GoogleがHTTP接続時に「安全でない」と明示することを提案 73
ストーリー by hylom
HTTPSが基本の世界に? 部門より
HTTPSが基本の世界に? 部門より
現在、多くのWebブラウザではHTTPSでの接続時にその旨をアドレスバーなどに通知する仕組みが採用されているが、Googleがこれに対しHTTPでの接続時には「安全でない」と表示し、HTTPSでの接続時にはなにも表示させない、という形への変更を提案しているという(ITmedia)。
HTTPではセキュリティ的な対策が行われていない、ということを周知させることを目的としているそうで、Googleは「Web上のデータ通信はすべてセキュアでなければならない」と主張しているという。
行う必要がないって考えもある。 (スコア:2)
> HTTPではセキュリティ的な対策が行われていない
行う必要がないって考えもある。
セキュリティ的な対策を行われていなければいけないときに警告すればいいのでは?
Re:行う必要がないって考えもある。 (スコア:1)
暗号化通信が必要なサイトはすでにやってると思うんだよね。
もちろん、一部に「あるべきところで使われてない」というのはあるだろうけど、そういうサイトを使うかどうかはユーザーが判断すればいいと思う。
スラドのログイン画面もSSLないらしいし。そこに必要かどうかはユーザーが評価すればいい。自分はスラドくらいならいらないと思ってる。
それより、最近ネタにもなったhttpsなのにcookieにsecure属性つけてないとか、SQLインジェクションとかXSSとか、他の脆弱性をなくす努力の方が重要な気がする。
ページ内のすべての要素が正しくhttpsだったら安全と表記されるんだろうけど、悪意のあるホストからhttpsでjavascript読み込んでも安全と出ちゃうよね。Content Security Policyとか他にもやるべきことあるし、httpsは一つの要素でしかない。
スレ主の言うように必要無いサイトもあるし。でも、必要なくても前述したような暗号化以外のセキュリティ対策は必要だし。
# もし本当にGoogleがこれ実装したら、Chromeユーザーは混乱するだろうなぁ。
Re:行う必要がないって考えもある。 (スコア:1)
どこのログインページも SSL つけたらいいのになとは思うわ。
Re: (スコア:0)
Re: (スコア:0)
> SSLを使ったとしても、パスワードの使い回しの問題は軽減されませんよ。
SSLによって、パスワードの使い回しの問題が軽減されるとは書いてないじゃん。
パスワードの使い回しの問題があるから、ログインページはSSLを使ってほしいというだけで。
#ところでいつまでSSLと言い続けるの?
Re: (スコア:0)
ちょっとした会員サイト作って、メールアドレスとパスワードのセットを入手して、
大手のメールサービスにログイン試してみたらそこそこ情報収集できるんじゃないかなーとか思う。
バレにくそうだし。
Re:行う必要がないって考えもある。 (スコア:1)
>ユーザーが判断すればいいと思う。
これが出来るなら現状でも問題にならいのでは?
Re: (スコア:0)
便所の落書きみたいな物とか態々セキュアにしてもねぇ
Re:行う必要がないって考えもある。 (スコア:2)
> 便所の落書きみたいな物とか態々セキュアにしてもねぇ
いいえ。
便所の落書きであっても、クライアントからサーバーに落書きが送信されるときセキュアであるかないかは警告されてよいでしょう。
便所の落書きの送信者が特定されるべきではないときがあるからです。
警告をしてもなお非セキュアを選択して落書きがクライアントからサーバーに送信されるのは本人の自由です。
Re: (スコア:0)
んなもん、自己責任だろ
過保護にしすぎ
Re:行う必要がないって考えもある。 (スコア:2)
> んなもん、自己責任だろ
> 過保護にしすぎ
便所の落書きは便所がセキュアだから存在するかもしれない。
Re:行う必要がないって考えもある。 (スコア:1)
Re:行う必要がないって考えもある。 (スコア:1)
便所の落書きをしたつもりが、中間者攻撃で児ポを投稿したことにされたら怖いだろ
Re: (スコア:0)
お前の便所、公開されてるの?
Re: (スコア:0)
ここでいう便所の落書きとは、たとえば#2730229のコメントみたいなデータのことを言っているわけで、それは確かに公開されている様子。
Re:行う必要がないって考えもある。 (スコア:2)
> 便所の落書きって後から入ってきた人に見せるために書くのでは?
だから「行う必要がないって考えもある。」って書いたのです。
便所の落書きをみるためにはセキュアである必要がないと思うので、そこで警告を出す必要はないんじゃないかと。
けど、便所の落書きを書くときにはセキュアであることを求める人もいるので警告を出す必要が出てくるのはわかる。
と。
Re: (スコア:0)
落書きしようとしているのが本当に便所なのかを確認するためじゃないかい?
GoogleがHTTPS接続時に「安全である」と表示しないことを提案 (スコア:2)
...と書き換えてみたくなった。
Re: (スコア:0)
そっちの方が正しいよね。
HTTPSだからといって安全とは限らない。
むしろ危険になる (スコア:2)
オレオレSSLサイトが増え,
正しく管理されない証明書がばらまかれ
むしろ危険になると思う
※流すデータはセキュアにしてはいけない (スコア:0)
https://support.google.com/mail/answer/6590?hl=ja [google.com]
>パスワードで保護された zip ファイルを含む zip ファイルを送信することはできません。
>すべてのファイルを展開するか、可能であればパスワード保護を解除してください。
Re:※流すデータはセキュアにしてはいけない (スコア:1)
>パスワードで保護された zip ファイルを含む zip ファイル
そもそもZIPの中にZIPがあるという状態がよく分からないのですが,
その中のZIPにパスがかかってたら,一体何が問題なんでしょうか.
