Piro/結城洋志【ITエンジニア1年生のためのまんがでわかるLinux】シリーズ好評発売中

なんと！ 先週発表された技術書典「第10回刺され！技術書アワード」で、もえじら組のブラウザー歴史本＋Firefox擬人化コスプレ写真集「Moezilla Historica」を「ニュースタンダード部門 優秀賞」に選出いただけていました！ まじで！？ 技術書典でコスプレがニュースタンダード？！と驚くところですが、当時を生きた人の視点で生の空気感を込めて歴史全体をまとめた所と、写真を主軸にしたビジュアルブック的体裁という珍しさとを評価していただけた模様です。ありがとうございます！！ 本書は技術書典マーケット techbookfest.org/product/frpnPz… で電子版をダウンロード購入して頂けるほか、分厚くて重い紙媒体物理本もBOOTH sysadgirl.booth.pm/items/6441241 にて通販しております。 奇しくも今日7月15日は、法人としてのNetscape社が解散した日だそうで。一時は時代の寵児ともなったNetscapeがその座をIEに追われ、燃え尽きた灰の中から不死鳥の如く蘇ったFirefoxの、現在までに至る悲喜こもごもとWeb全体の動向の歴史を、豊富なイメージ写真で目を楽しませつつご覧いただければ幸いです！

工夫することの面白さを描いた漫画「ナッちゃん」（僕の大好きな作品の1つです）の作者の方が投資詐欺に遭ったという。やるせない。 本気で自分を騙そうとしてくる自分より知能が格上の相手（今は生成AIの補助まである）を退けられるかどうか？ 今後ずっと被害に遭わないでいられる自信が無い。

@dhq_boiler セキュリティに関わる部分はブラウザー組み込みの機能の方がより安全かなと期待しているので、拡張機能に基づく方式には自分は抵抗がありますね……検索してみたらクリックジャッキング攻撃を受ける脆弱性もある（あった）ようですし。 forest.watch.impress.co.jp/docs/news/2040…

@piro_or 素直に1Password使ったらどうなんでしょう？画像のように1PasswordはWindows Helloに対応していますし、BANされる可能性も限りなく低いと思います。

これにOS吹き飛ばす方がアホなのだみたいな反応が複数付いてるけど、つい先日（多分RAMの故障が原因で）Windowsが修復不可能な損傷を受けてやむなくWindowsをクリーンインストールし直すしかなかった僕としては、なぜ事故が起こらないとみんなそんなに信じていられるんだろう？と思う

記事の注釈にちょろっと書いてる話 #fn9" target="_blank" rel="nofollow noopener">clear-code.com/blog/2025/8/18… がまさに本件なんだけど、拡張機能を作ったことがあればまあ思いつく話で、それでも今まで大きく取り沙汰されてなかったのは、何だかんだでみんな良心が強かったのかな。

わ、やっぱりマジであるんだ拡張機能でフィンガープリンティングする所。LinkedInなんて大手がやるんだ。 拡張機能のコンテンツ埋め込み型UIをフィンガープリンティングされにくくする知見 clear-code.com/blog/2025/8/18… を書いたとき「神経質過ぎかな」と思ったけど、やっぱり必要なことだったか。

イースターバニー（イースターエッグを運んでくるウサギ）というものがあるのを知った。イースターエッグは知ってたけどそんなのもあるんだ。 バニーガールはそこからのこじつけらしい。

僕のタイムラインには「ハッピーイースター」という趣旨のコメントと共にバニーガールの絵や写真が多く流れてきてるのだけど、イースターとバニーガールにどういう関係があるのか分からないでいる

「あいつには関わりたくない」と思われていた2年間の話をする qiita.com/kentawata/item… #Qiita わかりみが深い。 「たまのピーク性能が高くても、指示出し側から見て状態が分かりにくかったり結果が不安定だと、指示出し側は使いたくなくなる」 「人として性能が低くても、指示出し側から見て状態の把握や結果の予測が容易なら、指示出し側がなんやかや使ってくれる。新しい人を雇う方が大変なんだから。」 「だから開き直って低性能さを晒してけ（低性能なのを隠しても性能が上がるわけじゃないんだし）（たくさん仕事をこなしていればそのうち性能は上がっていくだろうから）」 昔の自分にはそういう風に言いたい。 ただ、今の時代って「こいつに言うより生成AIにやらせた方がマシやんけ」がシャレになってないから、開き直るのがどこまで有効かは疑問ではある。 新人には辛い時代だ。

