パスワードを忘れた? アカウント作成
11832884 story
Google

GoogleがHTTP接続時に「安全でない」と明示することを提案 73

ストーリー by hylom
HTTPSが基本の世界に? 部門より

現在、多くのWebブラウザではHTTPSでの接続時にその旨をアドレスバーなどに通知する仕組みが採用されているが、Googleがこれに対しHTTPでの接続時には「安全でない」と表示し、HTTPSでの接続時にはなにも表示させない、という形への変更を提案しているという(ITmedia)。

HTTPではセキュリティ的な対策が行われていない、ということを周知させることを目的としているそうで、Googleは「Web上のデータ通信はすべてセキュアでなければならない」と主張しているという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • > HTTPではセキュリティ的な対策が行われていない

    行う必要がないって考えもある。

    セキュリティ的な対策を行われていなければいけないときに警告すればいいのでは?

    • by Anonymous Coward on 2014年12月18日 16時26分 (#2730170)

      暗号化通信が必要なサイトはすでにやってると思うんだよね。
      もちろん、一部に「あるべきところで使われてない」というのはあるだろうけど、そういうサイトを使うかどうかはユーザーが判断すればいいと思う。
      スラドのログイン画面もSSLないらしいし。そこに必要かどうかはユーザーが評価すればいい。自分はスラドくらいならいらないと思ってる。

      それより、最近ネタにもなったhttpsなのにcookieにsecure属性つけてないとか、SQLインジェクションとかXSSとか、他の脆弱性をなくす努力の方が重要な気がする。
      ページ内のすべての要素が正しくhttpsだったら安全と表記されるんだろうけど、悪意のあるホストからhttpsでjavascript読み込んでも安全と出ちゃうよね。Content Security Policyとか他にもやるべきことあるし、httpsは一つの要素でしかない。
      スレ主の言うように必要無いサイトもあるし。でも、必要なくても前述したような暗号化以外のセキュリティ対策は必要だし。

      # もし本当にGoogleがこれ実装したら、Chromeユーザーは混乱するだろうなぁ。

      親コメント
      • パスワード使い回しみたいなのがある以上
        どこのログインページも SSL つけたらいいのになとは思うわ。
        親コメント
        • by Anonymous Coward
          SSLを使ったとしても、パスワードの使い回しの問題は軽減されませんよ。
          • by Anonymous Coward

            > SSLを使ったとしても、パスワードの使い回しの問題は軽減されませんよ。

            SSLによって、パスワードの使い回しの問題が軽減されるとは書いてないじゃん。
            パスワードの使い回しの問題があるから、ログインページはSSLを使ってほしいというだけで。

            #ところでいつまでSSLと言い続けるの?

        • by Anonymous Coward

          ちょっとした会員サイト作って、メールアドレスとパスワードのセットを入手して、
          大手のメールサービスにログイン試してみたらそこそこ情報収集できるんじゃないかなーとか思う。
          バレにくそうだし。

      • by Anonymous Coward on 2014年12月18日 22時00分 (#2730368)

        >ユーザーが判断すればいいと思う。

        これが出来るなら現状でも問題にならいのでは?

        親コメント
    • by Anonymous Coward

      便所の落書きみたいな物とか態々セキュアにしてもねぇ

      • > 便所の落書きみたいな物とか態々セキュアにしてもねぇ

        いいえ。

        便所の落書きであっても、クライアントからサーバーに落書きが送信されるときセキュアであるかないかは警告されてよいでしょう。
        便所の落書きの送信者が特定されるべきではないときがあるからです。
        警告をしてもなお非セキュアを選択して落書きがクライアントからサーバーに送信されるのは本人の自由です。

        親コメント
      • by Anonymous Coward on 2014年12月18日 16時56分 (#2730197)
        便所には便所に期待されるセキュリティというものがあって、落書きだからといっていちいちドアフルオープンにするのは余計な実装コストをかけて本来のセキュリティを低下させる無意味な行為。
        親コメント
      • by Anonymous Coward on 2014年12月18日 18時17分 (#2730257)

        便所の落書きをしたつもりが、中間者攻撃で児ポを投稿したことにされたら怖いだろ

        親コメント
      • by Anonymous Coward

        お前の便所、公開されてるの?

        • by Anonymous Coward

          ここでいう便所の落書きとは、たとえば#2730229のコメントみたいなデータのことを言っているわけで、それは確かに公開されている様子。

      • by Anonymous Coward

        落書きしようとしているのが本当に便所なのかを確認するためじゃないかい?

  • ...と書き換えてみたくなった。

    HTTPSでの接続時にはなにも表示させない

    • by Anonymous Coward

      そっちの方が正しいよね。
      HTTPSだからといって安全とは限らない。

  • by kurikinton (16892) on 2014年12月19日 12時30分 (#2730636)

    オレオレSSLサイトが増え,
    正しく管理されない証明書がばらまかれ
    むしろ危険になると思う

  • by Anonymous Coward on 2014年12月18日 16時35分 (#2730177)

    https://support.google.com/mail/answer/6590?hl=ja [google.com]
    >パスワードで保護された zip ファイルを含む zip ファイルを送信することはできません。
    >すべてのファイルを展開するか、可能であればパスワード保護を解除してください。

    • >パスワードで保護された zip ファイルを含む zip ファイル

      そもそもZIPの中にZIPがあるという状態がよく分からないのですが,
      その中のZIPにパスがかかってたら,一体何が問題なんでしょうか.
      というか,そんなものを判別するってことは,googleさんはユーザのメールに添付されたZIPファイルをいちいち展開してるってこと?