というか,そんなものを判別するってことは,googleさんはユーザのメールに添付されたZIPファイルをいちいち展開してるってこと?
残念ながら私には意味がわかりません.
Re: (スコア:0)
この種のnested zipはzip bombはじめ色々と攻撃に使われ続けてきた歴史があるから弾いてるんでしょ。
Re: (スコア:0)
懐かしいですね
昔試しに
全角空白で埋め尽くした1GBのTXTファイルを圧縮し
複数束ねてさらに固めたファイルをつくってみましたが
余裕でメール添付できるサイズでした
Googleが中身検閲したがっているのなら
この手の攻撃は脅威でしょうね
Re: (スコア:0)
それはちょっと想像力が足りないと思われ。
リンク先は添付ファイルの拡張子制限に関する内容なのだから、
当然その制限も拡張子制限に関するものだと推測できる。
単にzip圧縮しただけなら、格納ファイルのファイル名が確認できる。
パスワードが付いていても、ファイル名だけなら確認できる。
でも、「パスワード付きzipファイル」の、更に中にある
zipファイル中のファイル名は分からない。
だから禁止していると考えられる。
不自然ではない。
そこまでするのはお節介じゃないかとも思うけれど、
それを言ったら拡張子制限自体がお節介な気もする。
Re: (スコア:0)
ひでぇなw
Re: (スコア:0)
拡張子を変えればええんやで
Re: (スコア:0)
単にパスワードで保護された zip ファイルは OK なんだよね?
Re: (スコア:0)
googleの中の人には再帰処理を書けない人がいるってことか・・・
Re: (スコア:0)
一通のメールに割けるリソースは有限なんですよ。解ってくださいよ。
Re: (スコア:0)
この手の処理に再帰なんてやったらグーで殴る
ネットにプライバシーはない! (スコア:0)
byGoogle
どんだけやねん。
Re: (スコア:0)
安全ではないことを示すアイコンを「NSAが見てます」な雰囲気にしてみるとか
Re:ネットにプライバシーはない! (スコア:1)
"La vierge Marie vous regarde"
と脳内変換することで心の平穏を得られるかもしれない。
// ごきげんよう!
まあ確かに (スコア:0)
怪しい証明書のhttpsではしつこいくらいの警告を出したりするのに
httpでは大したことしない、というブラウザはポリシーがよく分からない。
Re:まあ確かに (スコア:1)
ですね。HTTPSだけですと、HSTSを使っても初回訪問時にHTTPで中間者攻撃ができてしまいます。
それを防ぐ方法として下のようなPreloaded HSTSへ登録するという手法がありますが、
あまり普及していませんし、スケールしないので普及できるものでもないです。
この問題を防ぐには、HTTPに警告を出すしか無いでしょう。
cybozu.com を真に常時 SSL にする話
http://developer.cybozu.co.jp/tech/?p=6096 [cybozu.co.jp]
Re: (スコア:0)
異常なものに警告を出して
正常なものには警告を出さないのは
至って普通ではいかと
Re: (スコア:0)
いや別にそこは問題にすべきところじゃないと思う。
httpsだと、普通は「暗号化」に加え「正しいホストだと確認」することを期待してる。
怪しい証明書の場合、httpsだから一見安全そうだけどホストが本物かどうかわからないから警告する。
httpは何も気にしないモードだから警告もクソもない。
たぶん、証明書まで検証するかどうかで分けられればいいんだろうなぁ。httpssで検証付きみたいな。
検証モードで、証明書まで検証してダメなら警告出せばいいし。
とりあえず暗号化されてればいいか、ってサイトもあるし(某掲示板とか)、そこは証明書検証なしでいいし。
httpss 証明書検証付き暗号化
https 暗号化のみ
http なにもなし
みたいになれば。
Re:まあ確かに (スコア:1)
もっと信頼チェーンや中間者攻撃を勉強しましょう。# 検証なしで暗号化は全く無意味
Re: (スコア:0)
Re:まあ確かに (スコア:1)
全く無意味です。
鍵交換を安全にできないなら暗号化する意味がない。
オオカミ少年 (スコア:0)
いつも安全でない安全でないと言われ続ければ結局なれてしまって無視するようになりますよね。暗号化してあることとか証明書があることとかと中身が安全とは別問題なんではないでしょうか。すべての通信をHTTPSにしたいのなら、まずはgoogleが誰でも証明書が取得できるように無料で認証局を解放してはどうでしょう。
Re: (スコア:0)
Googleではないですが、無料の証明書は誰でも来年から取得できるようになります。
無料でSSL証明書を取得できるサービス、来年夏登場予定
http://it.srad.jp/story/14/11/19/180214/ [srad.jp]
そのうちGoogleも始めるんじゃないかな?
Re: (スコア:0)
Yキー長押しとか
Enter連打とか
# Windows8.1だとフォーカス外されて連打できないみたい
それで (スコア:0)
いつslashdot.jpはSSL対応するの?
Re: (スコア:0)
そうだそうだ
先ず隗より始めよ
Re: (スコア:0)
slashdot.jpが安全だとでも思ってるの?
Re: (スコア:0)
本家はログインだけSSL対応してるよね。SSL対応したら本気出す。
仮にこの世の HTTP 通信が全て HTTPS で置き換えられたら (スコア:0)
どのくらい電気代上がるんだろうか
Re: (スコア:0)
今後、HTTPSでの通信はHTTP/2で行われるようになりますので、処理が速やかに完了して電気代が下がるかも知れない。