Google、HTTP接続でのダウンロードをブロックするフラグをChromeでテスト 73
ストーリー by headless
安全 部門より
安全 部門より
Google が安全でない (HTTP) ダウンロードをすべてブロックするフラグを Chrome でテストしている
(9to5Google の記事、
Issue 1352598、
Chromium Gerrit 4126539)。
このフラグ「Block insecure downloads」 (chrome://flags/#block-insecure-downloads) は現在のところ Chrome Canary に実装されており、有効にすると HTTP 接続での直接的なダウンロードおよび安全でないリダイレクトを通じたダウンロードを実行すると「<ファイル名> は安全にダウンロードできません」というメッセージが表示されてダウンロードが中断する。ここで「破棄」をクリックすればダウンロードは中止されるが、メニューから「継続」を選択すればダウンロードを完了できる。
Chrome では混合コンテンツブロックの一環として既に HTTPS ページから実行される HTTP でのダウンロードをブロックしているが、今回のフラグは対象を拡大するものとなる。そのため、いずれは HTTPS 優先モード (HFM) に組み入れていく計画とのことだ。
このフラグ「Block insecure downloads」 (chrome://flags/#block-insecure-downloads) は現在のところ Chrome Canary に実装されており、有効にすると HTTP 接続での直接的なダウンロードおよび安全でないリダイレクトを通じたダウンロードを実行すると「<ファイル名> は安全にダウンロードできません」というメッセージが表示されてダウンロードが中断する。ここで「破棄」をクリックすればダウンロードは中止されるが、メニューから「継続」を選択すればダウンロードを完了できる。
Chrome では混合コンテンツブロックの一環として既に HTTPS ページから実行される HTTP でのダウンロードをブロックしているが、今回のフラグは対象を拡大するものとなる。そのため、いずれは HTTPS 優先モード (HFM) に組み入れていく計画とのことだ。
HTTPSを盲信しすぎじゃね? (スコア:0)
HTTPが安全じゃなくてHTTPSが安全ってのは盲信しすぎじゃないかと最近思う。
証明書の安全性自体は問題視してないが、その上に載っているコンテンツも安全だと誰が決めたんだろうか。
SSLインスペクションという名のMITMしない限りゲートウェイセキュリティ貫通しちゃうので、むしろ不正改ざんや悪意あるデータ・プログラムに対して脆弱になってるんじゃないかと思ってる。
Re:HTTPSを盲信しすぎじゃね? (スコア:1)
盲信してるわけではなくても安全性向上のためにすでに普及した旧規格・旧方式を放逐するには、そこまでしなければならないのかという感じ
米国の連続TVドラマで3~4話程度かけて徐々に主人公の病状を悪化させ最後の2話前で病死させて、絶対に次シーズンの製作をできないようにしたのがあって、そこまでやるかと思った
http/httpsも似たような.....いや、ぜんぜん違うか
Re: (スコア:0)
大丈夫、滝壺に落ちて死んだはずのホームズも生還した。
病死したって謎の武術、じゃない医術で蘇るさ。
(そんな話はしていない)
Re: (スコア:0)
本邦でも、アル中医師の誤診ということで生還した艦長がいましたし。
Re: (スコア:0)
誰がHTTPSが安全って言ってた?
誰と闘ってる?
Re:HTTPSを盲信しすぎじゃね? (スコア:1)
いちいち反応したお前と戦っているのだ!