@JustAwakenedMan 指摘をありがとうございます。事業者が鍵を持たないなら復号までする義務はない（暗号化済みデータなら提出されうるので、警戒する人は実装の脆弱性などへの攻撃による突破や将来の技術での突破を警戒している）のが現状なんですね。正確なところを把握していませんでした。

@piro_or >> 米政府の一存で読み取り可能なクラウドに預けることの安全度をどう評価するかという話になる。 平文で秘密鍵がクラウドに置かれているorクラウドベンダーが暗号鍵を持っているという陰謀論を主張されたい？

事故などによるパスキーの喪失に備えるには、「パスキー自体のバックアップ・復元」か「パスキーなしでもログインできる代替の認証手段」のどちらかが要る。 前者の場合、安全度はバックアップ自体の安全度に依存し、米政府の一存で読み取り可能なクラウドに預けることの安全度をどう評価するかという話になる。 後者の場合、安全度はその中で最も脆弱な認証手段の物までしか確保できず、パスキーだけがいくら安全でもあまり意味はないことになる。 最も安全なのは「パスキー喪失に備えない、喪失したら諦める」という選択だけれど、失うものは大きい。 どれも一長一短で、よく考えて選択しないといけない。いずれかの選択肢を無条件で良いものと宣伝するのは、リスク評価を誤らせる恐れがある。 という警句と僕は受け取った。

厳密なパターンだとそうなんですね。 YubiKeyをApple Accountで使おうとすると、他の認証手段が使えなくなると同時にキーを2枚登録するように求められます（複数枚持ちが当然となっている）が、そういう前提なら納得の仕様と感じます。 Windows Helloのように端末そのものをパスキーの保存場所にする（複数の保存先を用意するコストが高すぎる）実装が、厳密なパターンと相性が悪いということなんでしょうか。

@piro_or パスキーにはバックアップやリカバリの概念がないです。 バスキーはセキュリティチップ内に保存され、サービスへの同期やサービス移行プロセスでのみ持ち出せるって座組みですね。 その上で同期先サービスをどう評価するかというのはその通りです。

Windows Helloに入れたパスキーは、クラウド同期という選択肢がないのもだけど、ローカルでのバックアップと復元すらも容易にはできない（と僕は認識してる。やり方がわからん）のが困ったところだ、というのが僕の認識。

最近「頭が悪くて差別的な噛ませキャラを出しにくくなった（"ポリコレ"対策のために）」みたいな話を見た際に、「味方勢に好感度の下がる要素を入れない結果として、敵方にだけ雑にそういう要素を入れてしまい余計に差別性が出てしまうということはないか？」ということを少し思ったのだけど、本作は3話目でさっそく「身内のための差別解消に奮闘する主人公自身が差別的価値観を持っている（た）」ことを批判的に描写していて、これが胆力というものなんだなあと感じ入った。

まさか、「Edgeなら同期できるから」というのがあるせいでWindows HelloのパスキーをWindows自体の同期機能の対象にしようとしない（Edge使わないMicrosoft非親和的ユーザーには冷淡）ってことじゃあるまいね？

どうも「ChromeだとGoogleアカウントの方で同期できる「EdgeだとEdgeのパスワードマネージャーの機能で同期できる」というのが真相みたい。 僕はFirefoxで、FirefoxのパスワードマネージャーはFirefoxアカウントで同期してくれるけど、パスキーはWindows Helloの方に行くから同期対象外なんよ。

@emutyworks サービスによっては認証手段をパスキーにすると他の認証方式が使えなくなるものもあるそうで、ユーザー側で対策できないのは辛いです……

@piro_or Passkeyもだけど二段階認証アプリの同期とかも信じるとシぬので別の復旧手段は必ず設定しておくかなぁ、PC使えなくなってもどうにか出来るようには常にしてある

データの話はしてないですよ、Webサービスのアカウントへのアクセスの話です x.com/sashisashi569/…

ChatGPT曰く、最近ようやく対応して段階的に展開されてる途中だとかなんとか。ほんまかいな。