Chrome 62、より多くの場面でHTTP接続ページの安全性に関する警告が表示されるようになる 33
ストーリー by headless
増加 部門より
増加 部門より
Googleが10月にリリースを予定しているChrome 62では、より多くの場面でHTTP接続ページの安全性に関する警告メッセージが表示されることになるようだ(Google Security Blogの記事、
9to5Googleの記事、
The Registerの記事)。
Chrome 56以降では、パスワード入力フィールドやクレジットカード情報入力フィールドを含むHTTP接続のページを表示すると、情報アイコンの右側に「保護されていません」と警告が表示される。Chrome 62では任意の入力フィールドを含むHTTP接続のページで、ユーザーがフィールドへの入力を開始した場合に警告が表示されるようになる。さらに、シークレットウィンドウではすべてのHTTP接続ページで常に警告が表示されるとのことだ。
Chrome 56以降では、パスワード入力フィールドやクレジットカード情報入力フィールドを含むHTTP接続のページを表示すると、情報アイコンの右側に「保護されていません」と警告が表示される。Chrome 62では任意の入力フィールドを含むHTTP接続のページで、ユーザーがフィールドへの入力を開始した場合に警告が表示されるようになる。さらに、シークレットウィンドウではすべてのHTTP接続ページで常に警告が表示されるとのことだ。
消されるんじゃね? (スコア:1)
警告ばかりになると、無視されるか消されるかのどっちかだよな
Re: (スコア:0)
警告を出さなきゃ出さないで「何でGoogleは警告を出さなかったんだ」っていうクレームにつながる恐れがある
クレーマー気質な人って多いぞ
Re: (スコア:0)
常時SSLが当たり前になるので警告は少なくなるよ。
とはいっても・・・ (スコア:1)
Linux ISOとかでかいファイルのダウンロードにSSLはやりたくないよね…
後々ファイルの署名やらハッシュで確認するわけですし…
Re: (スコア:0)
Google様自身が完全SSL化済み、大手ソーシャル系サイトも多くがSSL対応、ついでにスラドもSSL対応、と
最近ではSSL対応サイトだけでも結構暮していけるようになっているので、ここいらで一気に進めたいんでしょうね。
Google様はSSL非対応サイトはランク下げるとも言ってますし。
ただ、官公庁や地方自治体のSSL対応が遅いこと(経産省のページがSSL非対応とか頼むでホンマ)とか、
マスメディア系の対応も遅い(5大紙+共同+時事でSSL対応は毎日だけみたい)とか、
詐称されたら君ら困るやろって方々が割とノーガードなのが気になりますね……。
Re: (スコア:0)
重要性がわかってないだけ
全国紙どころかIT系のメディアですら導入してないぐらいだしね
お前ら注意喚起するくせに自分たちはええんかい!ってツッコミ待ちのボケかと思うぐらい遅い
何か問題が起きれば一気に導入が加速すると思う
ま、遅いんだけどね
Re: (スコア:0)
法律で全てのサイトに義務化にして、補助金も出せばいいじゃない
Re: (スコア:0)
法律がなければやらない、補助金がなければやらないならサイト閉鎖すればいい
そんな管理者のサイトなんて見る価値ない
Re: (スコア:0)
その当の国家機関からしてガッバガバなんですがそれは……
政治家だって言論統制にはご執心だけどネットセキュリティは素人ってレベルじゃないし
正直Googleがブチ切れて「SSL対応してないサイトは100件以内には出してやんねえ!」くらいしないと動かんと思う
というかそこまで言っても「よっしゃよっしゃ、ほなGoogleの社長を食事会にでも呼びつけてSSLやめろって叱っといたるわ」とか言いだしかねないのが日本の政治
Re: (スコア:0)
なんでもかんでも補助金出すのは止めるべきだ。
Re: (スコア:0)
SSL対応すれば、proxyタイプの広告ブロッカーは機能しなくなるしね。
いいことばっか。
Re: (スコア:0)
中間者攻撃するProxyタイプのブロッカーもあってだな
SSL使ってようがブロックできる
Re: (スコア:0)
CA証明書を手動インストールする前提ならProxyが合法的に中間者攻撃すればいいだけだね
でもChromeって末端で広告ブロックするアドオンいっぱいあるのにProxy(笑)でやる必要あるか?
Re: (スコア:0)
広告ブロック以外のことができるのが大きいな
アドオンだとjavascript+α的なことしかできないけど
やろうと思えば何でもできる
昔は (スコア:1)
昔は Mozilla や Firefox でも警告が出る(それどころか https から http に遷移するだけでも出る)設定だったけど、いつの頃からか出さないのがデフォルト設定になったよね。
ようやくインフラが設計に追いついてきたってことですか。
Re: (スコア:0)
フォーム送信時にhttpsからhttpに遷移する場合は警告が出ますよ
パスワード使いまわし (スコア:1)
それより最近のAmazon騒動を見る限り、パスワード使いまわしに対して警告を出してほしい。
むしろ、Chromeに記憶させること前提で、Webサービス毎にアカウント作成時にランダムなパスワードを生成して勝手に入力する(ユーザーは実際のパスワードを知ることすらできない)くらいの機能があった方が逆にトラブルが減りそう・・・
Re: (スコア:0)
そういえばChromeは今でもマスターパスワードなしにパスワードを管理しているのだろうか
Re: (スコア:0)
https://codereview.chromium.org/34393007 [chromium.org]
3年半前に変わったみたい
社内LANなどの場合 (スコア:0)
この警告って、社内LAN上のサイトとかでも表示されるんだろうか。
まぁ、どのシチュエーションどの form control で表示されるのかってのが
はっきりしないとなんともいえないが・・・。 場合によっては面倒な改修要望されるかもな・・・。
Re: (スコア:0)
つIE11
Re: (スコア:0)
今更IE?
つ Edge
Re: (スコア:0)
社内ならオレオレでいいから入れとけばええやん
Re: (スコア:0)
今度は別の警告が出ると思うのだが。
Re:社内LANなどの場合 (スコア:1)
社内CAを運用してCA証明書をグループポリシーとかで配って
社内サーバは社内CAで署名した証明書を配れよ
これからこの運用をやる奴はサーバ証明書側での X509v3 ServerAltName の記載が
Chrome58以降で必須になってるのに気をつけろよ
Re: (スコア:0)
全くごもっともなんだが、それはオレオレとは言わないと思う。
Re: (スコア:0)
これがオレオレでなければ、何がオレオレなんだろう
Re: (スコア:0)
第三者機関から認証を受けてないような社内CAなんて…
そこから発行される証明書は全部オレオレでしょ。
Re: (スコア:0)
第四種オレオレ証明書だね。
Re: (スコア:0)
>CA証明書をグループポリシーとかで配って
を行っていれば、オレオレの定義である「クライアント側で認証パスを辿れない」を満たさないわけだが。
Re: (スコア:0)
なにそのオレオレ定義
Re: (スコア:0)
弊社の社内システムはVBのふる~~いバージョンで再コンパイルすら出来ない状態なので
証明書は当然sha1なので警告消せません(泣
しょうがないからchromeの起動オプションで無効化したけど、本当バッドノウハウ
Re: (スコア:0)
今どき、社内だからって通信を暗号化しないなんて、ヤバくない?
出口対策で満足なのかしら。