Google Chrome、アドレスボックスにドメイン名のみを表示する計画を取りやめ 42
ストーリー by headless
無意味 部門より
無意味 部門より
Googleは昨年から一部のユーザーを対象に、ChromeのOmnibox(アドレス・検索ボックス)のURL表示をドメイン部分のみにするテストを行っていたが、本格導入は行わないことにしたそうだ(Issue 1090393、 Ghacksの記事、 Android Policeの記事、 9to5Googleの記事)。
ドメイン名のみの表示はURLにブランド名を含めてユーザーを混乱させる攻撃への対策の一つで、テストはユーザーに悪意あるサイトへのアクセスを気付かせることができるかどうかを確認することが目的だった。しかし、このような表示方法を取ってもセキュリティは向上しないことが確認されたという。なお、テスト対象にならなかったユーザーもchrome:flagsでフラグ設定すればドメイン部分のみの表示を試せたが、該当のフラグは既にChrome 90で削除されていた。
ドメイン名のみの表示はURLにブランド名を含めてユーザーを混乱させる攻撃への対策の一つで、テストはユーザーに悪意あるサイトへのアクセスを気付かせることができるかどうかを確認することが目的だった。しかし、このような表示方法を取ってもセキュリティは向上しないことが確認されたという。なお、テスト対象にならなかったユーザーもchrome:flagsでフラグ設定すればドメイン部分のみの表示を試せたが、該当のフラグは既にChrome 90で削除されていた。
そんなことより#tab-hover-cardsと#enable-tab-searchと#sharin (スコア:1)
g-qr-code-generatorを復活させろクソが!
#tab-hover-cardsはタブ上にマウスを持っていくとなんか出てくるやつ。
あまりに不評すぎて [chromium.org]Chromeにしては珍しく復活のコミットが入った [googlesource.com]くらい
#enable-tab-searchはタブの右に出てくる▼。
これまた評価が最悪 [chromium.org]。
#sharing-qr-code-generatorは右クリックの『このページのQRコードを作成』。
全2者とちがって何故かほとんど話題になっていない。
Re: (スコア:0)
テレメトリ有効にしたり、フィードバック上げる人の意見で修正されるからな
テレメトリ無効にして、フィードバックも上げないおまえらの意見は採用されない
まあたまに外部の掲示板やSNSで批判が殺到して、それが原因で計画を変えることもあるが
情報を隠すこと (スコア:1)
「セキュリティ」の観点では最悪だと思うんだけど、なんでこういう阿呆なことが
昔から繰り返されるんだろうな。まぁ、今回は思いとどまったよう良かったが。
確かに情報の隠蔽は「素人を混乱させない」って効果は一定の評価はあるだろうが、
逆に常に確認しながら進めたい玄人には迷惑な話。
まずはそろそろiPhoneで証明書情報を表示させる手段がないことは何とかして欲しい。
昔はchromeだったら表示できたはずなんだがいつの間にかなくなってるし。
Re: (スコア:0)
ブラウザのアドレスバーのhttp://とかhttps://の部分を隠したり、クッキー一覧の個々のクッキーを見れなくしたりね。
まあ、アドレスバーに関してはhttps://が標準になりつつあるし、代わりに🔒アイコン出してるしわかるだろ?ってことなんだろうが。
Re: (スコア:0)
まずはそろそろiPhoneで証明書情報を表示させる手段がないことは何とかして欲しい。
Appleの御加護で守られているiPhoneにはきっと
証明書もセキュリティ機構も不要なのですよ
# 必要なのは免罪符の購入
Re: (スコア:0)
iphoneみたいなのだと長すぎて表示できないし、ってのもあるんじゃないかな。
それに見ても分からないアドレス欄なんて無くてもいいんじゃないかって思ってるよ、きっと。
実際、常時出てる必要はないと思うけどね。
Re: (スコア:0)
昔はchromeだったら表示できたはずなんだがいつの間にかなくなってるし。
Chromeなら、右下の三点リーダーから「サイト情報」で見れるよ
Safariにはないね
Re: (スコア:0)
AndroidのChromeみたいな詳細情報は見れないけど発行機関だけは見れるようになってたんだな。
WoSignとか信頼に値しない所は見分けられるようになって助かったよ。
Google ChromeのOminibox弄り (スコア:0)
5年前に続いてまた失敗したのか。
Re: (スコア:0)
去年は書けていたのに!
