パスワードを忘れた? アカウント作成
12559645 story
Firefox

Firefox、HTTPでのパスワード送信に警告を表示する機能をテスト中 40

ストーリー by headless
警告 部門より
Firefox 44のナイトリービルドで、パスワードをHTTPで送信するWebページを表示した際に警告を表示する機能がテストされているそうだ(TNW Newsの記事gHacks Tech Newsの記事)。

HTTP接続のWebページにパスワードフィールド(<input type="password">)があると、安全でないWebページとみなされてアドレスバーに赤い斜線の入ったロックアイコンが表示される。アイコンをクリックすると、このページで入力したログイン情報は保護されておらず、危険にさらされる可能性があるといった説明が表示されるとのこと。

Firefox 44の安定版は2016年1月にリリースが予定されている。この機能は搭載されるだろうか。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • オートフィル (スコア:2, 参考になる)

    by Anonymous Coward on 2015年10月24日 17時53分 (#2905835)

    このほか、オートフィル(ページを訪問しただけで自動的にユーザー名とパスワードを埋める機能)をHTTPで無効にすることが検討されています。オートコンプリート(ユーザーが入力を開始すると、自動的に入力履歴から候補を提示)は使えるようです。
    確かひろみちゅが何年も前から(とくに公衆無線LAN回線での利用時に)オートフィルの危険性を指摘していたと思うのですが、ようやく対策されるのですね(ちなみに当該記事はググったけどスパムフィルタか何かが効きすぎているのかドメイン指定しても検索結果がほとんど出なくて見つけられなかった)。

    • by ogino (1668) on 2015年10月24日 23時41分 (#2906026) 日記

      このほか、オートフィル(ページを訪問しただけで自動的にユーザー名とパスワードを埋める機能)をHTTPで無効にすることが検討されています。

      大量のネットワーク機器を管理している身としては非常に困る。Firefox はマスターパスワード機能(とブックマーク管理機能)があって他には移れないです。

      親コメント
    • by Anonymous Coward on 2015年10月25日 3時49分 (#2906108)

      Firefox 44で変更があるかわからないのですが。

      オートコンプリートといえば、ここ1、2年で、ブラウザは、autocomplete="off"の指定を無視するようになっていますね。
      単純なパスワードを使われるより、ブラウザに覚えさせてでも複雑なパスワードを使ってもらうほうがよいからとか。

      親コメント
    • by Anonymous Coward

      スラドにおいてオートフィルはかなり有害なんだよなぁ…
      コメント投稿ページのフォームはログインフォームも兼ねてるから、
      コメントページを開いてACで投稿したつもりがIDになるって事故が起きてしまう。
      ACで投稿のチェックボックスもナニソレ美味しいの状態だし。

      かといってD2のインラインフォームはメインに使おうにも結構な頻度でプレビューから先に進めない状態になるし、
      その状態ではコメント投稿ページを別タブで開いてコピペして送り直すしか無いんだけど、
      コピペでささっと再送信すると即コメすんなって怒られるし。めんどくせぇ………
      結果、ブラウザにはIDを記憶させない方が楽になりそうなるとログインもしないほうが楽でID使わなくなるという。

  • アドレスバーまで視線を上げるのが面倒だし、周辺視野で表示されてもわからない。
    なぜそのテキストフィールドに表示しないのか?

    ページの表示を変更するのはブラウザのやることではないということか?

    • つーか、警告にそこまで意味あるのかなぁって気もする。
      まあ「判ってるユーザーが」うっかりHTTPサイトでパスワード入力しちゃうのは防げる……のかもしれないけど、むしろ「HTTPSってなに?」ってレベルの人への啓蒙としては意味があるのかどうか。
      ぶっちゃけ「なんか警告出てるけど何が危険なのかわからんし、どうしていいか判らないからとりあえずそのまま続行する」ってぐらいにしか思われなくて、そのうち「鬱陶しい警告を消す方法」みたいな記事がどっかに出て、ある種のバッドノウハウとして共有されるだけじゃないのかなあと。

      危険な操作に対してユーザーに警告喚起するのは大切だけど、さじ加減を間違うとWindowsのUACみたいなことになるから警告というよりは「なぜ危険なのかの説明とか対案の提示」とかが大切なんじゃないかなぁと思う。

      親コメント
      • by Anonymous Coward

        ユーザに警告を出すことによって,間接的に開発者に警告を出しているのでは

    • by Anonymous Coward

      テキストフィードを含め、コンテンツ内は製作者が自由にイジれるからでしょ。
      そんな場所じゃ表示したところで信用度ゼロ。

      # 昔、南京錠マークのファビコンを設定してるサイトとかあったよね

      • by Anonymous Coward

        ブラウザが重ねるんだからサイト内コンテンツより優先度高くすることは可能だし、
        表示されるのは安全宣言じゃなくて警告だからサイト内コンテンツが偽警告を出す意味がない。

