告推進協議会(JIAA)」が定めるガイドラインに遵守しております。
匿名のブラウザ閲覧行動の取得・分析によって、ユーザーのみなさま1人1人が興味関心を持っているものや、みなさまにとって有益な情報となりうる広告を届けることが可能になります。
当機能の無効化をご希望のユーザーは、マイクロアドのページより無効化(オプトアウト)することができます。
また、行動情報を取得しない、はてなブックマークボタンをご希望の方はオプトアウト版はてなブックマークボタンをご利用ください。
はてブのヘルプなんてはてブ・ユーザー以外が見るのだろうか?また,オプトアウト版はてなブックマークボタンというページをご覧いただけばわかるが,まったく通常版はてブボタンと見分けがつかない。(そもそも外見で見分けがついたところで設置されたページを訪れた時点でトラッキングされてしまうので,意味はないのだけれど。)
さらにはてブ・ヘルプの行動情報の取得について,株式会社はてなが遵守を謳っているJIAAの行動ターゲティング広告ガイドラインを参照してみる。
第2章 行動履歴情報の取り扱いに関する原則
(透明性の確保)
第4条 (略)
2 掲載媒体社は、前項に加え、自社サイトのプライバシーポリシーなど分かりやすいページにおいて、行動履歴情報を行動ターゲティング広告に利用していることを明示する。
わかりやすいページに明示する,と規定されている。はてブ・ヘルプが果たしてはてブユーザー以外にもわかりやすいページと言えるのだろうか?
ブログパーツやソーシャルボタンの類でアクセスログが残るのは当然だけどトラッキングされるのは当たり前にはなっていない via 最速転職研究会
こちらにあるように,
また・・・
いつの間にはてなブックマークボタン設置してるだけでMicroAdの広告が表示されるパートナーメディアになってしまったの?
という点が非常に大きな,そして非常識と言っても過言ではない問題なのではないかと思える。
実際に通常版はてブ・ボタンを設置したすべてのページに対して広告が表示されているのだろうか?そして,仮に表示されるとしたらそれははてブ・ボタンを設置したページ管理者が望んだ広告配信なのだろうか?
提供を受ける者の範囲間違ってるよね。間違っててもガイドライン遵守してることになるの?
最後に以下を引用させていただく。
ちなみに自分は以前にこう書いた。
http://d.hatena.ne.jp/mala/20111202/1322835191
ちなみに自分は「広告以外の目的」で普及させたlikeボタンや+1ボタンを使って、ボタンをクリックした場合はともかく、表示しただけ収集可能になるWeb訪問履歴を使用してユーザーの趣味趣向の分析や広告配信の最適化のために使うことは、おそらく無いだろうと考えている。理由としては既に広告のターゲッティングのために十分な情報を収集していて、これ以上収集する必要がないであろうこと、表示しただけではノイズが多すぎるだろうこと、さらに加えると、いくら何でも良識のあるエンジニアが止めるだろうと信頼しているからだ。
これを書いた時に、はてなブックマークボタンの事例を全く知らなかったし、はてなには良識のあるエンジニアがいなかった・・・。GoogleもFacebookもトラッキングに使うということを否定している。それをやったら大問題だからだ。
Microsoftのセキュリティソフト,エンジンバージョンが変わらない件
Microsoft Security Essentials,現行バージョンは2.1.1116.0というバージョンになっています。
そして,今回新たなPublic Betaとして4.0.1111.0というものが公開されました。
しかしながら,よくよく見てください!エンジンのバージョン(とよくよく見るとネットワーク検査システム エンジンのバージョンも・・・)がまったく変わっておらず,同じバージョンになっています。
単純に考えると,これはアンチマルウェア(ウイルス対策)エンジンのバージョンが変わっておらず,ウイルス対策エンジンは何も強化等がなされていないと捉えられます。
ちなみに,Windows 8 (Developer Preview)ではシステムに搭載のWindows Defenderにてウイルス対策も標準搭載されるという形になっていますが,これもよくよく見るとまったく同じ状況でクライアントバージョンは異なっていますがエンジンバージョンは全く同一となっています。
まあ,別に新しいバージョンならいいというものではないでしょうが・・・(^_^;)
そして,今回新たなPublic Betaとして4.0.1111.0というものが公開されました。
しかしながら,よくよく見てください!エンジンのバージョン(とよくよく見るとネットワーク検査システム エンジンのバージョンも・・・)がまったく変わっておらず,同じバージョンになっています。
単純に考えると,これはアンチマルウェア(ウイルス対策)エンジンのバージョンが変わっておらず,ウイルス対策エンジンは何も強化等がなされていないと捉えられます。
ちなみに,Windows 8 (Developer Preview)ではシステムに搭載のWindows Defenderにてウイルス対策も標準搭載されるという形になっていますが,これもよくよく見るとまったく同じ状況でクライアントバージョンは異なっていますがエンジンバージョンは全く同一となっています。
まあ,別に新しいバージョンならいいというものではないでしょうが・・・(^_^;)
