広告やトラッキングをブロックする機能を標準で備えた Chromium ベースのウェブブラウザー

  • コメント

    更新機能について・・・ ブラウザ搭載の機能で、Ver.1.…

    Gonbe
    Gonbe
    1,344
    Windows 10

    更新機能について・・・
    ブラウザ搭載の機能で、Ver.1.50.119 から Ver.1.50.120 への更新が数日できず、
    今朝あらためて設定から「Brave について」を開くと Ver.1.50.121 に更新された。

    4人が参考になったと回答しています。
    このレビューは参考になりましたか?
  • owl
    owl
    482

    私は米語版(en-US)ユーザーですが、同様でした。

    三日前に、
    「PatchMyPC」が更新版の存在を通知したが “更新のコンプリート(完了)エラー” で更新できず。
    次策の「WingetUI」でも同様。
    しかし、ブラウザ搭載の機能では「最新バージョン」ですと表示され、更新版は見つからず。
    今朝、ようやく「更新」が適用できました。
    公式ブログなどを調べてみましたが、
    特段の情報は見つかりませんでしたが、
    私見ですが「更新版に、緊急パッチを適用するために、公開を保留」したのだと思われます。

    ※ 緊急パッチの件は、
    続報します。

  • owl
    owl
    482

    表向きには公表されていませんが、
    Chromium ブラウザに致命的な欠陥(野放しで悪用されているセキュリティ問題)が確認され、
    緊急パッチが適用されています(ブラウザベンダーによって、対処能力に差があるため、一様ではありません)

    この欠陥は、
    デスクトップ版のブラウザに限らず、Android版も同様です。

    Google chrome 112 緊急アップデート
    https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_18.html
    8つのセキュリティ問題の修正パッチ版ですが、
    公式ブログで明らかにしているのは 5つに限られ、一般には公開されない。

    5つのセキュリティ問題には、
    野放しで悪用されている問題も含まれています。以下はそのリストです:
    [$8000][1429197] High CVE-2023-2133: Service Worker API における境界外メモリアクセス。
    [$8000][1429201] High CVE-2023-2134: Service Worker API における境界外メモリアクセス。
    [$3000][1424337] High CVE-2023-2135: DevTools における Use after free.
    [$NA][1432603] High CVE-2023-2136: Skia における整数オーバーフロー。
    [$1000][1430644] Medium CVE-2023-2137: sqlite におけるヒープバッファオーバーフロー。

    CVE-2023-2136 は、外部のセキュリティ研究者が「野放しでの悪用を確認し、Google に報告」した欠陥で、現時点では公開情報は限定的。
    Skia は「テキストレンダリングを含むほぼすべてのグラフィックス操作」を担う Chrome の重要なブラウザコンポーネントなので、
    プログラム本体に欠陥があることを示している。

    「Chromium」ベースのウェブブラウザは、そのセキュリティ問題のすべてを共有します

    今回の緊急セキュリティアップデートは、
    “野生で悪用されているセキュリティ問題” を修正する「Chrome 112」での 2回目(米国時間:4/15に続いての)の事件です。

  • Gonbe
    Gonbe
    1,344

    毎度、詳細な情報提供に感謝します。 私が想像したとおりの状況のようですね。

  • owl
    owl
    482

    過去の話題になりますが、

    Brave には、
    定期的に拡張されるフブラウザフィンガープリンティング防御の配列が含まれています。
    フィンガープリンティングとは、
    アプリケーションやシステムの特定の特徴に基づいて「ユーザーを特定し、追跡を可能にします。
    ウェブサイトに接続するために、ブラウザは「自動的に特定の情報をサイトに提供」しますが、
    JavaScript を使用すれば「さらに不特定多数の情報を取得」可能になるので、ユーザーのフィンガープリントが悪用されます。
    そのデータセットのユニークさが、トラッキングを可能にさせ、個人情報も収集される。

    ① 言語ベースのフィンガープリンティング対策:brave strict fingerprinting
    ブラウザは、サイトが希望する言語でコンテンツを提供できるように、優先言語をサイトに公開します。
    JavaScript は、ブラウザから情報を引き出すことが可能になり、フィンガープリンティング攻撃にも悪用される可能性がある。

    ほとんどのブラウザは、
    デフォルト言語は「米語(en-US)」ですが、
    他言語版は、デフォルト言語に加えて、ネイティブ言語(例えば日本語)が追加されています。
    そのような特殊な組み合わせを持つユーザーは、相対的に限定できるため、よりユニークさが際立ちます。

    Brave は、
    すべてのサイトに対して、優先言語(米語:en-US)のみを提供します。
    複数の言語が実装されいても、サイトに報告されるのは「優先言語」のみです。


    ② ブレイブフォントフィンガープリント:brave font fingerprinting
    ユーザーが使用するフォントは、ウェブサイトに公開されるため、(日本語など)一般的でないフォントが実装されている場合、ユーザーのユニークさが判明します。
    Braveでは、
    サイトがウェブフォントとすべての OS システムフォント、およびユーザーがインストールしたフォントのランダムセットのみを公開します。
    ランダムセットは、各サイトおよび各セッションごとに決定されるため、サイトが閲覧セッション全体でリストされたすべてのフォントにアクセスできることを意味します。

    Brave の保護機能は、
    例えば、特定のサイトに特定のユーザーインストールフォントが必要な場合など、特定のユースケースで問題を回避できるように、
    brave://settings/shields で「Prevent sites from fingerprinting me based on my language preferences」でこの機能をオフにできます。