パスワードを忘れた? アカウント作成
14018529 story
Chrome

Google、Chromeで混合コンテンツを完全にブロックする計画 52

ストーリー by headless
計画 部門より
Googleは3日、Gooogle Chromeで混合コンテンツを完全にブロックする計画を発表した(Chromium Blogの記事VentureBeatの記事Android Policeの記事SlashGearの記事)。

混合コンテンツはHTTPSページのサブリソースがHTTP接続で読み込まれる状況を指し、Chromeを含む現在のブラウザーのほとんどがスクリプトやiframeといった危険性の高い混合コンテンツをブロックする。一方、比較的危険性が低いと考えられる画像や音声、動画については読み込みが許可されるが、偽の画像への差し替えや、トラッキングcookieの挿入といった攻撃を受ける可能性もある。

Chromeでの混合コンテンツ完全ブロック計画は段階的に行われる。まず、12月に安定版がリリースされるChrome 79ではサイト単位で混合コンテンツのブロックを解除可能なオプションが設定に追加され、現在はブロックされているスクリプトやiframeの読み込みを許可できるようになる。

Chrome 80ではHTTPSページで音声と動画のリソースをHTTP接続で読み込むよう指定されている場合、HTTPS接続に自動アップグレードして読み込みを試みる。HTTPSでの読み込みが失敗した場合はデフォルトでブロックされるが、先述のオプションで読み込みを許可することも可能だ。画像の混合コンテンツは引き続き許可されるが、読み込まれた場合はHTTPページと同様に「保護されていない通信」という表示がOmnibox左端に追加される。

Chrome 81では画像の混合コンテンツも自動アップグレードの対象となり、HTTPS接続で読み込めない場合はデフォルトでブロックされるとのこと。Chrome 81は2020年3月に安定版リリース予定となっている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年10月06日 18時42分 (#3697156)

    現状ミクスドコンテンツなんて
    技術力のない一般であって
    悪用としてあるわけじゃない

    むしろハックされて
    差し込まれてる部分だけHTTPS
    みたいな笑えないことも

    改善して無くなったほうが良いのは確かだけど
    お題目としての相手はとっくに外部呼び込みもHTTPSしてる

    受動的コンテンツのHTTPS強制も無意味だし

    # 証明書をちゃんと確認する一般人なんかいねぇよみたいな

    • by Anonymous Coward

      ほんとそれな。
      わざわざミックス化して抵抗意思表示したいって奴も出てくるんじゃね。
      それ自体が重大なセキュリティリスク作ってるのでない限り、
      ブラウザごときがそんな個々の実装方針に口出す資格はねぇよ。

      一時のIEよりも明白に邪悪だ。

      • by Anonymous Coward on 2019年10月07日 3時53分 (#3697288)

        なんかな。
        現状のIE11でさえかなり以前から混合コンテンツって既定で動作しないようになってるんだぜ。
        今更イメージ等を許す必然はもうないだろ。
        そもそも出所不明なリソースを読み込めるってのは重大なセキュリティリスクと化してるだろ。
        悪意あるサイトをhttps化するのは簡単だが、そもそもの脅威は通信中のリソースの差し替えへの対策なんだから悪意あるサイトがhttps化されようがどうでもいい。

        しかし動画はブロックしないのか。中途半端な。

        親コメント
        • by Anonymous Coward

          どうでもいいHTTPな外部サイトの画像を参照するたびに自前にキャッシュしたり
          リンク化して別タブで開いたりってーのもアホらしいっていうか危ないと思うがな。
          HTTPで通信内容がすり替えられて別の画像が表示される程度のリスクより、
          悪意があるかもしれない任意コンテンツをキャッシュして自前のサーバで配信しちゃったり、
          画像っぽいURLで画像じゃないコンテンツにリンクを張ってしまう方が怖い。
          素直に外部画像として読み込んで変なの来たら破損画像扱いする方が遥かに安全じゃない?
          画像として読んでも問題があるエクスプロイトとかはミックス以前にHTTP全部塞がにゃ無意味だし。

          • by Anonymous Coward

            素直に外部画像として読み込んで変なの来たら破損画像扱いする方が遥かに安全じゃない?

