http://blog.elliottkember.com/chromes-insane-password-security-strategy
http://news.mynavi.jp/news/2013/08/08/054/index.html
http://www.itmedia.co.jp/enterprise/articles/1308/08/news033.html
このニュースは取り上げるサイトによっては、Windowsで動作確認した記者がFirefoxと比較してどうのこうのと語ったり、ブコメもドヤ顔で「今まで知らなかったのか」「気付かなかった奴が騒いでる」って見方のブコメを散見するがそれも違和感を感じる。
そういう話じゃないんだよな。
Macでは、Chromeが正式版になってパスワード管理がキーチェーンと連結されて実装された当初、Chromeの設定画面からパスワードを確認する場合はキーチェーンが立ち上がる仕様だった(はず)。
(ベータ時代はパスワード関連の設定画面ではまだ開発中と表示されたはず。ただちょっとそのあたり、ベータが取れる前後は記憶が定かでない。なんせベータとの違いがよく分からない有様だったから。記憶違いだったら申し訳ない)
http://internet.watch.impress.co.jp/docs/news/20091209_334515.html
例えば、Mac OSのパスワード管理機能「キーチェーン」がGoogle Chromeに統合されたため1カ所でパスワードを管理でき、他のブラウザで入力したパスワードをGoogle Chromeで利用できる。
あくまでキーチェーンの扱いはSafariと同じだったし、この時はSafariからパスワードを直接インポートできなかったと記憶している。
ちなみに、ヘルプの記載でも現在もキーチェーンで保存してるとしてる。
https://support.google.com/chrome/answer/95606?hl=ja
Google Chrome では、さまざまなウェブサイトのユーザー名とパスワードを保存することができます。そのようなウェブサイトに次回アクセスすると、ブラウザによって自動的にログイン フィールドに入力されます。
これらのパスワードは、その他のブラウザのパスワードが保存されているのと同じシステムに保存されています。Mac の場合、Google Chrome はキーチェーンアクセスを使用してユーザーのログイン情報を保存します。
おそらくこの記載はキーチェーンとの連携ができるようになった当初のものだろう。この後ろにchromeアカウントの話を付け足したのか。
とにかく、MacOSのほぼ全てのブラウザがキーチェーンによるパスワード管理をやってて(キーチェーンはアクセスできるアプリケーションを管理でき、ブラウザ以外も依存している)、ここに委ねてる。
だからパスワードの確認はキーチェーンで行う理屈で、Chromeのベータが取れた当初はそうだったはず(私の記憶では)だし、そうでなくてもGoogleの説明を受けたMacユーザーはそういう認識だ。
ようするに、MacユーザーからするとSafari等のキーチェーンを利用するアプリケーションと同様の方法で管理してますよって言ってるのに、実態が違うじゃないかっていう指摘だ。
(たしかWindowsにおけるIEも同じようにシステムの管理だと思う。この話において、Mac/Windows対応であるFifefoxは例外なんだが、その管理と同等のレベルにしようという事で、それに倣ってマスターパスワードを装備している。ちなみにデフォルトじゃないという反論の意味がよく分からない。)
また、キーチェーンによるURLの認識方法がセキュリティ的に問題で、Chromeは違いますよっていう話があってもいいはずなんだけど、Googleの反論はそうでもないようだからそっちとは違うみたいだ。
思うに、Googleとしてはデータ上は平文保存してるのに画面上見えないだけって実態がセキュアじゃないとか本当は言いたいんだろうけど、しかし平文保存してるからこそSafariからパスが抜け、だからこそSafariからの移行組を確保しているからで、このことをおおっぴらに言うことはないと思う。