Firefox、HTTPでのパスワード送信に警告を表示する機能をテスト中 40
ストーリー by headless
警告 部門より
警告 部門より
Firefox 44のナイトリービルドで、パスワードをHTTPで送信するWebページを表示した際に警告を表示する機能がテストされているそうだ(TNW Newsの記事、
gHacks Tech Newsの記事)。
HTTP接続のWebページにパスワードフィールド(<input type="password">)があると、安全でないWebページとみなされてアドレスバーに赤い斜線の入ったロックアイコンが表示される。アイコンをクリックすると、このページで入力したログイン情報は保護されておらず、危険にさらされる可能性があるといった説明が表示されるとのこと。
Firefox 44の安定版は2016年1月にリリースが予定されている。この機能は搭載されるだろうか。
HTTP接続のWebページにパスワードフィールド(<input type="password">)があると、安全でないWebページとみなされてアドレスバーに赤い斜線の入ったロックアイコンが表示される。アイコンをクリックすると、このページで入力したログイン情報は保護されておらず、危険にさらされる可能性があるといった説明が表示されるとのこと。
Firefox 44の安定版は2016年1月にリリースが予定されている。この機能は搭載されるだろうか。
オートフィル (スコア:2, 参考になる)
このほか、オートフィル(ページを訪問しただけで自動的にユーザー名とパスワードを埋める機能)をHTTPで無効にすることが検討されています。オートコンプリート(ユーザーが入力を開始すると、自動的に入力履歴から候補を提示)は使えるようです。
確かひろみちゅが何年も前から(とくに公衆無線LAN回線での利用時に)オートフィルの危険性を指摘していたと思うのですが、ようやく対策されるのですね(ちなみに当該記事はググったけどスパムフィルタか何かが効きすぎているのかドメイン指定しても検索結果がほとんど出なくて見つけられなかった)。
Re:オートフィル (スコア:2)
大量のネットワーク機器を管理している身としては非常に困る。Firefox はマスターパスワード機能(とブックマーク管理機能)があって他には移れないです。
Re:オートフィル (スコア:1)
Firefox 44で変更があるかわからないのですが。
オートコンプリートといえば、ここ1、2年で、ブラウザは、autocomplete="off"の指定を無視するようになっていますね。
単純なパスワードを使われるより、ブラウザに覚えさせてでも複雑なパスワードを使ってもらうほうがよいからとか。
Re: (スコア:0)
スラドにおいてオートフィルはかなり有害なんだよなぁ…
コメント投稿ページのフォームはログインフォームも兼ねてるから、
コメントページを開いてACで投稿したつもりがIDになるって事故が起きてしまう。
ACで投稿のチェックボックスもナニソレ美味しいの状態だし。
かといってD2のインラインフォームはメインに使おうにも結構な頻度でプレビューから先に進めない状態になるし、
その状態ではコメント投稿ページを別タブで開いてコピペして送り直すしか無いんだけど、
コピペでささっと再送信すると即コメすんなって怒られるし。めんどくせぇ………
結果、ブラウザにはIDを記憶させない方が楽になりそうなるとログインもしないほうが楽でID使わなくなるという。
アドレスバーじゃなくて入力中のテキストフィールドに警告を表示べき (スコア:1)
アドレスバーまで視線を上げるのが面倒だし、周辺視野で表示されてもわからない。
なぜそのテキストフィールドに表示しないのか?
ページの表示を変更するのはブラウザのやることではないということか?
Re:アドレスバーじゃなくて入力中のテキストフィールドに警告を表示べき (スコア:1)
つーか、警告にそこまで意味あるのかなぁって気もする。
まあ「判ってるユーザーが」うっかりHTTPサイトでパスワード入力しちゃうのは防げる……のかもしれないけど、むしろ「HTTPSってなに?」ってレベルの人への啓蒙としては意味があるのかどうか。
ぶっちゃけ「なんか警告出てるけど何が危険なのかわからんし、どうしていいか判らないからとりあえずそのまま続行する」ってぐらいにしか思われなくて、そのうち「鬱陶しい警告を消す方法」みたいな記事がどっかに出て、ある種のバッドノウハウとして共有されるだけじゃないのかなあと。
危険な操作に対してユーザーに警告喚起するのは大切だけど、さじ加減を間違うとWindowsのUACみたいなことになるから警告というよりは「なぜ危険なのかの説明とか対案の提示」とかが大切なんじゃないかなぁと思う。
Re: (スコア:0)
ユーザに警告を出すことによって,間接的に開発者に警告を出しているのでは
Re: (スコア:0)
テキストフィードを含め、コンテンツ内は製作者が自由にイジれるからでしょ。
そんな場所じゃ表示したところで信用度ゼロ。
# 昔、南京錠マークのファビコンを設定してるサイトとかあったよね
Re: (スコア:0)
ブラウザが重ねるんだからサイト内コンテンツより優先度高くすることは可能だし、
表示されるのは安全宣言じゃなくて警告だからサイト内コンテンツが偽警告を出す意味がない。
フォームの位置に実際の入力フォームの内容をミラーリングしたものを置いて、
画面隅の見辛い場所に実際のフォームを置いてフォーカス飛ばすとかは気をつけないとだけど。
スラドでもアイコンが出た (スコア:0)
トレンドマイクロやGoogleからもたびたび危険サイト認定されてるしね
Re: (スコア:0)
実際、危険だからね。うっかりってこともあるし、ログインはなるべくしない方が良い。
Re: (スコア:0)
スラドに課金されたり個人情報入力するところなんてあったっけ? ログイン機能があるだけで危険とかいうほうがよっぽどおかしい
Re:スラドでもアイコンが出た (スコア:3, すばらしい洞察)
それ単体でしかものを見ていないからでは?
