パスワードを忘れた? アカウント作成
16402442 story
Chrome

Google、HTTP接続でのダウンロードをブロックするフラグをChromeでテスト 73

ストーリー by headless
安全 部門より
Google が安全でない (HTTP) ダウンロードをすべてブロックするフラグを Chrome でテストしている (9to5Google の記事Issue 1352598Chromium Gerrit 4126539)。

このフラグ「Block insecure downloads」 (chrome://flags/#block-insecure-downloads) は現在のところ Chrome Canary に実装されており、有効にすると HTTP 接続での直接的なダウンロードおよび安全でないリダイレクトを通じたダウンロードを実行すると「<ファイル名> は安全にダウンロードできません」というメッセージが表示されてダウンロードが中断する。ここで「破棄」をクリックすればダウンロードは中止されるが、メニューから「継続」を選択すればダウンロードを完了できる。

Chrome では混合コンテンツブロックの一環として既に HTTPS ページから実行される HTTP でのダウンロードをブロックしているが、今回のフラグは対象を拡大するものとなる。そのため、いずれは HTTPS 優先モード (HFM) に組み入れていく計画とのことだ。
  • by Anonymous Coward on 2023年01月04日 12時04分 (#4389294)

    HTTPが安全じゃなくてHTTPSが安全ってのは盲信しすぎじゃないかと最近思う。
    証明書の安全性自体は問題視してないが、その上に載っているコンテンツも安全だと誰が決めたんだろうか。
    SSLインスペクションという名のMITMしない限りゲートウェイセキュリティ貫通しちゃうので、むしろ不正改ざんや悪意あるデータ・プログラムに対して脆弱になってるんじゃないかと思ってる。

    ここに返信
    • by Anonymous Coward on 2023年01月04日 12時35分 (#4389302)

      盲信してるわけではなくても安全性向上のためにすでに普及した旧規格・旧方式を放逐するには、そこまでしなければならないのかという感じ
      米国の連続TVドラマで3~4話程度かけて徐々に主人公の病状を悪化させ最後の2話前で病死させて、絶対に次シーズンの製作をできないようにしたのがあって、そこまでやるかと思った
      http/httpsも似たような.....いや、ぜんぜん違うか

      • by Anonymous Coward

        大丈夫、滝壺に落ちて死んだはずのホームズも生還した。
        病死したって謎の武術、じゃない医術で蘇るさ。
        (そんな話はしていない)

        • by Anonymous Coward

          本邦でも、アル中医師の誤診ということで生還した艦長がいましたし。

    • by Anonymous Coward

      誰がHTTPSが安全って言ってた?
      誰と闘ってる?

    • by Anonymous Coward

      非暗号化通信を残す理由が無いだけ

      • by Anonymous Coward on 2023年01月04日 15時46分 (#4389375)

        イントラ内や個人がサイトを公開するコストが上がる。
        無料で証明書取れるサービスもあるけど、
        それに依存しきった社会になるのも良くはない。
        後、特殊な事例でのリスクも上昇する。

        HTTPで起こる問題ってDNSポイゾニングとかもあるにはあるけど実例聞かんし
        接続元のローカルネットが信用できないケースでしかまず起きない印象。
        逆にゲートウェイでの監視が効く分有利ってのはすでに言われているけど、
        ゲートウェイでの監視不能が標準になったら過激な対策がますます正当化される。
        オレオレ証明書をクライアントに入れてゲートウェイで再署名したり
        (オレオレ証明書を入れる問題は元よりゲートウェイでの元証明書の検査が適切か不明になる)
        クライアントにもアンチウィルスと競合したり個人情報保護が適切か怪しい監視システムが導入される。
        組み込み機器も証明書検証しない無意味実装になるか、
        証明書ストア更新用にオンラインアップデートへの接続が必須になり、
        閉鎖ネットでの運用ができなくなってアップデートサーバがマルウェア進入路になるリスクも抱える。
        トラブルシューティングでのパケットキャプチャもできんしね。

        全面的な暗号化は全面的に良い事ばかりではない。

        • MITM方式の監視を肯定する人の意見が通ったことはあんまりないし、この先も通ることはあんまりないと思いますよ。口ぶりから、プライベートIPアドレスで自己署名証明書を使ってるサーバを叩いた経験も直近ではなさそうだし、HSTSに萎えたこともなさそうだし……

        • by Anonymous Coward

          エンド端末、ノードを徹底的に管理、監視する方向でしょ。
          プライバシー保護はタテマエ、閉鎖ネットなんていくら抵抗してもいずれ無くなるよ。

          良い、悪いが理由になるというのは理想主義すぎると思う。

    • by Anonymous Coward

      逆にSSLインスペクションしてあると、DVやらEVやらの安全な接続論争がナニソレみたいな。

      • by Anonymous Coward

        インスペクタにちゃんと証明書検証してもらえ、片手間でできるもんじゃないしOSに任せるといい

    • by Anonymous Coward
      >HTTPが安全じゃなくてHTTPSが安全
      そんなこと言ってるの君だけ
    • by Anonymous Coward

      httpsなら、盲信したらダメだけど、適切に使えば大丈夫なので。

      httpは何をどうやっても適切に使える余地がない。
      …は断言しすぎにしても、LAN内だけで使うという場合でも、スイッチやハブやイーサネットケーブルを全て鍵のかかった空間に封じ込めたLANにするか、VPNで外から入り込めないようにするかぐらいまで対策していないと安心とは言い切れない。