            何をもって変なのと判断するんだろう?

            そもそもすり替えられたら困るリソースの配信は端からhttpsで行うべきで、

            うん、だからhttpsにするんだよ。

            「どうせてめぇらには無理だから死ね」?「雑兵の体力なんて知らねぇよボケ」?

            無理なら死ね。迷惑だ。

            • by Anonymous Coward

              > 何をもって変なのと判断する
              画像として読めない以外に現時点で破損画像扱いされるレスポンスがあるのか?
              HTTPサイトの画像を参照させるに当たり、
              imgタグで読ませればhtml帰ってきても無視されて終わりだが、
              リンクで直に開かせたらhtml帰ってきてスクリプト実行されて、
              場合によってはCSRFされてと面倒事が増えるだろうがバカめ。

              > うん、だからhttpsにするんだよ。
              君、人の話を聞かないってよく言われるだろ。
              差し替えられても困らない、第三者のサーバの画像とかの話だぞ?
              差し替えられて困るようなリソースはhttps採用する段階でht

      • by Anonymous Coward

        邪悪だと言うのは簡単だし、実際そういう側面はあるだろうけど、現実的に「邪悪じゃない」ビジネスモデルでシェアが取れるかというと疑問だし、シェアが取れなきゃ(Webサービス提供者や開発者に)相手にされないしなぁ。

        • by Anonymous Coward

          邪悪なM$(笑)全盛期には誰もそんなこと言ってなかったけどね

          • by Anonymous Coward

            邪悪なM$(笑)全盛期には誰もそんなこと言ってなかったけどね

            Linuxがとって変わるって騒いでた人は一定数いたよ。

            コンシューマーOSという分野では、どうなんだろうね。
            AndroidをLinuxの一種とみなせば、ある意味、それなりに成功している。その結果がChromeの邪悪化っていう様だけど。
            デスクトップOSという意味ではLinuxなんてオワコン以前にはじまってすらいないままだな。

        • by Anonymous Coward

          これに関しちゃシェアって意味ではマイナスで、
          シェア取ってるからこそWebのルールを私物化できる類の話だろう。

          IEの場合、私物化なのか囲い込みなのかただの不具合なのか判別しかねるが…

    • by Anonymous Coward

      HTTP3やらQUICやらを推していく前仕込みか何かかね

    • by Anonymous Coward

      「お題目としての相手」って誰? 想定してる悪用ケースが違わない?

    • by Anonymous Coward

      > ミクスド

      # 今朝のシンカリオンの再放送でアドバンスドモードがお披露目

    • by Anonymous Coward

      えー、iframeでst-hatenaとか読み込まれるたびにCPUがガンガン走り出して、熱い空気が排気口から噴き出すんだよ。
      もうやめてほしいわ。

      • by Anonymous Coward

        えー、iframeでst-hatenaとか読み込まれるたびにCPUがガンガン走り出して、熱い空気が排気口から噴き出すんだよ。

        HTTPSで読み込まれてるものは今後もスルーなわけだが

      • by Anonymous Coward

        そういうのは拡張機能「uMatrix」等を入れて、same-origin以外のiframeをブロックするといいよ

        • by Anonymous Coward

          Manifest v3で独自のブロックポリシーを持つ拡張機能は終了のお知らせでしょ?

  • by Anonymous Coward on 2019年10月06日 18時54分 (#3697160)

    将来画像の混合コンテンツまでブロックとなると、
    wikiみたいな利用者が任意の画像URLを登録できるサイトではすごい面倒なことになりそう

    • by Anonymous Coward

      無関係のドメインの画像を直接インライン表示出来るwikiサービスってあんまなくね。

      • by Anonymous Coward

        世の中にはPukiwikiというものがありましてね・・・

    • by Anonymous Coward

      将来画像の混合コンテンツまでブロックとなると、
      wikiみたいな利用者が任意の画像URLを登録できるサイトではすごい面倒なことになりそう

      実装側で置き換え強制すればいいだけでは?