        フォームの位置に実際の入力フォームの内容をミラーリングしたものを置いて、
        画面隅の見辛い場所に実際のフォームを置いてフォーカス飛ばすとかは気をつけないとだけど。

  • by Anonymous Coward on 2015年10月24日 17時18分 (#2905818)

    トレンドマイクロやGoogleからもたびたび危険サイト認定されてるしね

    • by Anonymous Coward

      実際、危険だからね。うっかりってこともあるし、ログインはなるべくしない方が良い。

      • by Anonymous Coward

        スラドに課金されたり個人情報入力するところなんてあったっけ? ログイン機能があるだけで危険とかいうほうがよっぽどおかしい

        • by Anonymous Coward on 2015年10月24日 17時42分 (#2905829)

          それ単体でしかものを見ていないからでは?

          メールアドレスとユーザーログイン用パスワードを盗んで他のサイトでログインできるか試すっていうのは
          最近の大量流出でもよく出てくる手なので、「脆弱なログイン機能があるだけでも危険」はそこまでおかしくないでしょう。
          気にしすぎだよというならわかりますけどね。

          あとメールアドレスは捨てアドやここだけでの利用じゃなければ個人情報たりえる。
          アドレス帳に追加してSNSでアドレス帳から検索かければだれかわかっちゃう人もいるんじゃないの。

          親コメント
  • by Anonymous Coward on 2015年10月24日 17時31分 (#2905823)

    どうせスラドは
    type="text" で
    お茶を濁すんやろ?

    • by minet (45149) on 2015年10月24日 17時39分 (#2905828) 日記

      いちおう、https://m.srad.jp を見る限り、とっくに証明書を取得しているみたいなんですけどねぇ。
      なぜ本サイトをなかなかHTTPSに移行しないのか。
      それとも将来的にm.sradに一本化する予定なんだろうか。

      親コメント
      • 契約している広告主や広告配信事業者に、https (TLS) な広告コードを提供していない会社(リンク先ページが 平文HTTPで、Referer でクリック解析をしたい事業者を含む)が存在するからではないでしょうか。ざっと見た限り、スラド(PC版)は、広告コードが HTTPS に対応してなかったと思われる広告配信事業者とも提携しているようです(最新の状況を確認したわけではなく確証がないので、業者名は書かないでおきます)。

        なお、以前は Google AdSense も https だと広告収入がだいぶ減ってしまった(HTTPS非対応の広告がオークションにかけられず、広告単価が下がってしまうため)のですが、最近では状況がかなり改善されてきています。

        # 私のとあるサイトも、月極広告の広告主のサイト(リンク先)が 平文HTTPで、かつ広告主が Google アナリティクス を使って Referer をもとにクリック数や広告成果の解析をしているので、https に移行できないでいます(HTTPS → HTTP では原則 Referer が飛ばないため)。
        # meta name="referrer" [impressrd.jp] に IEが対応してくれていれば、状況は違ったのですが……。

        親コメント
        • なるほど、納得です。解説ありがとうございます。
          そういえば先日、広告のネタでこんなツリー [it.srad.jp]がありましたが、腑に落ちました。
          「Refereでの情報収集をやめる」と言わずに「広告を暗号化する」と表現するとは、なにか姑息ですね。

          親コメント
        • 仮に通常状態ではHTTPのままにしたいのだとして、ならば、ログインページだけHTTPSにして、セッションクッキーをHTTPに取り回すのではだめなのでしょうか。

          親コメント
          • ログインページだけHTTPSにして、セッションクッキーをHTTPに取り回すのではだめなのでしょうか。

            その方式であれば、広告が制約されるのはログイン画面(やパスワード変更画面など)だけになるので、「広告主も対応してくれないと https への移行は難しい」という問題は生じません。

            ID(メールアドレス)とパスワードを入力するページとフォームの送信先を HTTPS にしておけば、ID(メールアドレス)とパスワードを守ることができるので、ユーザーがそれらを使いまわしした場合の危険性が軽減するというメリットがあります。