メールアドレスとユーザーログイン用パスワードを盗んで他のサイトでログインできるか試すっていうのは
最近の大量流出でもよく出てくる手なので、「脆弱なログイン機能があるだけでも危険」はそこまでおかしくないでしょう。
気にしすぎだよというならわかりますけどね。
あとメールアドレスは捨てアドやここだけでの利用じゃなければ個人情報たりえる。
アドレス帳に追加してSNSでアドレス帳から検索かければだれかわかっちゃう人もいるんじゃないの。
どうせスラドは (スコア:0)
どうせスラドは
type="text" で
お茶を濁すんやろ?
Re:どうせスラドは (スコア:1)
いちおう、https://m.srad.jp を見る限り、とっくに証明書を取得しているみたいなんですけどねぇ。
なぜ本サイトをなかなかHTTPSに移行しないのか。
それとも将来的にm.sradに一本化する予定なんだろうか。
広告主も対応してくれないと https への移行は難しい (スコア:4, すばらしい洞察)
契約している広告主や広告配信事業者に、https (TLS) な広告コードを提供していない会社(リンク先ページが 平文HTTPで、Referer でクリック解析をしたい事業者を含む)が存在するからではないでしょうか。ざっと見た限り、スラド(PC版)は、広告コードが HTTPS に対応してなかったと思われる広告配信事業者とも提携しているようです(最新の状況を確認したわけではなく確証がないので、業者名は書かないでおきます)。
なお、以前は Google AdSense も https だと広告収入がだいぶ減ってしまった(HTTPS非対応の広告がオークションにかけられず、広告単価が下がってしまうため)のですが、最近では状況がかなり改善されてきています。
# 私のとあるサイトも、月極広告の広告主のサイト(リンク先)が 平文HTTPで、かつ広告主が Google アナリティクス を使って Referer をもとにクリック数や広告成果の解析をしているので、https に移行できないでいます(HTTPS → HTTP では原則 Referer が飛ばないため)。
# meta name="referrer" [impressrd.jp] に IEが対応してくれていれば、状況は違ったのですが……。
Re:広告主も対応してくれないと https への移行は難しい (スコア:2)
なるほど、納得です。解説ありがとうございます。
そういえば先日、広告のネタでこんなツリー [it.srad.jp]がありましたが、腑に落ちました。
「Refereでの情報収集をやめる」と言わずに「広告を暗号化する」と表現するとは、なにか姑息ですね。
Re:広告主も対応してくれないと https への移行は難しい (スコア:2)
仮に通常状態ではHTTPのままにしたいのだとして、ならば、ログインページだけHTTPSにして、セッションクッキーをHTTPに取り回すのではだめなのでしょうか。
Re:広告主も対応してくれないと https への移行は難しい (スコア:2)
その方式であれば、広告が制約されるのはログイン画面(やパスワード変更画面など)だけになるので、「広告主も対応してくれないと https への移行は難しい」という問題は生じません。
ID(メールアドレス)とパスワードを入力するページとフォームの送信先を HTTPS にしておけば、ID(メールアドレス)とパスワードを守ることができるので、ユーザーがそれらを使いまわしした場合の危険性が軽減するというメリットがあります。
# 当然ですが、守れるのはIDとパスワードだけなので、通信が傍受・改竄可能な場合、セッションが乗っ取られる危険があります。
Re: (スコア:0)
そこは実装である程度回避できる。
ログイン時に発行するcookieに、secure属性を持たせたセッションIDだけでなく、secure属性を持たせないセッションIDの代替になるトークンも同時に書き込めばいい。
通常画面はトークンを使ってユーザーを認証し、書き込み時のpost先やユーザー情報編集ページはhttps必須にしてそこだけセッションIDを認証すれば乗っ取りは防げる。
トークンは平文で流れるから盗聴可能だけど、センシティブな部分に使わないようきちんと実装すればユーザーセッションを乗っ取ることを防ぎつつメイン画面はhttpで取り回せる。