    • by Anonymous Coward

      そうでなくても、通販サイトとかで、Webサイト(HTMLの出力)は自前ドメイン、商品画像とかはaws等で管理してリンク埋め込み、みたいな実装はちらほら見かけるけど、そういう実装が死ぬね。

      • by Anonymous Coward on 2019年10月07日 4時06分 (#3697291)

        何故死ぬんだ?
        aws等へのリンクがhttpsになってれば何の問題もないだろ。
        とんちんかんにもほどがあるぞ。

        親コメント
      • by Anonymous Coward

        ドメイン丸ごと同じにすればいいじゃん、20年前じゃあるまいし、画像や重いファイルだけ別ドメインにする理由ないでしょ。時代遅れだよ。

        • by Anonymous Coward

          20年前じゃあるまいし、画像や重いファイルだけ別ドメインにする理由ないでしょ。

          固定IPじゃないクラウドリソースにDNSの設定するの面倒じゃん。
          自前のロードバランサーとか使うとその分、金がかかるわけで、だったらクラウド側で勝手に使えるドメイン名をそのまま使う方が合理的。

        • by Anonymous Coward

          画像が別ドメインになった理由って、その1つはブラウザ側が紳士協定でコネクション2つぐらいしか貼れないからじゃなかったっけ。
          今は時代遅れな感じ?

          Quicにすればそんな配慮せず1ドメインでいいんだろうけど…手段のための目的という感じがする。

      • by Anonymous Coward

        Chromeが禁止したいのはhttpsのページにhttpのリソースを使われる事だけじゃね?

    • by Anonymous Coward

      そもそもどんな URL でも登録できる WiKi は少ない。(javascript: とか file: とかで悪戯されるので)。

      利用者の安全のため、本来なら、WiKi は数年前に http:/// [http] で始まる URL を登録できなくするべきだった。

  • by Anonymous Coward on 2019年10月06日 20時36分 (#3697179)

    混合コンテンツの完全ブロックはセンスの無い施策としか言いようがない。
    混合コンテンツの場合には、httpと同じで、南京錠を表示しなければ良いだけ。

    現状でもGoogle Chromeは https://srad.jp/ [srad.jp] にアクセスしても、アドレスバーには 「srad.jp」としか表示されず(「https://」は省略される)、http なのか https なのかはクリックしないと分からないようになっている。
    そのため、混合コンテンツの場合に、アドレスバーに「https://」があるから画像等も改竄されていないはずだといった誤解を招く心配もない。
    基本的に普通のhttpと同じ表示にして、アドレスバーをクリックした場合に、画像が改竄されている恐れがある旨の警告を出せば良いだろう。

    そもそも、混合コンテンツが生じる理由は、管理者が違う画像を表示したい場合などやむを得ない場合があるケースがあり、混合コンテンツになることを防ぐためにサイト全体を https から http に戻さなければならなくなったらかえって安全性が低下する。

    • by Anonymous Coward

      いずれhttpを禁止するんじゃね?

      • by Anonymous Coward on 2019年10月06日 23時03分 (#3697233)

        たとえば阿部寛のサイトがhttpsである必要はないと思う

        親コメント
        • by Anonymous Coward on 2019年10月07日 16時14分 (#3697508)

          阿部寛のサイトは機密性の高い情報を扱う訳ではないので、httpsである必要はないというのはその通り。
          一方、有名人のサイトは中間者攻撃により「こちらから寄付をお願いします」等と攻撃者のサイトに誘導してお金を振り込ませたり、クリプトジャッキングで閲覧者に無断で暗号通貨を採掘させる手口も有効と考えられるので、https化すべきというのもその通り。
          ただ、https化すると証明書の更新やプロトコルの危殆化に伴う対応など、維持管理の手間が増える。一部の環境ではアクセスできなくなるだろう。コストやリスクが割に合うかどうかは疑問。