Re: (スコア:0)
野暮は承知で解説お願い。
Re: (スコア:0)
OmniがOminiになってた(修正済み)というだけ
難しく考えすぎ
Re: (スコア:0)
これ「失敗」と言うべきなのかね
これではセキュリティは向上しない、と知見を得られたのは
いい試みだったようにも思う
Re:Google ChromeのOminibox弄り (スコア:2, 興味深い)
これいつも議論になるけど自分の中の定義では
全ユーザーに展開済みの後に撤回したら「失敗」
一部ユーザーに展開した後に撤回したら「知見」←今回はこれ
Re: (スコア:0)
もう少し前かも
Google Chrome、URLの表示されないアドレスバーが標準となるか
https://srad.jp/story/14/05/05/1922213/ [srad.jp]
Re: (スコア:0)
Firefoxもアドレスバーを拡大したかと思ったらProtonであっという間に捨て去ったり、思いつきでいきあたりばったりにやってるとしか思えん
トップページのURLの "/" (スラッシュ) を省略するな (スコア:0)
「このままだと攻撃者の思う壺」イオンカードで不正利用の注意喚起のはずが…大間違いだった [togetter.com] のように、
正規サイトの説明としてURLが「https://www.aeon.co.jp」から始まっている、などといった解説をしているサイトがあります。
しかし、これだと「https://www.aeon.co.jp.example.com/」といったフィッシングサイトを防げません。
これを、「https://www.aeon.co.jp/」から始まっている、という解説にすればフィッシング詐欺対策としては問題無さそうに思えますが、Google ChromeもFirefoxも、FQDNの後のパスが "/" のみの場合それを省略表示してしまうので、「https://www.aeon.co.jp」と完全一致ならば正規サイトであることまで解説する必要が出てきてややこしくなります。
何故、各ブラウザは、トップページのURLの "/" (スラッシュ) を省略するんでしょうか。
https://srad.jp/ [srad.jp] にアクセスしたときに https://srad.jp/ [srad.jp] にする必要は全くないと思うんですが。ちなみに、URL欄をコピペすると省略されたスラッシュが出てきて(コピー時には省略されない)1文字だけ一致しなくなるのも不快です。
FQDNのみ表示するというポリシーならまだともかく、そのあとの /index.html?q=hoge なんかは表示されるしスラッシュの時のみ省略する意味が不明です。
このスラッシュの省略さえなくなれば、正規サイトは「https://example.com/」から始まります、といった説明ができるようになるので、スラッシュの省略は止めていただきたいです。
Re:トップページのURLの "/" (スラッシュ) を省略するな (スコア:2, おもしろおかしい)
https://srad.jp/ にアクセスしたときにhttps://srad.jp/ にする必要は全くないと思うんですが。
ええスラッシュ省略するならこうですよね
https:d.jp [d.jp]
(違
# これでリンクが付くのも違うやろ>srad
Re:トップページのURLの "/" (スラッシュ) を省略するな (スコア:1)
この例なら example.comだけ強調されない?
Firefoxならそうなってるんだけど。
Re:トップページのURLの "/" (スラッシュ) を省略するな (スコア:2)
件の Chromeだと「www.aeon.co.jp.example.com」のみが普通に表示されるだけのはず。
デスクトップ版 Chrome 86 なんで切れて後ろの方が見えないって事態は多分無い。
この点に限れば Firefox って良くできてると思う。
Re:トップページのURLの "/" (スラッシュ) を省略するな (スコア:1)
代替手段があるかどうかは別にして、そもそもURLを見て詐欺かどうかの判断をする要素とする事自体がおかしいんですよ
勿論やらないより遥かにマシなのですが
URLの文字列だけで良いのか、文字列だけで良いとしても見間違えなどは無いのか、証明書は、Whoisは、リンク踏んだ時のURLは?
>「https://www.aeon.co.jp/」から始まっている、という解説にすれば
注意喚起に表示されていたとしても詐欺にひっかかる前に読むのか、読んだとして覚えているのか、「/」まで意識が回るのか
インターネットが一部のマニアの物では無くなり、多くの利用者がURL欄というより検索欄と思っているような現在にはそぐわないかと
Re:トップページのURLの "/" (スラッシュ) を省略するな (スコア:1)
アエオンとか似せる気ゼロでホント草
Re: Re:トップページのURLの "/" (スラッシュ) を省略するな (スコア:0)
イオンはaeonって書くんですよ。ionではなく。
Re: (スコア:0)
いや俺もaeon.co.jpと思うてんけどな
オカンが言うには、いっぱい聞けて、いっぱいしゃべれるって言うねんな
あー、ほなaeon.co.jpと違うかぁ
Re: (スコア:0)
たぶん特に理由はないからChromium Issue TrackerやBugzillaにissue登録するといいと思う
Re: (スコア:0)
うちのFirefoxでは省略されてないけど・・・?
何処か何か設定してたかな・・・?
