パスワードを忘れた? アカウント作成
13524880 story
Chrome

Chrome 68ではすべてのHTTP接続ページで安全性に関する警告が表示される 66

ストーリー by headless
警告 部門より
Googleが7月にリリースを予定しているChrome 68では、すべてのHTTP接続ページで安全性に関する警告が表示されるようになるそうだ(Chromium Blogの記事Softpediaの記事VentureBeatの記事The Registerの記事)。

GoogleはHTTP接続ページで情報アイコンの右側に警告メッセージ「Not Secure」(日本語版では「保護されていません」)を表示する場面を徐々に拡大しており、Chrome 56以降ではパスワード入力フィールドやクレジットカード入力フィールドを含むHTTP接続ページで警告が表示されるようになった。Chrome 62以降ではHTTP接続ページの任意の入力フィールドへの入力を開始すると警告が表示されるようになり、シークレットウィンドウではすべてのHTTP接続ページで警告が表示されるようになっている。

Chrome 68では現行版のシークレットウィンドウでHTTP接続ページを表示した場合と同様、すべてのHTTP接続ページで「保護されていません」と表示されることになる。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年02月12日 12時02分 (#3360122)

    HTTPS強要でどれだけのエネルギーが必要だと思ってるんだ

    • むしろGoogleはCO2の取り引きなら枠を売る側かもしれん、SPDYからHTTP/2開発の流れでの通信の効率化とかで減った電力分のほうが大きいんじゃないか?

      # ヨタです。

      --
      M-FalconSky (暑いか寒い)
      親コメント
      • by Anonymous Coward

        HTTP/2が速いという幻想 [hatenadiary.jp]

        どうかエンジニアとして、「~がHTTP/2は速くなると言っているから」ではなくて、事実を見てご判断下さい。

        高速化とは、計算量を如何に削減できるかの勝負なのです。 HTTP/2だって、Resource Hintsだって、計算量を増やす事なんです。

        そして、コンピュータは、そうそう簡単に並列処理はできないのです。 大抵は、並列処理すると、そのオーバーヘッドのコストの方が高くつきます。 このあたりは、大学や大学院で並列処理を研究されている方ならよくご存じの事です。

        • べつに早いはいってないって
          バイナリなんでテキストパースな負担より軽いかも

          # というヨタだってば

          --
          M-FalconSky (暑いか寒い)
          親コメント
        • by Anonymous Coward

          HTTP/2 は本当に遅いのかも知れない。
          だが、サンプル数1で「事実」とか言い出すような人物の話は全く参考にならない

        • by Anonymous Coward

          HTTP/2の高速化は基本的にネットワークのボトルネックを解消するんだから、それなりに高速なネットワークでは意味ないよ。
          もしくはサーバーリソースの節約のためとしてもGoogleぐらいに大規模なところでないと。

    • HTTPS強要でどれだけのエネルギーが必要だと思ってるんだ

      どれだけなの?

      親コメント
      • by Anonymous Coward

        こんなにも

        • by Anonymous Coward

          こんなにも

          おもしろいと思って書いているなら2ちゃんねるでも5ちゃんねるでもいけばいい。

      • by Anonymous Coward
        ・証明証分の通信
        ・認証局との通信
        ・共通鍵を非対称鍵による暗号化、復号化
        ・サイトとの通信全体を共通鍵による暗号化、復号化

        これらに必要なエネルギーが上乗せされる。
        まだあるかもしれないかな?
    • by Anonymous Coward on 2018年02月12日 12時10分 (#3360126)

      Youtubeの方がエネルギーが必要なのに今更。

      親コメント
    • by Anonymous Coward on 2018年02月12日 12時11分 (#3360128)

      強要はしてない
      ただ「安全じゃない」って表示されるだけ
      それが嫌なら対応すれば良いだけだし、構わなければそのままで良いんじゃない?