      • by Anonymous Coward on 2023年01月04日 15時52分 (#4389379)

        適切に使っても大丈夫じゃないのがhttpsだよ。
        何をどうあがいてもクライアント側からは「安全っぽく見える(実際はどうか分からない)」以上にはならない

        • by Anonymous Coward

          根本的に存在し得ない安全性を求める話をごちゃごちゃ言っても無駄ですぜ。

    • by Anonymous Coward

      > HTTPSが安全ってのは盲信しすぎ

      これのMitM問題 [framagit.org]もあるしな

  • by Anonymous Coward on 2023年01月04日 12時17分 (#4389298)

    Debianとかaptでなくサイトからdebを落とそうとするとhttpリンクなんですよねぇ
    keyringでの署名確認があるからhttps要らんだろうと頑なにhttpを貫いているので
    この仕様が正式になると益々Debian系からChomeは敬遠されそう

    # まぁ結局はどうなろうとも対応策はあるので事もなしとなりそうだけれども

    ここに返信
    • by Anonymous Coward

      それはDebianではなくサイト側の問題では。
      deb.debian.orgなんかは普通にHTTPSに対応してますよ。
      各種ミラーサーバーもHTTPS対応が進んでますね。JAISTとかもいつの間にかHTTPS使えるようになってましたし。
      Debianインストールして最初にやることはsources.listのHTTPSへの変更です。

    • by Anonymous Coward

      その指摘は的外れですね。

      まず debian もトップページのURLは https://www.debian.org/ [debian.org] でhttpsを使っています。つまり必要なら https を使います。

      今、バイナリ配布がhttpだけなのは ニーズがないからでしょう。バイナリ配布のサーバーには大量にアクセスがあるので、負荷を少しでも下げるためには SSLをオフにするのは当然です。文句があるならSSLのアクセラレータでも買って寄付してあげてください。

      またブラウザがhttpをブロックするのはデフォルトの挙動でしかなくて
      > メニューから「継続」を選択すればダウンロードを完了できる
      とタレコミに書いてあるようにユーザが希望すればダウンロードは継続できます。

  • by Anonymous Coward on 2023年01月04日 12時27分 (#4389299)

    平文コンテンツのダウンロードに限るっぽいけど、平文ページの読み込みも同等程度に危険性では?
    例えばHTMLを改ざんしてダウンロードリンクを攻撃者のHTTPSなマルウェア配布先に変更されたらアウトよね
    ……あー、ページそのものがHTTPSで読み込まれてるかどうかはアドレスバーで確認できるから承知のうえだろってことなのか

    ここに返信
    • by Anonymous Coward

      httpsだろうと改ざんされたサイトは信用できません。
      たんなる接続の保証だよ。つながった先の証明書が正しいですってだけ。

      • by Anonymous Coward

        httpsだと中間者攻撃は防げるのよ。
        httpsを暗号化だけと思ってるやつ大杉。

        • by Anonymous Coward

          #4389303が言ってるのは「発信元のサイト自体が改竄されることを防げるわけではない」なのになんで中間者攻撃の話だと思った?

          • by Anonymous Coward

            そもそも、#4389303 でどこからか唐突に全く無駄な「元ページの改竄」の話が出てきてるのが混乱の元。

            元ページの改竄なんかを防ぐ方法とか、元ページの改竄を検出する方法なんてのはテクノロジーでは解決できない。
            「元ページが元通りかどうかを調べるためのデータ」は改竄されてないか、その改竄を見抜くための元々々データは…、と無限に続く。
            万能の神にでも祈ってろという話にしかならない。

            通信の話は通信の話。HTTPだと、元のサイトの人が十分に頑張ってると期待したとしても、通信経路上でその期待が全く無駄になるかも知れない、という改竄の問題が本題。

            • by Anonymous Coward

              ホワッツ?
              元コメがHTMLを改ざんの話してんだからそこにぶら下げるコメントとしては唐突でも何でもない。

      • by Anonymous Coward

        んーと、言葉足らずだったかな。
        サーバ上にあるオリジナルコンテンツそのものの改ざんではなく、経路上での中間者攻撃による改ざんを前提とした話をしています。HTTPSで保護するのはそこなので。
        改ざんされたサイト云々はオフトピです。

    • by Anonymous Coward

      今回はダウンロードに関してで、最終的にはHTTPS-Onlyモードを標準にしたいんじゃないかな。

  • by Anonymous Coward on 2023年01月04日 12時53分 (#4389309)