            # 当然ですが、守れるのはIDとパスワードだけなので、通信が傍受・改竄可能な場合、セッションが乗っ取られる危険があります。

            親コメント
            • by Anonymous Coward

              そこは実装である程度回避できる。

              ログイン時に発行するcookieに、secure属性を持たせたセッションIDだけでなく、secure属性を持たせないセッションIDの代替になるトークンも同時に書き込めばいい。
              通常画面はトークンを使ってユーザーを認証し、書き込み時のpost先やユーザー情報編集ページはhttps必須にしてそこだけセッションIDを認証すれば乗っ取りは防げる。
              トークンは平文で流れるから盗聴可能だけど、センシティブな部分に使わないようきちんと実装すればユーザーセッションを乗っ取ることを防ぎつつメイン画面はhttpで取り回せる。

              サイトによっては使えない方法だけど、スラドとかならそれでいいんじゃないかな。

              • by Anonymous Coward

                いや、スラドでもダメだろ。メアドとかが漏れる問題は解決できない。個人情報を普通にGETしてるんだから、そんな幻想は捨てた方がいいよ。

          • by Anonymous Coward

            すべてのページに(非表示の)ログインフォームがあるのでトップページから警告が出てるんだよね。そのプランで行くならログインページ以外からログインフォームを撤去する必要がある

  • by Anonymous Coward on 2015年10月24日 17時44分 (#2905830)

    する機能は昔からあったけどいつの間にかデフォで機能無効化されたからねえ。

    • by Anonymous Coward on 2015年10月24日 18時57分 (#2905870)

      ここ最近の Mozilla は Google の猿真似ばかりして、そのせいか思考まで Google に似て来ちゃったんだよねぇ。
      その最たるものが、フリーソフトの大原則であった筈の「自己責任による自由」の否定。
      リスクになりそうなものなら何でもかんでも禁止したりガチガチに管理したりして、それを解除する自由もユーザーから剥奪しちゃう。
      自分達(ブラウザ)が変わっていけば Web も変わる、とでも言わんばかりに後方互換性の斬り捨ても平気でして来る。
      正直、エンドユーザーやアドオン開発者、Web デザイナーの意見や要望を聞いてやっているのか疑わしく思える程なんだよね。

      親コメント
      • by Anonymous Coward

        と言うか財政的にGoogleに支配されてるし、さもありなん。

        • by Anonymous Coward on 2015年10月24日 20時22分 (#2905936)

          Googleとの契約が終了してから1年くらい経つのにまだこんなこと言ってる奴がいるのか。そろそろ「IEはWindows Updateにしか使わない」に並ぶ知識を更新できない老害ホイホイネタに認定してもよさそうだ。

          親コメント
          • by Anonymous Coward

            いや、契約切れても行動はすぐには変わらないよ。独立心にとむモジラの人がドライな対応をしてたわけではないでしょう。
            金もらわなくてもそういう行動をする人がG金をバックに地位を確立して権力を掌握した結果そうなっていたのだから
            契約切れたから今日から元に戻ります。なんてことにはならない。

            • by Anonymous Coward

              知らなかったと素直に言えばいいのに見苦しい。2行目以降は妄想の垂れ流しだし。

        • by Anonymous Coward

          いや、Firefox が Chrome のデッドコピーになりつつあるというだけで、今も財政的に繋がりが有ると言った覚えは無いのだけどねぇ。
          まぁ、悪い事には違い無いけど。

  • by Anonymous Coward on 2015年10月24日 19時11分 (#2905878)

    HTTPS非対応サイトはなくなっても別に困らんだろ

    • by Anonymous Coward on 2015年10月24日 19時25分 (#2905886)

      お前さんが困らんからといって世の中がそうと決めつけちゃいかんよ。

      オレオレ証明書でもいいってなら兎も角、ちゃんとした証明書なら格安のでも年間数千円はかかるわけで、個人が運営してるサイトならそんだけ手間も増える。
      どうしたってサーバーへの負荷も高くなるわけで、個人情報収集するわけでもパスワードやら何やら入力するわけでもないサイトまでHTTPSにするメリットがそこまであるとは到底思えん。

      親コメント
    • 名前ベースバーチャルホストとか使っていると問題になるケースがあるんじゃないの?

      最近は大分対応可能になってきつつあるみたいですけど.

      親コメント
      • by Anonymous Coward

        SNI [sakura.ad.jp]なら、今どきのサーバやブラウザならほとんど対応してますよ。

    • by Anonymous Coward

      証明書料金に鯖+ドメインの維持費用の9倍くらいかかるけど代わりに支払ってくれるの?

      • by Anonymous Coward

        その金が払えないようなサイトは「ユーザー」や「パスワード」っていう言葉を使うことが許されてないってだけの話なんだけどね。

        • by Anonymous Coward

          その程度の代金も工面できないサイトに存在意義はないよねえ

  • by Anonymous Coward on 2015年10月24日 19時38分 (#2905899)

    IEってアラート表示しませんでしたっけ?

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...