FirefoxとChrome、パスワード入力フィールドを含むHTTP接続のページで警告を表示 23
ストーリー by headless
警告 部門より
警告 部門より
今週リリースされたMozilla Firefox 51とGoogle Chrome 56では、パスワード入力フィールドを含むHTTP接続のページを表示すると警告が表示されるようになっている(The Vergeの記事、
Ars Technicaの記事、
9to5Googleの記事、
Softpediaの記事)。
これまでのバージョンではFirefox、Chromeともに、パスワード入力フィールドの有無にかかわらずHTTP接続のページでアドレスバー左端の情報アイコンをクリックすると接続が安全でない旨表示されていた。Firefox 51では、パスワード入力フィールドを含むHTTP接続のページを表示すると、情報アイコンの右側に赤い斜線の入った錠前アイコンが追加される。これらのアイコンをクリックすると、接続が安全でないという情報に加え、「このページのログインフォームは安全ではありません」と表示される。
Chrome 56の場合、パスワード入力フィールドを含むHTTP接続のページでは、情報アイコンの右側に「保護されていません」と表示される。HTTPS接続のページで「保護された通信」と表示されるのと同様だ。情報アイコンをクリックしたときの表示内容はパスワード入力フィールドの有無にかかわらず、従来のバージョンと違いはないようだ。
今週はArs TechnicaやThe Next WebがHTTPSをデフォルトにしたことをアナウンスしている。スラドでもいつの間にかHTTPSがデフォルトになっていたようだ。
これまでのバージョンではFirefox、Chromeともに、パスワード入力フィールドの有無にかかわらずHTTP接続のページでアドレスバー左端の情報アイコンをクリックすると接続が安全でない旨表示されていた。Firefox 51では、パスワード入力フィールドを含むHTTP接続のページを表示すると、情報アイコンの右側に赤い斜線の入った錠前アイコンが追加される。これらのアイコンをクリックすると、接続が安全でないという情報に加え、「このページのログインフォームは安全ではありません」と表示される。
Chrome 56の場合、パスワード入力フィールドを含むHTTP接続のページでは、情報アイコンの右側に「保護されていません」と表示される。HTTPS接続のページで「保護された通信」と表示されるのと同様だ。情報アイコンをクリックしたときの表示内容はパスワード入力フィールドの有無にかかわらず、従来のバージョンと違いはないようだ。
今週はArs TechnicaやThe Next WebがHTTPSをデフォルトにしたことをアナウンスしている。スラドでもいつの間にかHTTPSがデフォルトになっていたようだ。
ぴこーん! ひらめいた!! (スコア:4, おもしろおかしい)
パスワード入力欄の属性を「type="text"」にすれば、警告をなくせるじゃん。
俺って天才!!!
Re: (スコア:0)
実際にありそうで困る
Re:ぴこーん! ひらめいた!! (スコア:1)
Re: (スコア:0)
一方Yahoo! Japanは*****の下に入力した文字列を小さく表示した
httpから遷移してきたhttpsなパスワードフォーム (スコア:1)
httpから遷移してきたhttpsなパスワードフォームも警告を出すべき。
中間者攻撃で偽のサイトに誘導される可能性がある。
トップページからhttpsでなければ意味がない。
Re: (スコア:0)
日本の銀行はほとんどアウトだね
Re: (スコア:0)
さすがにそれは行き過ぎでは。
パスワードフォームのページがhttpsで正しい証明書とホスト名なら問題はないだろう。
偽のサイトに誘導される可能性はあるが、その場合は確実にホスト名は違うはずだし。
URL確認しなかった人が悪い。
というか、httpのスラドのタレコミから日経のサイトに行って、記事読むためにログインページ開いたら警告が出るわけだね。
それかログインページの前のページがhttpsならOKって?じゃあ、そのページに来る前のページがhttpで中間者攻撃受けてたら?!
Re:httpから遷移してきたhttpsなパスワードフォーム (スコア:1)
httpsなページをホームページ(本来の意味の)とし、そこからhttpsなリンクのみ辿っていけばどうだろ?
なるほど (スコア:0)
Firefoxを使ってますが、いつの間にか表示が変わってたと思ったらそういうことですか。
ログインフォームの無いページでも表示されるけど (スコア:0)
どこを見て判断してるんでしょう。例えばここ [nifty.com]とか。
Re:ログインフォームの無いページでも表示されるけど (スコア:3, 参考になる)
詳細情報をクリックして出てくるページの一番下に「開発者向けの補足」というのがあって、
そこで以下のページを見ろと解説されている。
https://developer.mozilla.org/en-US/docs/Web/Security/Insecure_passwords [mozilla.org]
ここにある通りの判断がされてると思うよ。
Re:ログインフォームの無いページでも表示されるけど (スコア:1)
そんな事している暇があったら (スコア:0)
HTTPとHTTPSが混在している環境でHTTPの画像のブロックを既定にしてくれ。
Re: (スコア:0)
テクニックと称して
広告バナーのhtml 埋め込みが蔓延する悪寒
無駄な努力 (スコア:0)
8本足なOSの上で動かしてる限り。
どうでもいいサイトはhttpsにするなよ (スコア:0)
銀行のパスワードは人に見られたくないだろうが、
スラドみたいなどうでもいいサイトはhttpでいいだろ。
Re:どうでもいいサイトはhttpsにするなよ (スコア:1)
Re: (スコア:0)
ブラウザ側で『安全ではありません』の警告が出てくるので今更httpに戻るのは無理。
ここは「証明書を売って儲けたい事業者の陰謀だー」でしょ?
Re: (スコア:0)
今のご時世、証明書は無料だからね。
https://letsencrypt.org/ [letsencrypt.org]
Re: (スコア:0)
あなたがあらゆるサイトをどうでも良いサイトかどうか判定してくださるということですか。
大変そうですが頑張ってください。
Re: (スコア:0)
今のご時世は暗号化のためだけにhttpsってところは少ないと思うの
目的のサーバに接続していることを第証明してくれるってところが重要だと思うの
Re: (スコア:0)
実際httpsであるべきって閾値はどうなんでしょうか。
改ざん等の恐れを考えたら全てhttps化すべきとなりそうな気もしますが、
導入コストからhttpで良いという考えはもはやすべきではない?
Re: (スコア:0)
HTTP/2化するために全面httpsにするべき