Re: (スコア:0)
何故、各ブラウザは、トップページのURLの "/" (スラッシュ) を省略するんでしょうか。
https://srad.jp/ [srad.jp] にアクセスしたときに https://srad.jp/ [srad.jp] にする必要は全くないと思うんですが。ちなみに、URL欄をコピペすると省略されたスラッシュが出てきて(コピー時には省略されない)1文字だけ一致しなくなるのも不快です。
FQDNのみ表示するというポリシーならまだともかく、そのあとの /index.html?q=hoge なんかは表示されるしスラッシュの時のみ省略する意味が不明です。
あまり詳しくないですが可能性のひとつとして、
最初にRFC 1630 [ietf.org]とかRFC 1738 [ietf.org]を作った時にhost (authority)だけのURI
効果ないんだ (スコア:0)
アドレスバーの表示なんて元々あんまり見られてないってことかな。
Re:効果ないんだ (スコア:1)
大学の教養科目の教科書その他資料持ち込み可な期末テストで毎年、「ダメなURLはどれか?」的な問題を出してるけど壊滅するよ。
まあ、その辺が×でも単位は出るだろう、と手を抜かれてるのかも知れないけどさ。
「満点だったら1万円」とかで実験するともう少しマシになったりするのかな?
アレが本気を出した時の実力というのはちょっと信じたくない。
偏差値50は切ってないぐらいの大学のはずなんだけど、うち。
実際に無理なんだとしたら、大多数の人間にとってはあのルールは難しすぎるということになってしまう。
Re: (スコア:0)
今ってURLのRFCも一般教養に含まれてるのか.
まあ情報系以外の学生だと,端から捨ててしまうのもしょうがないような気がする.
Re: (スコア:0)
そもそも不便なんだよ
例えばスラドなら
https://security.srad.jp/story/21/06/12/045257/ [security.srad.jp]
ってURLみるだけで2021年6月12日の記事なんだなってひと目でわかる
ドメイン表示のみだとこういうメリットがすべて消える
Re:効果ないんだ (スコア:1)
さらに昔はタイトルまで全部入っていて、リンクを見るだけで内容がわかった。
…というのは元祖/.の話で、日本語はパーセントエンコーディングされちゃって可読性が最悪だったせいか、スラドではタイトルをつけない仕様に変わっちゃったけど。
Re: (スコア:0)
URLがパーセントエンコーディングされるのはわかるけど、アドレスバー上の見た目は可読性が高いデコード後のものでいいのになぁ
コピペしたときとか入力した後の正式な内容としてはそりゃパーセントエンコーディングでいいけど、アドレスバーの表示上は読めるようにしてほしいわ
Re: (スコア:0)
今のchromeはデコード後だよ。
https://www.google.com/search?q=%E3%81%82%E3%81%84%E3%81%86 [google.com]
だったら「google.com/search?q=あいう」って表示されてる。
#エンコードの種類によってはデコードされない
Re: (スコア:0)
パーセントエンコーディング入りURLって別のとこに貼った時長い(特にスマホだと辛い)とか見辛いとかで可読性悪いから好きじゃない
通販サイトで「ほげほげ.com/日本語で商品名/数字のみの商品ID/」みたいなURLたまに見かけるが、大抵商品IDだけにしてもちゃんと開いてくれるのにわざわざ長い商品名書くのはなんでなんだろうと思いながら削ってる
Re: (スコア:0)
SEO対策
Re: (スコア:0)
あれ、SEO対策。
URLにキーワード入れておくと効果があった時代があった。
今は短くしろってなったから消えた。
Re:効果ないんだ (スコア:1)
ああ…なるほど
そう言われてみると英語圏でもタイトル全載せURL減ったか
Re: (スコア:0)
アマゾンが商品名をURLに載せ続けるのを辞めないことからすると今でも効果あるんだろうな
Re: (スコア:0)
いつの頃からか、アドレス欄のURLのクエリ部分がデコードされて表示されるようになって、それはそれで可読で便利だったりもするけど、参考サイトとしてURLをコピペして投稿したいのにデコードされたマルチバイト文字部分がリンクにならなくて「余計なことすんなよ!」ってイライラしたり。
あと、Google ChromeじゃなくてiOSのSafariだけかもしれないけど、Googleで「keyword」で検索するとアドレス欄が「https://www.google.com/search?=keyword」じゃなくて、Omunibox的に単なる「keyword」だけに置換されて、「余計なことすんな!参考URLとして貼れねえじゃねえか!」ってなったり。
Re: Re:効果ないんだ (スコア:1)
Sharing Hubで解決しますよ。
Re: (スコア:0)
Google様は変に一次情報を隠して『俺様がキュレーションしてやった清浄な情報』化したがりますよね。検索の劣化と同様の傲慢さと異常なお節介がやたら目に付くようになってる。