      残念ながら私には意味がわかりません.

      親コメント
      • by Anonymous Coward

        この種のnested zipはzip bombはじめ色々と攻撃に使われ続けてきた歴史があるから弾いてるんでしょ。

        • by Anonymous Coward

          懐かしいですね
          昔試しに
          全角空白で埋め尽くした1GBのTXTファイルを圧縮し
          複数束ねてさらに固めたファイルをつくってみましたが
          余裕でメール添付できるサイズでした

          Googleが中身検閲したがっているのなら
          この手の攻撃は脅威でしょうね

      • by Anonymous Coward

        それはちょっと想像力が足りないと思われ。

        リンク先は添付ファイルの拡張子制限に関する内容なのだから、
        当然その制限も拡張子制限に関するものだと推測できる。

        単にzip圧縮しただけなら、格納ファイルのファイル名が確認できる。
        パスワードが付いていても、ファイル名だけなら確認できる。

        でも、「パスワード付きzipファイル」の、更に中にある
        zipファイル中のファイル名は分からない。
        だから禁止していると考えられる。
        不自然ではない。

        そこまでするのはお節介じゃないかとも思うけれど、
        それを言ったら拡張子制限自体がお節介な気もする。

    • by Anonymous Coward

      ひでぇなw

      • by Anonymous Coward

        拡張子を変えればええんやで

    • by Anonymous Coward

      単にパスワードで保護された zip ファイルは OK なんだよね?

    • by Anonymous Coward

      googleの中の人には再帰処理を書けない人がいるってことか・・・

      • by Anonymous Coward

        一通のメールに割けるリソースは有限なんですよ。解ってくださいよ。

      • by Anonymous Coward

        この手の処理に再帰なんてやったらグーで殴る

  • by Anonymous Coward on 2014年12月18日 16時48分 (#2730189)

    byGoogle

    どんだけやねん。

  • by Anonymous Coward on 2014年12月18日 17時34分 (#2730225)

    怪しい証明書のhttpsではしつこいくらいの警告を出したりするのに
    httpでは大したことしない、というブラウザはポリシーがよく分からない。

    • by Anonymous Coward on 2014年12月18日 18時15分 (#2730254)

      ですね。HTTPSだけですと、HSTSを使っても初回訪問時にHTTPで中間者攻撃ができてしまいます。
      それを防ぐ方法として下のようなPreloaded HSTSへ登録するという手法がありますが、
      あまり普及していませんし、スケールしないので普及できるものでもないです。
      この問題を防ぐには、HTTPに警告を出すしか無いでしょう。

      cybozu.com を真に常時 SSL にする話
      http://developer.cybozu.co.jp/tech/?p=6096 [cybozu.co.jp]

      親コメント
    • by Anonymous Coward

      異常なものに警告を出して
      正常なものには警告を出さないのは
      至って普通ではいかと

    • by Anonymous Coward

      いや別にそこは問題にすべきところじゃないと思う。
      httpsだと、普通は「暗号化」に加え「正しいホストだと確認」することを期待してる。
      怪しい証明書の場合、httpsだから一見安全そうだけどホストが本物かどうかわからないから警告する。
      httpは何も気にしないモードだから警告もクソもない。

      たぶん、証明書まで検証するかどうかで分けられればいいんだろうなぁ。httpssで検証付きみたいな。
      検証モードで、証明書まで検証してダメなら警告出せばいいし。
      とりあえず暗号化されてればいいか、ってサイトもあるし(某掲示板とか)、そこは証明書検証なしでいいし。

      httpss 証明書検証付き暗号化
      https 暗号化のみ
      http なにもなし

      みたいになれば。

  • by Anonymous Coward on 2014年12月18日 18時21分 (#2730260)

    いつも安全でない安全でないと言われ続ければ結局なれてしまって無視するようになりますよね。暗号化してあることとか証明書があることとかと中身が安全とは別問題なんではないでしょうか。すべての通信をHTTPSにしたいのなら、まずはgoogleが誰でも証明書が取得できるように無料で認証局を解放してはどうでしょう。

    • by Anonymous Coward

      Googleではないですが、無料の証明書は誰でも来年から取得できるようになります。

      無料でSSL証明書を取得できるサービス、来年夏登場予定
      http://it.srad.jp/story/14/11/19/180214/ [srad.jp]

      そのうちGoogleも始めるんじゃないかな?

    • by Anonymous Coward

      Yキー長押しとか
      Enter連打とか

      # Windows8.1だとフォーカス外されて連打できないみたい

  • by Anonymous Coward on 2014年12月18日 19時01分 (#2730284)

    いつslashdot.jpはSSL対応するの?

    • by Anonymous Coward

      そうだそうだ
      先ず隗より始めよ

    • by Anonymous Coward

      slashdot.jpが安全だとでも思ってるの?

    • by Anonymous Coward

      本家はログインだけSSL対応してるよね。SSL対応したら本気出す。

  • どのくらい電気代上がるんだろうか

    • by Anonymous Coward

      今後、HTTPSでの通信はHTTP/2で行われるようになりますので、処理が速やかに完了して電気代が下がるかも知れない。

typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...