Re: (スコア:0)
非暗号化通信を残す理由が無いだけ
Re:HTTPSを盲信しすぎじゃね? (スコア:2, すばらしい洞察)
イントラ内や個人がサイトを公開するコストが上がる。
無料で証明書取れるサービスもあるけど、
それに依存しきった社会になるのも良くはない。
後、特殊な事例でのリスクも上昇する。
HTTPで起こる問題ってDNSポイゾニングとかもあるにはあるけど実例聞かんし
接続元のローカルネットが信用できないケースでしかまず起きない印象。
逆にゲートウェイでの監視が効く分有利ってのはすでに言われているけど、
ゲートウェイでの監視不能が標準になったら過激な対策がますます正当化される。
オレオレ証明書をクライアントに入れてゲートウェイで再署名したり
(オレオレ証明書を入れる問題は元よりゲートウェイでの元証明書の検査が適切か不明になる)
クライアントにもアンチウィルスと競合したり個人情報保護が適切か怪しい監視システムが導入される。
組み込み機器も証明書検証しない無意味実装になるか、
証明書ストア更新用にオンラインアップデートへの接続が必須になり、
閉鎖ネットでの運用ができなくなってアップデートサーバがマルウェア進入路になるリスクも抱える。
トラブルシューティングでのパケットキャプチャもできんしね。
全面的な暗号化は全面的に良い事ばかりではない。
Re:HTTPSを盲信しすぎじゃね? (スコア:2)
MITM方式の監視を肯定する人の意見が通ったことはあんまりないし、この先も通ることはあんまりないと思いますよ。口ぶりから、プライベートIPアドレスで自己署名証明書を使ってるサーバを叩いた経験も直近ではなさそうだし、HSTSに萎えたこともなさそうだし……
Re: (スコア:0)
エンド端末、ノードを徹底的に管理、監視する方向でしょ。
プライバシー保護はタテマエ、閉鎖ネットなんていくら抵抗してもいずれ無くなるよ。
良い、悪いが理由になるというのは理想主義すぎると思う。
Re: (スコア:0)
逆にSSLインスペクションしてあると、DVやらEVやらの安全な接続論争がナニソレみたいな。
Re: (スコア:0)
インスペクタにちゃんと証明書検証してもらえ、片手間でできるもんじゃないしOSに任せるといい
Re: (スコア:0)
そんなこと言ってるの君だけ
Re: (スコア:0)
httpsなら、盲信したらダメだけど、適切に使えば大丈夫なので。
httpは何をどうやっても適切に使える余地がない。
…は断言しすぎにしても、LAN内だけで使うという場合でも、スイッチやハブやイーサネットケーブルを全て鍵のかかった空間に封じ込めたLANにするか、VPNで外から入り込めないようにするかぐらいまで対策していないと安心とは言い切れない。
Re:HTTPSを盲信しすぎじゃね? (スコア:1)
適切に使っても大丈夫じゃないのがhttpsだよ。
何をどうあがいてもクライアント側からは「安全っぽく見える(実際はどうか分からない)」以上にはならない
Re: (スコア:0)
根本的に存在し得ない安全性を求める話をごちゃごちゃ言っても無駄ですぜ。
Re: (スコア:0)
> HTTPSが安全ってのは盲信しすぎ
これのMitM問題 [framagit.org]もあるしな
撤回が先かでdeb系のサイトリンク修正が先か (スコア:0)
Debianとかaptでなくサイトからdebを落とそうとするとhttpリンクなんですよねぇ
keyringでの署名確認があるからhttps要らんだろうと頑なにhttpを貫いているので
この仕様が正式になると益々Debian系からChomeは敬遠されそう
# まぁ結局はどうなろうとも対応策はあるので事もなしとなりそうだけれども
Re: (スコア:0)
それはDebianではなくサイト側の問題では。
deb.debian.orgなんかは普通にHTTPSに対応してますよ。
各種ミラーサーバーもHTTPS対応が進んでますね。JAISTとかもいつの間にかHTTPS使えるようになってましたし。
Debianインストールして最初にやることはsources.listのHTTPSへの変更です。
Re: (スコア:0)
deb.debian.orgなんかは普通にHTTPSに対応してますよ。
それはapt用
サイト用のpackages.debian.orgからのリンクは未だにftpやhttp
https://packages.debian.org/ja/bullseye/amd64/apache2/download [debian.org]
Re: (スコア:0)
その指摘は的外れですね。
まず debian もトップページのURLは https://www.debian.org/ [debian.org] でhttpsを使っています。つまり必要なら https を使います。
今、バイナリ配布がhttpだけなのは ニーズがないからでしょう。バイナリ配布のサーバーには大量にアクセスがあるので、負荷を少しでも下げるためには SSLをオフにするのは当然です。文句があるならSSLのアクセラレータでも買って寄付してあげてください。
またブラウザがhttpをブロックするのはデフォルトの挙動でしかなくて
> メニューから「継続」を選択すればダウンロードを完了できる
とタレコミに書いてあるようにユーザが希望すればダウンロードは継続できます。
Re: (スコア:0)
その指摘は的外れですね。
サイトからdebを落とそうとするとhttpリンクなんですよねぇ
ex
https://packages.debian.org/ja/bullseye/amd64/apache2/download [debian.org]
ダウンロードに限る意味はあるのか? (スコア:0)
平文コンテンツのダウンロードに限るっぽいけど、平文ページの読み込みも同等程度に危険性では?