      というか証明書取るのがめんどくさいとか思うならサイト管理者になっちゃいけない人なんだろうなと個人的に思う

      親コメント
      • by Anonymous Coward

        セキュリティって本来、想定されるリスクと、それに見合った対策のセットだと思うのだけど。
        そりゃまあhttpとhttpsのどちらが、より盗聴等のリスクがないかと言えば後者だけどさ。
        多少の盗聴等のリスクを加味しても、その結果として漏洩等が想定されないコンテンツだから、httpの汎用性を選択する、みたいなことはあっても良いと思うし。
        少なくともHTMLの仕様やW3Cの基準とは違う判定を、Googleの独自判断で進めるのが正しいとは、到底思えない。

        # つーかVerisignより粗悪な認証局をモグラ叩きする世界は見たくない

        • by Anonymous Coward on 2018年02月12日 13時21分 (#3360145)

          盗聴は情報を入力させなければ関係ないけど、SSLには改竄防止の意味もあるので、コンテンツの品質を保証するためにもうHTTPSを必須にしよう、というのは現代ではありだと思う。
          証明書が全て有料だった頃は無茶だったけど、今やLet’s Encryptとかで無料のものも出回っているのだし。

          # 自宅の自分専用鯖ですらHTTP→オレオレSSL→Let’s Encryptと移行を済ませた。

          親コメント
          • >Let’s Encrypt
            今は楽ですよね~。
            20年くらい前、自社サーバでhttpsについて調べてたら。
            公証役場がどうたらとか、申請書類は英文で外国の会社にとか、支払い方法は云々でとかで、頭から湯気が沸騰した。ものすごいCO2の排出量だったと思う。
            #結局レンタルサーバ利用に落ち着いた。
            親コメント
      • by Anonymous Coward

        手間さえかければマルウェア配信サイトとか、フィッシングサイトでさえHTTPS化出来ますよね。
        つまり、それらのサイトよりも管理がずさんであると思います。
        であれば、安全じゃない確率高いよこのサイトって表示されるのは仕方ないですよねー。

      • by Anonymous Coward

        FUDやんけ
        Googleは悪

      • by Anonymous Coward

        ただの日記サイトやチラシの裏的な情報サイトまでにHTTPSは必要ないとおもうんだけどなぁ……。
        HTTPS化することと、そのサイト(サーバ)が外部からの攻撃(改竄など)に強いというのは別でしょうし。
        経路で改竄しやすいのかもしれないけど、それだとHTTPSもどうだかって感じですよね………。

        • by Anonymous Coward

          たとえばローカルで閉じた範囲の機器(一般家庭用ルーター等)の設定画面は、http://192.168以下略 みたいなのが大多数だけど、こんなのに「危険性がある」なんて表記されたら、問い合わせ急増してサポートセンターはブチ切れると思う。

          せめて警告の対象が「すべてのhttp通信」でなく「インターネットを経由するhttp通信」ならわからんでもないけど。

        • by Anonymous Coward

          公衆Wi-Fiで勝手に広告挿入してコンテンツ改竄 [adage.com]とか良く聞く話ですし、HTTPSの方が安全なことは確かですよ。

      • by Anonymous Coward

        嘘はついていないよね。危険とは言っていないし。

      • by Anonymous Coward

        Chrome使う時点でGoolgeに情報駄々洩れやんけ
        Chromeに常に「Googleに情報を送信される恐れがあります」って表示しとけ

    • by Anonymous Coward

      モバイル回線で頻繁に基地局が切り替わるような環境だとHTTP/2ではTCPセッション張り直す必要が無くなるので全体的にはエネルギー消費低くなるんじゃないかな

      • by Anonymous Coward

        TCPコネクション自体が切断されたら再利用できるわけないだろ。

      • by Anonymous Coward

        MultiPath TCPは対応端末が少なかったはずですし、HTTP/2よりも、UDPベースでカーネルの変更が不要なMultipath QUICの方が本命かと。

  • https://transparencyreport.google.com/https/overview?hl=ja [google.com]

    国内のサイト運営者もユーザーもセキュリティ意識は他国に比べて低いようだ

    だから日本で再び史上最大の仮想通貨盗難事件が起きたときもあまり驚かなかった

  • by Anonymous Coward on 2018年02月12日 12時14分 (#3360129)

    今、あのドメインの証明書ってどういう扱いになってるんだろう。
    以前、これはFirefoxでの話だけど、手作業でインストールした覚えがあるような。

  • by Anonymous Coward on 2018年02月12日 12時21分 (#3360131)