    インターネットにアクセスしないChromeなら安全では無いだろうか

    ここに返信
    • by Anonymous Coward

      マジレスするとイントラのコンテンツも改ざんされる可能性がある。

  • by Anonymous Coward on 2023年01月04日 13時07分 (#4389318)

    どんどんセキュリティにうるさくなってるから、10年20年後とかそのうちEV認証なSSLサイト以外はブロックされても不思議じゃないな。

    ここに返信
    • by Anonymous Coward

      いろんなものブロックされると開発環境作るのがめんどくさい

      • by Anonymous Coward

        わかる!
        本番がイントラネット運用向けの開発環境構築がめんどい

        • by Anonymous Coward

          本当にイントラネットなんだったら、もうhttpは使うなってことなんだろうね。

          • by Anonymous Coward

            BMCとかiLOとかのサーバ監視機器はHTTPSだけど、どれもオレオレ証明書だし、考えてるんかしら?

    • by Anonymous Coward

      不思議じゃないも何も近々HTTPS-first modeを標準にすると公言してますがな。

      • by Anonymous Coward

        SSLってだけじゃブロックされても不思議じゃない、身元確かなサーバー以外は消されそうという意味だよ。

    • by Anonymous Coward

      SSL/TLSは必須だけど、EV証明書は逆に強調しない方向に行ってるような
      私的には有効期限がどんどん短くなってきているのが、将来的にどうなるかが気になるかな
      もう更新の自動化は必須というか大体組み込まれているとして、どこまで短くすれば安心できるのだろうか

    • by Anonymous Coward

      2022年にGPTや拡散モデルのせいで自然な文章や画像を作れるようになった。
      だから近い将来には検索にひっかかるゴミサイトが一見してゴミに見えなくカオスになることが予想される。
      そういうゴミ排除に最も有効なのがEV認証必須化かもな・・・

      #個人ドメイン個人サイトみたいなのは消される運命

  • by Anonymous Coward on 2023年01月04日 16時40分 (#4389387)

    古いSSLとか期限切れのcertには絶対接続させない (危険を承知して続行する選択肢がなくなってる) のに
    平文の接続は黙って通すんだよな

    ここに返信
    • by Anonymous Coward

      オレオレ証明書の時に「次回からこのサイトでは確認を表示しない」のチェックボックス付けてくれんかな

    • by Anonymous Coward

      > 古いSSLとか期限切れのcertには絶対接続させない (危険を承知して続行する選択肢がなくなってる)

      Firefox なら
      security.tls.version.enable-deprecated: true
      と設定すれば危険を承知して続行することができますよ。
      他のブラウザは知りませんが。

  • by Anonymous Coward on 2023年01月04日 18時36分 (#4389420)

    ダウンロード時のリンクチェインにひとつでもhttpが入ったらdirtyフラグが付くみたいなもんか。
    確かに脆弱なポイントになりそうではあるな。

    ここに返信
  • あまり詳しくないんだけどSSL3?で脆弱性見つかってやれブラウザの設定から無効にしろとか、
    散々言われてたりSSLのライブラリ?にもバグがあってとかあるのに、
    非SSLのサイトを見ようとすると暗号化されていないだとかケチ付けられるようになって、
    どうしてくだらないクソサイト(自分のホームページとか他の人のポエムサイト)を見るのにもSSLでなきゃダメみたいな風潮になってるの?

    弊社のホームページ作れって言われて作ったけどSSLは問い合わせフォームだけにした
    そしたら自分は電話取ってないんだけど話してる感じから、
    どうやらホームページ作成系の営業電話で暗号化されていないことに関して聞かれてたみたいだった
    弊社は特に更新頻度が多くなきゃ困るようなものでもないし、問い合わせフォームも
    まあ一応作っておくかみたいな感じで付けたわけだけど、
    なんでID登録とか買い物とかそうでないもの含めて全部SSL化にこだわるようになったの?

    #今まで5日仕事始めだったのがいつの間にか世間全体が4日仕事始めに統一された時みたいですごく気持ち悪い
    #いつの間にか世界線を越えてしまったのだろうか?

    ここに返信
    • by Anonymous Coward

      Googleの検索結果からhttpが冷遇されるようになったので
      その手の案件はSEO的な観点からhttpsにしなければなりません

    • by Anonymous Coward

      上の方にもあるけどhttpsは暗号化だけじゃない。DNSに細工されて変なサイトに飛ばされてないという証明にもなる。

    • by Anonymous Coward

      現在の最低ラインはTLS1.2なのでSSLがどうこうというのは的外れ。
      問題起きたら廃止してもっと厳しいの使えってなってるし。
      全部SSL(HTTPS)化になったのは途中でHTTPが挟まるとそこ経由で突破される可能性があるからだね。
      HTTP/HTTPS混在コンテンツ(HTTPメイン)前提ならHTTP側からHTTPS側の情報を取得できるようになってるだろうし。

  • by Anonymous Coward on 2023年01月05日 1時39分 (#4389520)

    メアドでログインするタイプとか、利用規約出るようなタイプどうするの?

    ここに返信
typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...