例えばHTMLを改ざんしてダウンロードリンクを攻撃者のHTTPSなマルウェア配布先に変更されたらアウトよね
……あー、ページそのものがHTTPSで読み込まれてるかどうかはアドレスバーで確認できるから承知のうえだろってことなのか
Re: (スコア:0)
httpsだろうと改ざんされたサイトは信用できません。
たんなる接続の保証だよ。つながった先の証明書が正しいですってだけ。
Re: (スコア:0)
httpsだと中間者攻撃は防げるのよ。
httpsを暗号化だけと思ってるやつ大杉。
Re: (スコア:0)
#4389303が言ってるのは「発信元のサイト自体が改竄されることを防げるわけではない」なのになんで中間者攻撃の話だと思った?
Re: (スコア:0)
そもそも、#4389303 でどこからか唐突に全く無駄な「元ページの改竄」の話が出てきてるのが混乱の元。
元ページの改竄なんかを防ぐ方法とか、元ページの改竄を検出する方法なんてのはテクノロジーでは解決できない。
「元ページが元通りかどうかを調べるためのデータ」は改竄されてないか、その改竄を見抜くための元々々データは…、と無限に続く。
万能の神にでも祈ってろという話にしかならない。
通信の話は通信の話。HTTPだと、元のサイトの人が十分に頑張ってると期待したとしても、通信経路上でその期待が全く無駄になるかも知れない、という改竄の問題が本題。
Re: (スコア:0)
ホワッツ?
元コメがHTMLを改ざんの話してんだからそこにぶら下げるコメントとしては唐突でも何でもない。
Re: (スコア:0)
んーと、言葉足らずだったかな。
サーバ上にあるオリジナルコンテンツそのものの改ざんではなく、経路上での中間者攻撃による改ざんを前提とした話をしています。HTTPSで保護するのはそこなので。
改ざんされたサイト云々はオフトピです。
Re: (スコア:0)
今回はダウンロードに関してで、最終的にはHTTPS-Onlyモードを標準にしたいんじゃないかな。
ひらめいたぞ (スコア:0)
インターネットにアクセスしないChromeなら安全では無いだろうか
Re: (スコア:0)
マジレスするとイントラのコンテンツも改ざんされる可能性がある。
そのうちに (スコア:0)
どんどんセキュリティにうるさくなってるから、10年20年後とかそのうちEV認証なSSLサイト以外はブロックされても不思議じゃないな。
Re: (スコア:0)
いろんなものブロックされると開発環境作るのがめんどくさい
Re: (スコア:0)
わかる!
本番がイントラネット運用向けの開発環境構築がめんどい
Re: (スコア:0)
本当にイントラネットなんだったら、もうhttpは使うなってことなんだろうね。
Re: (スコア:0)
BMCとかiLOとかのサーバ監視機器はHTTPSだけど、どれもオレオレ証明書だし、考えてるんかしら?
