スナップショット事件簿 – 同期の暗号化

デスクトップ版 バージョン 6.4.3160.25 から 6.4.3160.30 において、あるプライバシーに関する出来事により、スナップショットユーザーに影響がでました。

Padlock on a green door

Vivaldi の同期機能は、ブックマークやパスワード、ブラウジング履歴、メモ、その他のデータをデバイス間で同期できる無料のサービスです。ユーザーのデータはエンド・ツー・エンド暗号化 (E2EE) により安全性と機密性が保たれているため、ユーザーの履歴が Vivaldi のサーバーで確認されることはありません。データにアクセスできるのは、アクセスキーを保持しているユーザーのみです。

残念ながら、10 月に起きた出来事により、このプライバシーに関する約束を果たすことができませんでした。この問題によって、デスクトップ向けバージョン 6.4.3160.25 から 6.4.3160.30 においてスナップショットのテストユーザーに影響を与える結果となりました(因みに、モバイルプラットフォームとメインの安定版リリースのチャンネルに対しては影響はありません)。

Vivaldi の基礎となるブラウザエンジン、Chromium は、バージョン 118 においてブラウジング履歴を完全に同期するサポートを導入しました。この機能は Vivaldi ユーザーが待ち望んでいたものであり、私たちもなるべく早くユーザーにお届けしたいと考えていました。

しかし、問題はこの時に起こりました。Chromium の同期エンジンは、デフォルトではブラウジング履歴のデータ保存にエンド・ツー・エンド暗号化を使用していません。サーバーへのネットワーク接続には暗号化が使用されていましたが、デフォルトの設定により、サーバーではブラウジング履歴を暗号化せずに受信して保存してしまっていたのです(しかし、第三者がネットワークトラフィックをハイジャックしてブラウジング履歴を確認できるような可能性はありませんでした)。

この新機能におけるデフォルトの動作、そして、テスト環境におけるこのような状況に関し、スナップショットユーザーが暗号化されていないブラウジング履歴をアップロードした後まで気付きませんでした。この状況を認識した直後、Vivaldi では同機能を無効にし、アップデートをリリースしました。その後に問題を修正し、機能を再度有効にして、別のアップデートをリリースしました。

また、暗号化されなかったブラウジング履歴は、サーバーからは削除済みです。ユーザーのデータはユーザーのもの。Vivaldi はユーザーがどんなサイトにアクセスしたのかに関心はありません。

テストリリースではこのような問題が時々発生しますが、だからこそ必要だと Vivaldi では考えています。最良かつプライバシーを重視したブラウザを提供できるのは、スナップショットのテスターの皆さんのおかげです。あらためて感謝申し上げます。ありがとうございます。

人間は誤りを犯すもの。しかし、常にチャレンジし、改めていかなければなりません。例え、初の挑戦でうまくいかなかったとしても。

メインの写真は Kaffeebart より


原文 – Sync privacy incident affecting our Snapshot test users

訳 – Mayumi
Team Vivaldi
Vivaldi Social | Twitter | Facebook | Instagram | note