Google、Chrome で HTTPS 接続時のアイコンをセキュア感の低いものに変更する計画 19
ストーリー by headless
セキュア感 部門より
セキュア感 部門より
Google が Chrome の HTTPS 接続時に表示するアイコンを現在の「ロック」アイコンよりもセキュア感を与えにくい「チューン」アイコンへ変更する計画を示している
(Chromium Blog の記事、
Neowin の記事、
The Register の記事、
Android Police の記事)。
ウェブブラウザーでは Netscape の初期のバージョンから HTTPS 接続時に南京錠をデザインした「ロック」アイコンが表示されてきたが、ほとんどの接続が HTTPS となった現在では誤ったセキュア感を与える表示との見方もある。以前は多くのブラウザーがロックアイコンとともに表示していた「保護された通信」のようなテキストは廃止されたが、今でもロックアイコンをサイトを信頼できるかどうかの基準にしているユーザーは多いようだ。
Google は Chrome 93 でロックアイコンをよりニュートラルなドロップダウンボタンのような表示に置き換える実験をしており、スライダーを並べたようなデザインの「チューン」アイコンもこれを踏襲したものになる。選定理由としては、コントロールや設定を示すアイコンであり、クリックして使用するコントロールだとわかりやすいことや、信頼性の高さを示唆しないことが挙げられている。
新しいアイコンは 9 月リリースの Chrome 117 で投入予定だ。Chrome Canary では chrome://flags で「Chrome Refresh 2023 (chrome://flags#chrome-refresh-2023)」を Enabled にすることで新しいアイコンの表示を試すことができる。ただし、新しい表示は開発途中のものであり、最終版とは異なる可能性があるとのことだ。
ウェブブラウザーでは Netscape の初期のバージョンから HTTPS 接続時に南京錠をデザインした「ロック」アイコンが表示されてきたが、ほとんどの接続が HTTPS となった現在では誤ったセキュア感を与える表示との見方もある。以前は多くのブラウザーがロックアイコンとともに表示していた「保護された通信」のようなテキストは廃止されたが、今でもロックアイコンをサイトを信頼できるかどうかの基準にしているユーザーは多いようだ。
Google は Chrome 93 でロックアイコンをよりニュートラルなドロップダウンボタンのような表示に置き換える実験をしており、スライダーを並べたようなデザインの「チューン」アイコンもこれを踏襲したものになる。選定理由としては、コントロールや設定を示すアイコンであり、クリックして使用するコントロールだとわかりやすいことや、信頼性の高さを示唆しないことが挙げられている。
新しいアイコンは 9 月リリースの Chrome 117 で投入予定だ。Chrome Canary では chrome://flags で「Chrome Refresh 2023 (chrome://flags#chrome-refresh-2023)」を Enabled にすることで新しいアイコンの表示を試すことができる。ただし、新しい表示は開発途中のものであり、最終版とは異なる可能性があるとのことだ。
証明書がおかしいサイト (スコア:0)
オフトピだけど、期限切れやら誤設置の証明書になってるサイトの閲覧性にも手を入れて欲しい。
いや、怪しいのは重々承知なんだ。素の HTTP アクセスに対してペナルティというか手間が重い気がしてね。
Re: (スコア:0)
実際にアクセスしないと証明書の検証ができない設計は間違ってるよね。
Re: (スコア:0)
なんだかんだで接続できてしまうんだから、むしろ軽いだろ。
Re: (スコア:0)
それは、サイトの管理者に文句を言うべきなのでは?
今時TLSに対応するのになんて大したコストもかからないのに、放置しているほうが悪い。
Re: (スコア:0)
・HTTPでホストされているサイトには(ちょっとした警告は出るものの)普通に接続できる
・HTTPSでホストされているが証明書エラーとなっているサイトにはでかでかとフルスクリーンの警告が出る
これが良いか悪いかというと……良いような悪いような。
HTTPSが当たり前になってきている昨今においてはバランスが取れていないような気もする。
Re: (スコア:0)
前者は単にTLS化していないだけ。不正なアクセスかは分からない。
後者は証明書が不正=明確な不正アクセス。
どう考えてもやばいのは後者だろ。
Re: (スコア:0)
期限切れやVirtualServerでCN違いの証明書が返ってきてるだけでも明確な不正アクセスか…笑
Re: (スコア:0)
10年前の感性だな。
今や自動更新で発行し放題が無料でも利用できるのが当たり前。
期限切れやVirtualServerでCN違いなんてのは、危険のサイン以外の何者でもない。
Re: (スコア:0)
レンタルサーバにあずけてMXレコードしか使ってないドメインのA/AAAAレコードで参照されるサーバのTLSアクセスで、ドメイン違いの証明書じゃなくて有効な証明書が帰ってきたらその方が不味い。
Re: (スコア:0)
そもそもメール専用サーバーなら、HTTPDを止めろ。
Re: (スコア:0)
TLS化していない = メンテを放棄され何年も放置されている危険なサイト
セキュリティホールもそのままだろうし、乗っ取られてマルウェアを仕込まれていても当然。
Re: (スコア:0)
ならHTTPアクセス全面廃止運動でもすれば?
組み込みとか、必要ないからやってない・無駄にやると逆に危険なケースだって腐るほどあるわ阿呆。
HTTPSは当たり前 (スコア:0)
なので、HTTPSであれば特に表示する必要はないと思う。
一方でHTTP通信してるサイトでは「保護されていない通信」とかよーわからんものじゃなくて、
赤ラベルで「盗聴可能な通信」とか、無効証明書と同様の危険認識しやすい表記に変えるべき。
Re: (スコア:0)
その方向でしょ。
今までセキュアとして特別表示していたものを急に素の表示にしたら混乱するから徐々に切り替えるだけ。
そのうちhttpだと危険な接続として接続させてくれなくなる。
今でもフラグで有効化すればそうなったんじゃなかったか。
HTTPSのロックは無意味 (スコア:0)
って主張もある [framagit.org]ぐらいだから無くてもよくね
Re: (スコア:0)
ロックしとけばいずれそのサイトが廃止(休止?)になるから多少は意味があるかも
# それは超人(ry
認証レベルごとにわかりやすく分けてほしい (スコア:0)
ドメイン認証のみ 多くのフリー認証局
ドメイン認証+組織認証 一般企業のサイトに多い
EV-SSL(ドメイン認証+厳格な組織認証) 金融機関
この3つをもっと明確に区別するようにしてほしい
いちばん上のドメイン認証のみは、もうセキュア扱いしなくてもいいのでは?
非SSLサイトと同じ扱いで
Re: (スコア:0)
Re: (スコア:0)
フィッシングサイトでも、ドメイン認証のみのフリーSSLとか、クラウド業者名義のSSLとか使ってるし、
SSLだからといって信用するのは無理