Googleは木曜日、以前に発表したGoogleユーザーデータへの第三者によるアクセスの再評価の一環として、Chrome拡張機能およびDrive APIを利用するアプリの開発者に対する要件を厳しくする計画を発表した。
チョコレートファクトリーは、秋にはChrome拡張機能がアプリ機能を実装するために要求できる権限を可能な限り限定したものにする予定だと発表した。この変更は、フェイスブックのケンブリッジ・アナリティカ事件で明らかになったような無制限のデータ収集を防ぐことを意図している。
不誠実なアプリ開発者による Facebook 規模の被害に対する懸念から、Google は開発者 API アクセスの監査である Project Strobe を実施し、昨年 Google+ の棺に最後の釘を打ちました。
Chromeウェブストアのポリシーとして実装されたこの権限制限は、Android開発者やGmail開発者に適用されている同様の措置を反映しています。例えば、プラグインアプリが正当な理由でchrome.bookmarksそのデータにアクセスする必要がない場合、APIへのアクセス権限を得るために「ブックマーク」権限を宣言するChrome拡張機能を開発者が作成することを禁止します。
Googleは、拡張機能開発者にプライバシーポリシーの開示を求めるデータの範囲を拡大しています。これまでは、個人情報や機密データを扱う拡張機能の開発者のみがプライバシーポリシーを公開する必要がありました。今後は、ユーザー提供コンテンツや個人的なコミュニケーションを扱うブラウザアドオンコードを作成する開発者も、プライバシーに関するコミットメントを公開する必要があります。
来年初めには、Drive API は 1 月に Gmail API に適用されたのと同じルールの対象となります。スコープが制限された API を利用し、Drive の外部(Google Cloud、Firebase、外部サーバーなど)にデータを保存するアプリの開発者は、セキュリティ評価が必要になります。この評価には「アプリケーションの複雑さに応じて 15,000 ドルから 75,000 ドル(またはそれ以上)の費用がかかる可能性があります」。
G Suite'n'sour: Googleはハッシュ化されていない認証情報を数ヶ月、数年にわたって保存した後、パスワードをリセット
続きを読む
Gmail アプリ開発者と同様に、一部の小規模スタートアップ企業はコンプライアンスのコストを負担できない可能性があります。
「当社の最優先事項は、ユーザーデータを保護し、安全に保つと同時に、開発者が人々が望み、必要とする機能を構築できるようにし続けることです」とエンジニアリング担当副社長のベン・スミス氏はブログ投稿で説明した。
「Project Strobeの取り組みを継続する中で、開発パートナーと協力して、アプリやサービスの調整と更新に適切な時間を与えていきます。」
Chrome ウェブストアのポリシー変更と Drive API の制限は、Chrome 拡張機能プラットフォームの関連する API の見直しである Manifest v3 と並行して行われました。Google は、その目標は「より強固なセキュリティ、プライバシー、そしてパフォーマンスの保証を実現すること」だと主張しています。そして、Google の拡張機能プラットフォームは、間違いなくこれらすべてから恩恵を受けるでしょう。
Googleが検討している様々な変更の一つとして、APIの制限がありますwebRequest。開発者によると、この変更によりコンテンツブロック機能が制限されるとのことですが、代替としてdeclarativeNetRequestAPIが計画されており、これによりアプリはChromeと連携できるようになります。APIは、APIによって可能になるネットワークリクエストへの危険なレベルのアクセスを回避できますwebRequest。
これは物議を醸す変更です。Googleは開発者コミュニティに影響を与える変更をプレビューする前に、開発者コミュニティの同意を得ることができなかったからです。また、広告会社が、これらのアプリが新しいシステムに対応できるという確約なしに、広告ブロッカーやプライバシー拡張機能を無効にする変更を提案したことは、疑問を抱かせるものです。®