          親コメント
        • by Anonymous Coward

          でも、今となってはLetsEncryptで誰でも無料で簡単にhttps化できるわけだから、
          httpで放置しとく必要もないと思うけどね。
          ウェブディベロッパーとして無能扱いされかねない。

          • by Anonymous Coward

            阿部寛のサイト管理者って、ファンサイトを公式に昇格させてるし、Web開発者にはその高速性が話題になるし、
            無能扱いする奴はいなんじゃないかな。

            もしhttps化してレスポンスが1%悪化したら、それを検知して無能呼ばわりしてくる奴はいるかもしれんけど。

          • by Anonymous Coward

            誰でも簡単httpsの先には、普通に偽サイト/詐欺サイトも https化するだけの話で、ほんと意味あるのかな?と思ってしまう

            • by Anonymous Coward

              今すでにもう「httpsだから本物」という認識はまずいと思うよ。
              ちゃんとドメインを確認しろ、というのは今も昔も変わらない。
              鍵あるなしを確認するならドメインまで確認してほしい。

              今の風潮におけるhttpsの目的は通信経路の暗号化が最大の目的になってる感じだし。
              EVもその価値が大幅に低下した。

        • by Anonymous Coward

          偽サイトが作られてユーザーがその情報に騙される可能性があることを鑑みたらHTTPS化すべき
          HTTP/2やHTTP/3による速度向上も見込める

          • by Anonymous Coward

            HTTPSにしたところで偽サイトが作られること(フィッシングサイト)は防げない。
            HTTPSで防げるのは通信経路途中のコンテンツ改竄や盗聴だけ。
            // この手の間違いよくあるけど、どこ由来なんだろうか

            • by Anonymous Coward

              じゃあEVSSL証明書ってなんのためにあるの?

              • by Anonymous Coward

                SSL業者が客によって値段を変えるだけのためにあるよ。

              • by Anonymous Coward

                極論すれば無意味。だからEVSSL証明書不要論まである。
                でも証明書を売ってるセキュリティ企業は(それが飯のタネなので)口が裂けてもそんな提言できない。

    • by Anonymous Coward

      実効性なんてどうでもいいんですよ。自分たちがセキュリティに気を使っている会社で、自分たちのプロダクトがセキュアだと素人に信じこませることができればいいんです。

    • by Anonymous Coward

      正にその通り。ただ、Googleの天才様たちがそうした正論を認識していないはずがなく、確信犯な気がするのだが、どうだろうか。

      A. 社内に暗号化接続推進派の急先鋒がいる
      B. 画像改竄などによる被害が多数出ている
      C. 暗号化接続を禁止、検閲する国への牽制
      D. 次世代プロトコルで優位に立つための仕込み
      E. 混在コンテンツな競合他社サービスを潰すため

      • by Anonymous Coward

        確信犯警察です
        この用途であれば確信犯ではなく故意犯を使うべきです

    • by Anonymous Coward

      >比較的危険性が低いと考えられる画像や音声、動画
      これを前提としたいがために、おかしな事になってると思う。

    • by Anonymous Coward

      今のセキュリティの時流なら

      Not Secure表示でhttpだけとか、混在が出ることについても、それなりに理解されると思う。

      # コンテンツの必要性からくる安全性というよりは、情報流通としての信頼できるEnd到達性の問題が重要かなあ
      # == httpとかで偽が検証できないこと、くらいの意味で

    • by Anonymous Coward

      現状でもGoogle Chromeは https://srad.jp/ [srad.jp] [srad.jp] にアクセスしても、アドレスバーには 「srad.jp」としか表示されず(「https://」は省略される)、http なのか https なのかはクリックしないと分からないようになっている。

      え?httpの時は「保護されていない通信」って出るでしょ?クリックしたらhttpだったなんてことある?

      • by Anonymous Coward

        「保護されていない通信」は、http か https かを識別するためのものではなく、http でなくても証明書や暗号強度などに問題のある https でも出る。
        無論、http ならば必ず「保護されていない通信」になるけどね。

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...