Re: (スコア:0)
不思議じゃないも何も近々HTTPS-first modeを標準にすると公言してますがな。
Re: (スコア:0)
SSLってだけじゃブロックされても不思議じゃない、身元確かなサーバー以外は消されそうという意味だよ。
Re: (スコア:0)
SSL/TLSは必須だけど、EV証明書は逆に強調しない方向に行ってるような
私的には有効期限がどんどん短くなってきているのが、将来的にどうなるかが気になるかな
もう更新の自動化は必須というか大体組み込まれているとして、どこまで短くすれば安心できるのだろうか
Re: (スコア:0)
2022年にGPTや拡散モデルのせいで自然な文章や画像を作れるようになった。
だから近い将来には検索にひっかかるゴミサイトが一見してゴミに見えなくカオスになることが予想される。
そういうゴミ排除に最も有効なのがEV認証必須化かもな・・・
#個人ドメイン個人サイトみたいなのは消される運命
最近のブラウザって (スコア:0)
古いSSLとか期限切れのcertには絶対接続させない (危険を承知して続行する選択肢がなくなってる) のに
平文の接続は黙って通すんだよな
Re: (スコア:0)
オレオレ証明書の時に「次回からこのサイトでは確認を表示しない」のチェックボックス付けてくれんかな
Re: (スコア:0)
> 古いSSLとか期限切れのcertには絶対接続させない (危険を承知して続行する選択肢がなくなってる)
Firefox なら
security.tls.version.enable-deprecated: true
と設定すれば危険を承知して続行することができますよ。
他のブラウザは知りませんが。
最初は微妙な気がしたけど (スコア:0)
ダウンロード時のリンクチェインにひとつでもhttpが入ったらdirtyフラグが付くみたいなもんか。
確かに脆弱なポイントになりそうではあるな。
前から不思議だったんだがなぜ世の中はSSLに移行したの? (スコア:0)
あまり詳しくないんだけどSSL3?で脆弱性見つかってやれブラウザの設定から無効にしろとか、
散々言われてたりSSLのライブラリ?にもバグがあってとかあるのに、
非SSLのサイトを見ようとすると暗号化されていないだとかケチ付けられるようになって、
どうしてくだらないクソサイト(自分のホームページとか他の人のポエムサイト)を見るのにもSSLでなきゃダメみたいな風潮になってるの?
弊社のホームページ作れって言われて作ったけどSSLは問い合わせフォームだけにした
そしたら自分は電話取ってないんだけど話してる感じから、
どうやらホームページ作成系の営業電話で暗号化されていないことに関して聞かれてたみたいだった
弊社は特に更新頻度が多くなきゃ困るようなものでもないし、問い合わせフォームも
まあ一応作っておくかみたいな感じで付けたわけだけど、
なんでID登録とか買い物とかそうでないもの含めて全部SSL化にこだわるようになったの?
#今まで5日仕事始めだったのがいつの間にか世間全体が4日仕事始めに統一された時みたいですごく気持ち悪い
#いつの間にか世界線を越えてしまったのだろうか?
Re: (スコア:0)
Googleの検索結果からhttpが冷遇されるようになったので
その手の案件はSEO的な観点からhttpsにしなければなりません
Re: (スコア:0)
上の方にもあるけどhttpsは暗号化だけじゃない。DNSに細工されて変なサイトに飛ばされてないという証明にもなる。
Re: (スコア:0)
現在の最低ラインはTLS1.2なのでSSLがどうこうというのは的外れ。
問題起きたら廃止してもっと厳しいの使えってなってるし。
全部SSL(HTTPS)化になったのは途中でHTTPが挟まるとそこ経由で突破される可能性があるからだね。
HTTP/HTTPS混在コンテンツ(HTTPメイン)前提ならHTTP側からHTTPS側の情報を取得できるようになってるだろうし。
認証必要とするFree Wi-Fi AP死亡? (スコア:0)
メアドでログインするタイプとか、利用規約出るようなタイプどうするの?