ユーザージェスチャーなしでダウンロードされたファイルへの警告 「Microsoft Edge 91」ではダウンロードファイルの扱いが一部変更されており、特定のファイルタイプがユーザーの操作なしにダウンロードが開始された場合、Webブラウザーが自動で処理を中断するようになった。
Microsoftによると、「Edge」でダウンロードされたファイルは以下の3つの危険レベル(danger_level)に分類される。これは「Chromium」から受け継いだ挙動だ。
- DANGEROUS(危険)
- NOT_DANGEROUS(危険ではない)
- ALLOW_ON_USER_GESTURE(ユーザージェスチャーが必要)
最後の「ALLOW_ON_USER_GESTURE」は、おそらく無害だが警戒を要する場合に付与されるもので、2021年5月現在、以下の拡張子を持つファイルが対象となる。
crx, pl, py, pyc, pyo, pyw, rb, efi, oxt, msi, msp, mst, ade, adp, mad, maf, mag, mam, maq, mar, mas, mat, mav, maw, mda, mdb, mde, mdt, mdw, mdz, accdb, accde, accdr, accda, ocx, ops, paf, pcd, pif, plg, prf, prg, pst, cpi, partial, xrm-ms, rels, svg, xml, xsl, xsd, ps1, ps1xml, ps2, ps2xml, psc1, psc2, js, jse, vb, vbe, vbs, vbscript, ws, wsc, wsf, wsh, msh, msh1, msh2, mshxml, msh1xml, msh2xml, ad, app, application, appref-ms, asp, asx, bas, bat, chi, chm, cmd, com, cpl, crt, cer, der, eml, exe, fon, fxp, hlp, htt, inf, ins, inx, isu, isp, job, lnk, mau, mht, mhtml, mmc, msc, msg, reg, rgs, scr, sct, search-ms, settingcontent-ms, shb, shs, slk, u3p, vdx, vsx, vtx, vsdx, vssx, vstx, vsdm, vssm, vstm, vsd, vsmacros, vss, vst, vsw, xnk, cdr, dart, dc42, diskcopy42, dmg, dmgpart, dvdr, dylib, img, imgpart, ndif, service, smi, sparsebundle, sparseimage, toast, udif, action, definition, wflow, caction, as, cpgz, command, mpkg, pax, workflow, xip, mobileconfig, configprofile, internetconnect, networkconnect, pkg, deb, pet, pup, rpm, slp, out, run, bash, csh, ksh, sh, shar, tcsh, desktop, dex, apk
危険とみなされるかどうかはプラットフォームによって異なり、たとえばWindowsで危険とみなされる「.exe」は、Macでは無害だ。逆に「.applescript」はMacで有害となりうると判断されるが、Windowsでは問題となることはない。
さらに、拡張子ベースのチェックに該当したとしても、以下のケースに当てはまる場合はダウンロードが中断されることはない。
- ダウンロードの開始にあたり、ユーザーが何らかの操作(リンクのクリックなど)を行った場合
- 前日までにそのWebサイトに訪問したことがある
つまり、「特定の拡張子を持ち、なおかつ今まで訪れたことのないWebサイトから勝手にダウンロードされたファイル」が「ALLOW_ON_USER_GESTURE」の警告対象となるわけだ。こうしたファイルのすべてが危険というわけではないが、手癖でそのまま開いたりせず、十分確認する必要があるだろう。
警告の対象となると、デバイスに危害を及ぼす可能性のあるファイルタイプであったため、ダウンロードがブロックされたというメッセージが[ダウンロード]パネルに掲載される。ダウンロード項目をクリックすると、ファイルを[削除する]か[保持する]かを選ぶことが可能だ。また、ダウンロードページ(edge://downloads)にも同様の警告が表示される。
ダウンロードページ(edge://downloads)における警告 
