Googleは、MozillaとAppleの長年の反対にもかかわらず、ウェブサイトがマイクやカメラといったブラウザの機密機能へのアクセス許可を求める新たな方法をテストしてきました。最近、この提案が改訂されたことを受け、Mozillaは変更に前向きな姿勢を見せているようです。
この議論は、Page Embedded Permission Control (PEPC) と呼ばれる提案された Web 仕様の実装をめぐるもので、この仕様により、ブラウザがデバイスのカメラ、マイク、位置情報データへのアクセスの許可を要求する HTML ボタンをレンダリングできるようになります。
この提案は、ブラウザは誰の利益のためにあるかという重要な疑問に触れています。ユーザーでしょうか、ウェブサイトの所有者でしょうか、それともブラウザメーカーでしょうか?
ブラウザは長らくユーザーエージェント(サーバーに対して自らを識別する役割)と呼ばれており、ブラウザユーザーはブラウザによるウェブサイトの表示方法をかなり細かく制御できます。例えば、広告をブロックしたりプライバシーを強化したりする拡張機能をインストールすることも可能です。
しかし、ブラウザはウェブサイトの所有者やGoogleのようなブラウザメーカーの利益にも応えています。例えば、商業的に重要な機能をサポートしたり、貴重なデータへのアクセスを提供したりしています。
Apple、Brave、Google、Microsoft、Mozilla、Vivaldiといったブラウザメーカーは、それぞれ異なる方法で、時に相反するこれらの利益のバランスを保っています。そして、インターネットユーザーは、もし選択肢があるならば、これらの違いに基づいてブラウザを選ぶかもしれません。
PEPC 提案で明記されているように、Google の懸念は、現在の許可システムがわかりにくいことである。
「ウェブにおける現在の権限の実装は、ユーザーにとって大きな問題を引き起こしています」と、Google Chromeプロダクトマネージャーのミン・レ氏は最新の提案の中で説明しています。「権限はウェブにとって非常に重要であり、カメラやマイクへのアクセスといった強力な機能を実現すると同時に、機密性の高い決定をユーザーに委ねることでユーザーのプライバシーとセキュリティを保護します。しかし、このモデルは実際にはしばしば機能不全に陥り、ユーザーのフラストレーションや問題認識につながっています。」
Le氏は、Webオリジン、ユーザーエージェント(ブラウザ)、システム(OS)レベルでの適用を含む多層的な権限モデルが、誤検知や誤検出を引き起こすと主張しています。例えば、ユーザーがビデオ通話に参加した際に、マイクがブロックされているのはソフトウェアの不具合ではなく、以前の権限拒否によるものであることに気づくことがよくあります。
「ユーザーの意図しない許可が付与された場合(偽陽性、たとえばページ上の「ダークパターン」の結果として)、または意図しない許可が拒否された場合(偽陰性、たとえばビデオ会議でカメラが機能しない)、ブラウザはユーザーの期待に応えられなかったことになります」とLe氏は言う。
少なくとも2022年以降、さまざまなブラウザメーカーを代表するさまざまな開発者がこの件について議論してきました。許可プロセスは改善できるという点では概ね合意が得られていますが、問題は細部に潜んでいます。
昨年、Google は、2024 年 6 月 11 日にリリースされる Chrome 126 から、オリジン トライアルで専用の HTML <permission> 要素をテストする計画を発表しました。そして先月、この検索界の巨人は、8 月中旬まで実行されるオリジン トライアルの一環として、<permission> 要素の機能強化を公開しました。
ページ埋め込み権限制御 UI のスクリーンショット - クリックして拡大
HTML <permission> 要素 (開発者がウェブページに含めるマークアップ) は、現在の安定版リリースである Chrome 137 ではフラグのままになっています。
新しい <permission> 要素は命令型ではなく宣言型です。つまり、この要素を呼び出すことで、開発者が何を望んでいるのか(許可を求めること)を宣言し、それがどのように実現されるのかを具体的に指定するわけではありません。また、許可を求めることでウェブユーザーに迷惑をかけたり、同意とは見なされないモーダルインタラクションを悪用して訪問者に許可を与えさせたりするような設計パターンを防ぐことを目的としています。さらに、例えばマイクアクセスのブロックを解除する方法が明確でない場合に、許可設定の解除を容易にすることも目指しています。
Le 氏が述べたように、この提案の目標は、ユーザーの意図をより適切に把握し、偽陰性と偽陽性を減らし、オペレーティング システム ベースおよびサイト ベースの権限による後悔を軽減し、権限をコンテキストにさらに密接に結び付けて、より理解しやすくすることです。
MozillaとAppleの開発者たちはこの提案に冷淡な反応を示した。
2024年4月、Appleの標準エンジニアであるMarcos Cáceres氏は、UI/デザインの複雑さの増大、セキュリティの複雑さ、悪用される可能性のある要素のスタイル設定オプションなど、この提案に対するさまざまな反対意見を挙げました。
昨年 11 月、Mozilla 開発者の Simon Friedberger 氏も同様の批判を発表し、主な目的は「許可の後悔」を防ぐことであるようだと述べています。これは、Web サイトを遮断するユーザーよりも、ユーザーによって遮断される Web サイトにとってより重要なことです。
「追い求めている指標は、ユーザーを犠牲にしてウェブサイトに有利になっているようだ」と彼は書いている。「コンバージョン率が低いのは、パーミッションが本来の役割を果たしている証拠だ。コンバージョン率が高いのは、パーミッションが本来の役割を果たしていない証拠だ。PEPCは後者を追い求めているようだ。」
Friedberger 氏はまた、インタラクション パターンによってユーザーは許可の拒否を取り消すことはできるものの、アクセスを許可する決定を取り消す方法は提供されていないことにも気づきました。
- MozillaはGoogleのChromeへのAI搭載推進に懸念
- 研究者の不正行為の訴えを受け、MetaはAndroidのモバイルポート追跡技術を一時停止
- Chromium以外のブラウザユーザー向けにFirefox 139が登場
- Google が Chrome を放棄せざるを得なくなったら、次に何が起こるでしょうか?
しかし先週、Mozillaの反対姿勢は幾分軟化しました。MozillaのJan-Ivar Bruaroey氏は、Googleが5月に提案した改訂案を引用し、「PEPCにおける最近の前向きな進展は再検討に値する」と記しました。
これらが実装されると、ブラウザにネイティブ HTML <camera> および <microphone> ミュート トグルが追加され、デバイスの選択がオペレーティング システムやサーバではなく、ブラウザの制御下に戻ると、Bruaroey 氏は別のブログ投稿で書いています。
Mozillaの広報担当者はThe Registerに対し、「Mozillaは、ユーザーがオンライン体験をコントロールできるように努めています。より優れた権限管理UXは、その実現に役立ちます。そのため、この分野における新しいデザインアプローチの可能性に期待しています」と語った。
PEPCは、今日のパーミッションリクエストに関する現実的な問題を解決しようとしています。パーミッションリクエストは往々にして煩わしく、意図しない許可や拒否につながる可能性があります。しかし、Chromeオリジントライアルの現在のバージョンには重大な問題があり、そのままウェブプラットフォームにリリースするのは間違いだと考えています。
特に、Firefox の開発元は、すべての権限を単一の HTML 要素の下にまとめるのではなく、各権限を個別に制御する必要があると述べています。
「例えば、通知に関しては事前に許可を求めるのは問題ありませんが、カメラやマイクに関しては使用時にデバイスの許可を与えるべきなので、これはアンチパターンです」とスポックスは説明しています。®