    いずれHTTPでのアクセスはできなくなるのかのう。

  • by Anonymous Coward on 2018年02月12日 12時27分 (#3360134)

    自分のところのサイトがすべてHTTPS化が完了したから実施するみたいなそういうやつ

    • by Anonymous Coward

      そう
      自分のところがさんざん環境破壊しまくって経済成長したくせに諸々の規制を新興国にも押し付けるみたいなそういうやつ

      • by Anonymous Coward

        https化ごときで環境環境と唱えてるあなた、Googleに親でも殺されたの?
        httpsは人の役に立ってるけど、コインのマイニングなんて本質的に無価値なものに莫大なエネルギー使ってんだから、まずはそっちを攻めなさい。

        • by Anonymous Coward

          https化されたら困る人が反発してるんだよ。
          つまり…皆まで言わなくともどういう人か解りますね。

      • by Anonymous Coward

        > そう
        > 自分のところがさんざん環境破壊しまくって経済成長したくせに諸々の規制を新興国にも押し付けるみたいなそういうやつ

        そりゃ、新興国の先祖が不勉強だったことを恨むべき。
        どの世界でも勝者は禁止されそうな事を禁止される前にやった者。
        ルールは勝者が作る。

    • by Anonymous Coward

      自分のサイトをhttps化した時と同じでreferer送られるのが嫌なだけでは。
      広告主にどこのサイトがクリック率高いかばれちゃうから。
      情報なければGoogleの言うこと鵜呑みにするしかない。

  • by Anonymous Coward on 2018年02月12日 12時52分 (#3360138)

    Chromeを使うとセキュリティソフトがキケンだよって表示するから使うのやーめた

    • by JiJii (48132) on 2018年02月12日 18時56分 (#3360269)
      「クロームを使うと保護されていないページばかり表示します。安全なページを表示してくれるブラウザを教えてください」、というところまで想像しました。
      親コメント
    • by Anonymous Coward

      初心者じゃなくたって、うるさいとか操作性が悪いとか感じたら他のブラウザに乗り換えるだけだよな

      • by Anonymous Coward

        いちいちボタンを押すのがメンドクサイって立派な乗り換え理由ですね

      • by Anonymous Coward

        みんなFirefox使おうぜ!

  • by Anonymous Coward on 2018年02月12日 12時58分 (#3360142)

    使うのやめるだけでは?

    そうして別に何かが解決されるわけでもないんだし
    使う義理も無いんだし

    • by Anonymous Coward

      うざいポップアップを無視することが常識になって、本当に危ない警告すら無視してしまう危険性が。

      • by Anonymous Coward

        昔から伝わる格言ってのは見事なまでに人の本質を突いているよな。
        過ぎたるは及ばざるがごとし、って。

  • by Anonymous Coward on 2018年02月12日 17時22分 (#3360236)

    「Not Secure」ってメッセージを出す事で、逆にそれが出ないとセキュアだと思ってしまう弊害がある気がする。販売詐欺サイトなんかはHTTPS使っていても、商品が送られてこないかも知れないし。

    日本語版の「保護されていません」でも、誤解する人はいるだろうが、多少はまし。あ、でも、「(通信自体は)保護されている(サイト自体の事は知らんけど)」ってニュアンスが伝われないから一緒か…

    • by Anonymous Coward

      Secureってメッセージが出ても、接続先が乗っ取られてるものかもしれないし、保護されていると出ても、何から?何を保護してくれているの?Secureか保護されているかなんて、ブラウザが判断するのは分不相応。そんなことわかるわけがない。

  • by Anonymous Coward on 2018年02月13日 9時52分 (#3360472)

    日本企業に限った問題かもしれないけど、特定サイトを閲覧禁止にしたりアクセスログ取ったり投稿内容を監視したり・・・
    とかの、やってることは中間者攻撃と変わらない「セキュリティ製品」がHTTPSだと死ぬ。
    端末にスパイウェア仕込む監視製品もあるけど、対応ブラウザが限られてるんだよな(だからIE以外使用禁止の社内ルールが出来る)

typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...