スペルチェック機能でパスワードを外部送信

スペルチェック機構は使っていますか？
オフィス系のアプリケーションでもその他のアプリケーションでも、スペルチェック機構はありがたいものです。
typoを減らすことにとても有効です。

しかし、便利だなというだけでは見過ごせないものがあったことがわかりました。

よくあるスペルチェック機構はそのアプリケーションの中の機構としてローカルで完結して機能します。
しかし中にはローカルのみでのスペルチェックを実施せず、外部に送信してスペルチェックするものがあります。

今回確認されているのは、Google ChromeとMicrosoft Edgeです。
これらのWebブラウザは、どちらもスペルチェック機構を搭載しています。
それぞれ次のように動作します。

• Google Chrome
  スペルチェック機構をブラウザ自体に搭載しています。
  標準で有効に設定されていて、動作モードは「基本スペルチェック」と「拡張スペルチェック」の2つがあります。
  このうちの基本スペルチェックが標準設定の動作モードになっています。
  拡張スペルチェックのところには「Google 検索と同じスペルチェックを使用します。ブラウザに入力したテキストは Googleに送信されます。」と説明されています。
• Microsoft Edge
  標準でスペルチェック機構を有していますが、内容的に限定的なものになっています。
  EdgeはChromeと多くの部分でコードベースが共通するものになっていますので、Chromeの基本スペルチェックに相当するものなのかもしれません。
  そしてより優れたスペルチェックを実施したい場合には、「Microsoft Editor Spelling & Grammar Checker」というブラウザアドオンをインストールして使用することができます。
  これによりブラウザのフォームに入力された内容はMicrosoftに送信されます。

もちろんこれは必ず送信されてしまうということではありません。
WebブラウザがWebサイトを表示するときには、そのWebサイトが提供するHTMLに従って描画しますし動作します。
たとえばパスワードなどの個人情報を入力する部分を持つWebコンテンツの場合に、そのフォームデータの中に「spellcheck=”false”」などのコードを含めておけば、個人情報は外部に送信されないで済んだりします。
アプリケーションの開発者、Webサイトの管理者、ユーザ、それぞれの立場でできることがありそうです。

思いもよらないことが起こることは、あると思います。
しかし新しいニュースをよく確認して対応していくことで、問題を軽減することができる場合も少なからずありそうです。
そういった活動が継続できるとよいですね。

参考記事（外部リンク）：Chrome & Edge Enhanced Spellcheck Features Expose PII, Even
Your Passwords
www.otto-js.com/news/article/chrome-and-edge-enhanced-spellcheck-features-expose-pii-even-your-passwords