サイトによっては使えない方法だけど、スラドとかならそれでいいんじゃないかな。
Re: (スコア:0)
いや、スラドでもダメだろ。メアドとかが漏れる問題は解決できない。個人情報を普通にGETしてるんだから、そんな幻想は捨てた方がいいよ。
Re: (スコア:0)
すべてのページに(非表示の)ログインフォームがあるのでトップページから警告が出てるんだよね。そのプランで行くならログインページ以外からログインフォームを撤去する必要がある
平文でフォーム送信時に警告 (スコア:0)
する機能は昔からあったけどいつの間にかデフォで機能無効化されたからねえ。
Re:平文でフォーム送信時に警告 (スコア:1)
ここ最近の Mozilla は Google の猿真似ばかりして、そのせいか思考まで Google に似て来ちゃったんだよねぇ。
その最たるものが、フリーソフトの大原則であった筈の「自己責任による自由」の否定。
リスクになりそうなものなら何でもかんでも禁止したりガチガチに管理したりして、それを解除する自由もユーザーから剥奪しちゃう。
自分達(ブラウザ)が変わっていけば Web も変わる、とでも言わんばかりに後方互換性の斬り捨ても平気でして来る。
正直、エンドユーザーやアドオン開発者、Web デザイナーの意見や要望を聞いてやっているのか疑わしく思える程なんだよね。
Re: (スコア:0)
と言うか財政的にGoogleに支配されてるし、さもありなん。
Re:平文でフォーム送信時に警告 (スコア:1)
Googleとの契約が終了してから1年くらい経つのにまだこんなこと言ってる奴がいるのか。そろそろ「IEはWindows Updateにしか使わない」に並ぶ知識を更新できない老害ホイホイネタに認定してもよさそうだ。
Re: (スコア:0)
いや、契約切れても行動はすぐには変わらないよ。独立心にとむモジラの人がドライな対応をしてたわけではないでしょう。
金もらわなくてもそういう行動をする人がG金をバックに地位を確立して権力を掌握した結果そうなっていたのだから
契約切れたから今日から元に戻ります。なんてことにはならない。
Re: (スコア:0)
知らなかったと素直に言えばいいのに見苦しい。2行目以降は妄想の垂れ流しだし。
Re: (スコア:0)
いや、Firefox が Chrome のデッドコピーになりつつあるというだけで、今も財政的に繋がりが有ると言った覚えは無いのだけどねぇ。
まぁ、悪い事には違い無いけど。
もうHTTPは原則禁止でいいんじゃない? (スコア:0)
HTTPS非対応サイトはなくなっても別に困らんだろ
Re:もうHTTPは原則禁止でいいんじゃない? (スコア:1)
お前さんが困らんからといって世の中がそうと決めつけちゃいかんよ。
オレオレ証明書でもいいってなら兎も角、ちゃんとした証明書なら格安のでも年間数千円はかかるわけで、個人が運営してるサイトならそんだけ手間も増える。
どうしたってサーバーへの負荷も高くなるわけで、個人情報収集するわけでもパスワードやら何やら入力するわけでもないサイトまでHTTPSにするメリットがそこまであるとは到底思えん。
Re:もうHTTPは原則禁止でいいんじゃない? (スコア:1)
Mozilla が一枚噛んでる無料認証局 Let's Encrypt [letsencrypt.org] が始まれば、費用の問題は解決できそうだね。
11月16日から。
アレゲなニュースと雑談サイト
Re: (スコア:0)
HTTPSの意味わかってねーだけだと思う。
Re:もうHTTPは原則禁止でいいんじゃない? (スコア:1)
名前ベースバーチャルホストとか使っていると問題になるケースがあるんじゃないの?
最近は大分対応可能になってきつつあるみたいですけど.
Re: (スコア:0)
SNI [sakura.ad.jp]なら、今どきのサーバやブラウザならほとんど対応してますよ。
Re: (スコア:0)
証明書料金に鯖+ドメインの維持費用の9倍くらいかかるけど代わりに支払ってくれるの?
Re: (スコア:0)
その金が払えないようなサイトは「ユーザー」や「パスワード」っていう言葉を使うことが許されてないってだけの話なんだけどね。
Re: (スコア:0)
その程度の代金も工面できないサイトに存在意義はないよねえ
IEって (スコア:0)
IEってアラート表示しませんでしたっけ?
Re: (スコア:0)
するよ