WebAuthn Signal API 概要

WebAuthn（ウェブオースン）は、ウェブサイトやアプリが安全な方法で本人確認を行うための仕組みです。パスワードを使わず、指紋や顔認証、物理的なセキュリティキーなどを活用します。この仕組みを使うと、ログイン操作がより簡単で安全になります。

目的

WebAuthnを利用するサービスが、古い・無効な認証情報をシステム上から適切に削除できる仕組みを提供することが目的です。これにより、誤った情報が表示されることを防ぎます。

現状の課題

現在のWebAuthnでは、以下のような課題があります：

認証情報のリストに無効なものが残る

例えば、あるユーザーが登録した「認証情報（例：指紋やパスキー）」をサービス側が無効にした場合でも、ユーザーのデバイスにはその情報が表示されてしまうことがあります。これにより、選択可能なリストに「使えない」情報が混ざる問題があります。

アカウント削除後の認証情報

サービスでアカウントを削除しても、ユーザーのデバイス上にはそのアカウントに紐づいた認証情報が残る場合があります。これが原因で混乱が生じることがあります。

新しい提案（WebAuthn Signal API）の仕組み

この提案では、サービス（リライングパーティ）がデバイスに以下のような情報を送信できるようにします：

無効になった認証情報を削除するよう指示

認証情報の変更や更新をシステムに反映

これにより、デバイス側で表示される情報が最新かつ正確なものとなります。

利点

スムーズなユーザー体験

認証情報が正確に管理されるため、ログイン時に不要な選択肢が表示されず、迷いが少なくなります。

セキュリティ向上

無効な認証情報が削除されることで、攻撃のリスクを減らすことができます。

パスワード不要の円滑な移行

新しい仕組みを活用することで、パスワードを入力しなくても簡単にログインできる環境が整備されます。

ユーザーにとっての影響

この仕組みが導入されることで、以下のようなことが期待されます：

認証情報の選択画面が簡潔で分かりやすくなる

サービスが停止したり削除された場合でも、無駄な認証情報が残らない

WebAuthn Signal APIは、Chromeバージョン130.0.6697.0以降で初めて実装されました。

したがって、Chromeバージョン131より前のバージョンでこのAPIが存在しなかったのは正しいです。

Google Chrome 132では、以下のような新機能や変更が予定されています：

WebAuthn Signal APIの導入： WebAuthn Signal APIが新たに実装され、ウェブサイトがユーザーのデバイス上に保存されている古いまたは無効な認証情報を削除または更新できるようになります。

GOOGLE サポート

AI機能の強化： Google Lensがデスクトップ版Chromeに統合され、画像を使った検索が可能になります。 また、タブ比較機能が追加され、複数のタブで開いた商品の情報を一括で比較できるようになります。

ザ・サン

パフォーマンスとセキュリティの向上： Chrome 132では、ブラウザの全体的なパフォーマンスとセキュリティが強化され、より快適で安全なブラウジング体験が提供されます。

これらの変更により、ユーザーはより便利で安全なウェブ体験を享受できるようになります。

あなた:

WebAuthn Signal API はChrome132以前はなく、正規リリースは新規機能ということですか？

はい、その通りです。WebAuthn Signal APIはChrome 132で正式に導入される新機能です。それ以前のChrome（131以前）には、このAPIは実装されていませんでした。

WebAuthn Signal APIが新機能である理由：

初めてのリリース

Signal APIは、ユーザーのデバイスに保存された認証情報をサービス（リライングパーティ）が更新・削除できる機能です。これにより、ユーザーのデバイス上で表示される認証情報を最新の状態に保つことが可能になります。

これまでの課題を解決

Chrome 131以前では、無効化された認証情報（例：削除されたアカウントに関連付けられた情報）がデバイスに残り続ける問題がありました。Signal APIの導入で、このような問題が解決されます。

正式なリリース

Chrome 132でのリリースにより、Signal APIが本格的に利用可能となり、WebAuthnのエコシステム全体が強化されます。

Chrome 132以降の期待される影響

ユーザーエクスペリエンスの向上

無効な認証情報がユーザーに表示されなくなるため、混乱が減り、ログイン操作がよりスムーズになります。

セキュリティの強化

無効な認証情報を削除できることで、攻撃リスクを最小化します。

広範な採用の可能性

他のブラウザやプラットフォームでもSignal APIの採用が進む可能性があります。

つまり、WebAuthn Signal APIはChrome 132で導入される画期的な機能であり、以前のバージョンには存在しませんでした。

ChatGPT の回答は必ずしも正しいとは限りません。

確認してください！

この提案自体が新しい仕組みの追加であるため、既存のWebAuthn利用者やコードに直接的な影響はありません。ただし、新機能の活用によって恩恵を受ける可能性はあります。

直接的な影響がない理由

Signal APIはオプショナル機能

WebAuthn Signal APIは、新たに追加された機能であり、既存のWebAuthnやパスキー認証の仕組みには変更がありません。現在の認証プロセスがそのまま動作します。

後方互換性が確保されている

Web APIの設計原則として後方互換性を重視しており、今回の変更も既存コードを壊すものではありません。

使用する場合のみ影響

Signal APIを明示的に利用する場合のみ、実装や挙動が関係します。もしcredentials.updateやsignalプロパティを活用しなければ、既存のコードは影響を受けません。

影響がある場合

影響があるとすれば、次のようなケースです：

古い認証情報を整理・削除する機能を追加したい場合

Signal APIを利用して、サービス側が無効になった認証情報をデバイスから削除するようにしたい場合は、新たにcredentials.update()を実装する必要があります。

ユーザー体験の向上を目指す場合

無効な情報を削除して認証画面を簡潔にしたい場合、Signal APIを導入することが望ましいです。その際、新たにコード変更が必要となります。

ブラウザや環境のバージョン確認

Signal APIは、Chrome 132以降などの最新ブラウザで利用可能です。古いブラウザをサポートする場合、フォールバック処理が必要になるかもしれません。

結論

上記の説明にあるように、Signal APIは新機能の追加であり、既存のWebAuthn実装には影響がありません。ただし、この機能を利用することで、セキュリティの向上やユーザー体験の改善を実現できます。導入する場合は、新たにcredentials.update()の実装を行う必要がありますが、それがなければ直接的な影響はないと考えられます。