Chrome拡張機能の「アクセス許可」をそこまで気にしなくていい理由

拡張恐怖症 さまへ

たしかに拡張機能は素晴らしいオプションなのに、データへのアクセスリクエストが多い気がします。そこで今回はプログラマーであるJoe Flores氏とグループ向けウェブアプリケーションMeldiumの共同創立者であるBoris Jabes氏に「許可」のメカニズム、及び気をつけたほうがよいことを聞きました。

拡張機能はなぜデータへのアクセスに許可が必要なのか？

拡張機能のアクセス許可は「現在地」から「パソコン上のすべてのデータとアクセスしたウェブサイト」まで10種類あり、開いているウェブサイトがどのデータへアクセスしているのかを明確にしています。

例えば『Pocket』は「パソコン上のすべてのデータとアクセスしたウェブサイト」および「タブとブラウジング アクティビティ」への許可を必要としています。こう見るとかなり多めに見えますが、サイトからURLリンクを保存する「後で読む系サービス」を動かすためにはどうしても必要なようです。

ではどうしてこのように多くの許可が必要なのでしょうか？　問題の一部はChromeが使用している言葉にあるとJabes氏は指摘しています。

Chromeは「許可」に関してかなり大雑把で、拡張機能メーカーは「ゼロか百」の極端なアプローチを取らざるをえないそうです。結果、判断が微妙なときは「許可」を求めるように設計する人が増えています。

さらなる問題が、それぞれの拡張機能がどうして特定の「許可」を必要としているのか、明らかにされていないところです。『Feedly』のようなRSSリーダーツールが「パソコン上のすべてのデータとアクセスしたウェブサイト」への許可を必要とするのはまだ納得できます。全てのサイトでJavaScriptを実行する必要があるからです。ですが、大概の拡張機能ではそういった理由が明らかになっていません。

拡張機能をインストールする際に気をつけること

「許可」を求めるメッセージは曖昧で、ほとんどの拡張機能をインストールする時に出てきます。インストール時はメッセージをあてにせず、自分で注意してみるようにしましょう。特に「パソコン上のすべてのデータとアクセスしたウェブサイト」への許可を求めてくるものにはちゃんと目を光らせておく必要があります。ただ基本的には、機能自体と関連のある「許可」であればOK、それ以外の場合はNGという考え方で大丈夫です。

幸い、データをごっそり盗むような拡張機能は存在しがたいともFloresは指摘しています。

しかし、拡張機能によって「全て」のデータが盗まれることは考えにくいとしても、特定の情報、パスワードなどが盗まれる可能性は否定できません。不審な動きをする拡張機能であれば誰かがそれについて言及している可能性も高いので、ダウンロードする前にレビューを読んでおくとよいでしょう。

「絶対」とは言いがたいですが、「パソコン上のすべてのデータとアクセスしたウェブサイト」へのアクセス許可を要求してくる拡張機能のほとんどは特に危険ではないようです。Chrome側が要求する「許可」の種類がもっと多様化すればよいのですが、常識的に「怪しいものは使わない」というだけでもトラブルは十分に避けられるはずです。

もっと安全な方法としてGoogleによる確認済み作成者の拡張機能のみを使用するというのがオススメです。Chromeのウェブストアページでチェックマークが付いているか確認しましょう。とは言っても良質な拡張機能の全てにチェックマークが付いているわけでもありません。

可能であれば拡張機能のコードを読んでみる、または『Extension Gallery』などでコードを検証してみるのもよいかもしれません。

ライフハッカーより

Thorin Klosowski（原文／訳：まいるす・ゑびす）