パスワードを忘れた? アカウント作成
13271032 story
Chrome

Chrome 62、より多くの場面でHTTP接続ページの安全性に関する警告が表示されるようになる 33

ストーリー by headless
増加 部門より
Googleが10月にリリースを予定しているChrome 62では、より多くの場面でHTTP接続ページの安全性に関する警告メッセージが表示されることになるようだ(Google Security Blogの記事9to5Googleの記事The Registerの記事)。

Chrome 56以降では、パスワード入力フィールドやクレジットカード情報入力フィールドを含むHTTP接続のページを表示すると、情報アイコンの右側に「保護されていません」と警告が表示される。Chrome 62では任意の入力フィールドを含むHTTP接続のページで、ユーザーがフィールドへの入力を開始した場合に警告が表示されるようになる。さらに、シークレットウィンドウではすべてのHTTP接続ページで常に警告が表示されるとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年05月04日 12時23分 (#3205166)

    警告ばかりになると、無視されるか消されるかのどっちかだよな

    • by Anonymous Coward

      警告を出さなきゃ出さないで「何でGoogleは警告を出さなかったんだ」っていうクレームにつながる恐れがある
      クレーマー気質な人って多いぞ

    • by Anonymous Coward

      常時SSLが当たり前になるので警告は少なくなるよ。

      • by Theia (47993) on 2017年05月07日 2時43分 (#3206166)
        フォーム送信の警告はありがたいのだけど…常時SSLは勘弁願いたい。
        Linux ISOとかでかいファイルのダウンロードにSSLはやりたくないよね…
        後々ファイルの署名やらハッシュで確認するわけですし…
        親コメント
      • by Anonymous Coward

        Google様自身が完全SSL化済み、大手ソーシャル系サイトも多くがSSL対応、ついでにスラドもSSL対応、と
        最近ではSSL対応サイトだけでも結構暮していけるようになっているので、ここいらで一気に進めたいんでしょうね。
        Google様はSSL非対応サイトはランク下げるとも言ってますし。

        ただ、官公庁や地方自治体のSSL対応が遅いこと(経産省のページがSSL非対応とか頼むでホンマ)とか、
        マスメディア系の対応も遅い(5大紙+共同+時事でSSL対応は毎日だけみたい)とか、
        詐称されたら君ら困るやろって方々が割とノーガードなのが気になりますね……。

        • by Anonymous Coward

          重要性がわかってないだけ
          全国紙どころかIT系のメディアですら導入してないぐらいだしね
          お前ら注意喚起するくせに自分たちはええんかい!ってツッコミ待ちのボケかと思うぐらい遅い

          何か問題が起きれば一気に導入が加速すると思う
          ま、遅いんだけどね

        • by Anonymous Coward

          法律で全てのサイトに義務化にして、補助金も出せばいいじゃない

          • by Anonymous Coward

            法律がなければやらない、補助金がなければやらないならサイト閉鎖すればいい
            そんな管理者のサイトなんて見る価値ない

          • by Anonymous Coward

            その当の国家機関からしてガッバガバなんですがそれは……
            政治家だって言論統制にはご執心だけどネットセキュリティは素人ってレベルじゃないし
            正直Googleがブチ切れて「SSL対応してないサイトは100件以内には出してやんねえ!」くらいしないと動かんと思う
            というかそこまで言っても「よっしゃよっしゃ、ほなGoogleの社長を食事会にでも呼びつけてSSLやめろって叱っといたるわ」とか言いだしかねないのが日本の政治

          • by Anonymous Coward

            なんでもかんでも補助金出すのは止めるべきだ。

        • by Anonymous Coward

          SSL対応すれば、proxyタイプの広告ブロッカーは機能しなくなるしね。
          いいことばっか。

          • by Anonymous Coward

            中間者攻撃するProxyタイプのブロッカーもあってだな
            SSL使ってようがブロックできる

            • by Anonymous Coward

              CA証明書を手動インストールする前提ならProxyが合法的に中間者攻撃すればいいだけだね
              でもChromeって末端で広告ブロックするアドオンいっぱいあるのにProxy(笑)でやる必要あるか?

              • by Anonymous Coward

                広告ブロック以外のことができるのが大きいな
                アドオンだとjavascript+α的なことしかできないけど
                やろうと思えば何でもできる

  • by passer-by (13494) on 2017年05月04日 14時43分 (#3205188) 日記

    昔は Mozilla や Firefox でも警告が出る(それどころか https から http に遷移するだけでも出る)設定だったけど、いつの頃からか出さないのがデフォルト設定になったよね。
    ようやくインフラが設計に追いついてきたってことですか。

    • by Anonymous Coward

      フォーム送信時にhttpsからhttpに遷移する場合は警告が出ますよ

  • by Anonymous Coward on 2017年05月05日 1時07分 (#3205383)

    それより最近のAmazon騒動を見る限り、パスワード使いまわしに対して警告を出してほしい。
    むしろ、Chromeに記憶させること前提で、Webサービス毎にアカウント作成時にランダムなパスワードを生成して勝手に入力する(ユーザーは実際のパスワードを知ることすらできない)くらいの機能があった方が逆にトラブルが減りそう・・・

  • by Anonymous Coward on 2017年05月04日 15時59分 (#3205220)

    この警告って、社内LAN上のサイトとかでも表示されるんだろうか。
    まぁ、どのシチュエーションどの form control で表示されるのかってのが
    はっきりしないとなんともいえないが・・・。 場合によっては面倒な改修要望されるかもな・・・。

    • by Anonymous Coward

      つIE11

    • by Anonymous Coward

      社内ならオレオレでいいから入れとけばええやん

      • by Anonymous Coward

        今度は別の警告が出ると思うのだが。

        • by Anonymous Coward on 2017年05月04日 18時52分 (#3205287)

          社内CAを運用してCA証明書をグループポリシーとかで配って
          社内サーバは社内CAで署名した証明書を配れよ

          これからこの運用をやる奴はサーバ証明書側での X509v3 ServerAltName の記載が
          Chrome58以降で必須になってるのに気をつけろよ

          親コメント
          • by Anonymous Coward

            全くごもっともなんだが、それはオレオレとは言わないと思う。

            • by Anonymous Coward

              これがオレオレでなければ、何がオレオレなんだろう

            • by Anonymous Coward

              第三者機関から認証を受けてないような社内CAなんて…
              そこから発行される証明書は全部オレオレでしょ。

              • by Anonymous Coward

                第四種オレオレ証明書だね。

              • by Anonymous Coward

                >CA証明書をグループポリシーとかで配って
                を行っていれば、オレオレの定義である「クライアント側で認証パスを辿れない」を満たさないわけだが。

              • by Anonymous Coward

                なにそのオレオレ定義

          • by Anonymous Coward

            弊社の社内システムはVBのふる~~いバージョンで再コンパイルすら出来ない状態なので
            証明書は当然sha1なので警告消せません(泣

            しょうがないからchromeの起動オプションで無効化したけど、本当バッドノウハウ

    • by Anonymous Coward

      今どき、社内だからって通信を暗号化しないなんて、ヤバくない?
      出口対策で満足なのかしら。

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...