Chrome 69ではHTTPS接続ページの「保護された通信」という表示が削除される 58
ストーリー by headless
保護 部門より
保護 部門より
Googleは17日、9月リリースのChrome 69でHTTPS接続ページの「保護された通信」という表示を削除する計画を明らかにした(Chromium Blogの記事、
Making HTTP As Non-Secure、
The Vergeの記事、
Ars Technicaの記事)。
ChromeではHTTP接続ページで情報アイコンの右側に「保護されていません」という警告メッセージが表示される場面を徐々に拡大しており、7月リリース予定のChrome 68ではすべてのHTTP接続ページに警告を表示する計画だ。一方、Chromeで閲覧されるHTTPS接続ページの比率が2年前と比べて大幅に増加していることもあり、保護された通信をデフォルト扱いにし、特に表示を行わないことに決めたという。
Chrome 69ではHTTPS接続ページで錠前アイコンのみがグレーで(現在は緑色)表示されるようになり、将来はアイコンも表示されなくなるようだ。この部分には証明書の情報やサイトの設定などを表示する機能が割り当てられているが、これらの機能がどうなるのかについては説明されていない。
また、10月リリースのChrome 70では、HTTP接続ページでユーザーがデータを入力した際に情報アイコンが警告アイコンに変わり、アイコンと「保護されていません」表示が赤色に変化するようになることも同時に発表された。将来はデータ入力の有無にかかわらず、すべてのHTTP接続ページで警告表示にする計画とのことだ。
ChromeではHTTP接続ページで情報アイコンの右側に「保護されていません」という警告メッセージが表示される場面を徐々に拡大しており、7月リリース予定のChrome 68ではすべてのHTTP接続ページに警告を表示する計画だ。一方、Chromeで閲覧されるHTTPS接続ページの比率が2年前と比べて大幅に増加していることもあり、保護された通信をデフォルト扱いにし、特に表示を行わないことに決めたという。
Chrome 69ではHTTPS接続ページで錠前アイコンのみがグレーで(現在は緑色)表示されるようになり、将来はアイコンも表示されなくなるようだ。この部分には証明書の情報やサイトの設定などを表示する機能が割り当てられているが、これらの機能がどうなるのかについては説明されていない。
また、10月リリースのChrome 70では、HTTP接続ページでユーザーがデータを入力した際に情報アイコンが警告アイコンに変わり、アイコンと「保護されていません」表示が赤色に変化するようになることも同時に発表された。将来はデータ入力の有無にかかわらず、すべてのHTTP接続ページで警告表示にする計画とのことだ。
なんで逆に解釈してる人が多いんだろう (スコア:4, 参考になる)
画像 [blogspot.com]
まあ、まずは画像をご覧下さいな。
現在のChromeでは、TLS(HTTPS)の場合はこう表示されます。太字部はいい感じの緑になってます。
🔒Secure | example.com
しかし、TLS/SSL/HTTPSはもう当たり前なので、HTTPSが特別安全なのではなくて平文HTTPが特別危険なのだというのがGoogleさんの考えなわけです。
当たり前のことを伝達する必要は [google.co.jp]ありませんよね。とはいっても、一気に非表示にしてしまうと、ちょっと怖いですよね。
🔒 example.com
そこで、2018/09からは上のように、目立つSecureを省くことが予定されています。これが本題。そして、
example.com
将来のいずれかの時点において、TLSを通常通り使っている場合は、上のように何も特別な表示をしないような仕様変更を予定しています、というのがこの記事の内容です。
ちなみに、平文HTTPを使っている場合は特別かつ危険な状態と再定義されるわけですから、
ℹ️ Not secure | example.com
または、何か入力しようとした場合は
⚠️ Not secure | example.com
という表示がされるようになります。こちらは2018/10から。
そのうち (スコア:0)
TLSを使わない「レガシーHTTP」のサポートが廃止されるのだろうか
Re:そのうち (スコア:1)
80番ポートの遮断がFirewallのデフォルトになる日も意外と遠くないんじゃないかって気がしてきた
Re: (スコア:0)
気がしてきたって、常時SSLって言い出した時点で誰でも予想する未来だろ。
Re: (スコア:0)
外向けはそうかもしれないけど、社内の部門サーバーまでhttpsにする必要ってあるのかな?
もちろんする自由もあると思うけど。
Re: (スコア:0)
まぁ、偽装ARPやMITMを検知できないネットワークとか、社内Wi-FiがあるならSSL化は選択肢の一つかもね。
# もちろん適切に証明書を管理している必要がありますが。
Re: (スコア:0)
たまにうちのbuffaloのルータが暴走して、80番ポートを遮断していますが(443は通る)
最先端を進んでいたんですね。
Re: (スコア:0)
レガシーHTTPが廃止されたら、公衆無線LANも安心して使えるようになりますね。
…と思ったけど、DNSとかRTP辺りもどうにかしないと不味いか。
Re: (スコア:0)
DNSの方も、今年に入ってDNS over TLS [wikipedia.org]の更新版が出たり (RFC 8310 [ietf.org])、Android P開発版がDNS over TLSに対応したり [googleblog.com]していて、着々と進んでいるようです。
Re: (スコア:0)
大手DNSサーバーだと、Cloudflareが既にDNS over TLSをサポートしている模様 (ただし旧仕様のRFC7858準拠)。
https://developers.cloudflare.com/1.1.1.1/dns-over-tls/ [cloudflare.com]
Google Public DNSはまだみたいですね。
頑張る方向性間違ってないか? (スコア:0)
スマホのUIで情報アイコンに警告アイコン出して
いったい誰が見て気付くんですかね
PCのUIでさえ一般人はそんなところ
見てないんじゃないかね
Re: (スコア:0)
てことは安全であるかのように緑の錠前を出す必要もないってことですよね。
Re: (スコア:0)
てことは安全であるかのように緑の錠前を出す必要もないってことですよね。
だってスマホのUIだと
アドレスバー見えてることのほうが少ないんだもの
Re: (スコア:0)
Chromeでページを移動すると、毎回アドレスバーが表示されるようですが、あなたのChromeではそうではないのですか?
Re: (スコア:0)
Chromeでページを移動すると、毎回アドレスバーが表示されるようですが、あなたのChromeではそうではないのですか?
うむよくみているな
おめでとう
君は逸般人だ
Re: (スコア:0)
ユーザ向けじゃなくてHTTPSとか要らん、と主張する経営層を説得するための物ですよ
Re: (スコア:0)
ユーザ向けじゃなくてHTTPSとか要らん、と主張する経営層を説得するための物ですよ
経営者「そんな面倒なchromeなんて要らん、IEがあるだろ」
Re: (スコア:0)
マジレスすると偉い人は体面気にするので「どうにかして警告無くせ」になります
またか (スコア:0)
特に複数のブラウザ使ってると警告される場面が頻繁に変わるんで「またか」と全ての警告を無視するようになってしまう。
Re: (スコア:0)
一般人は複数のブラウザなんて使わないから大丈夫。
Re: (スコア:0)
会社では指定のFirefox、Firefox嫌いなので家ではSafari使ってる。
Re: (スコア:0)
複数プロファイルよりも複数ブラウザの方が遥かに便利だからだろ。
ブラウザごとに見るサイトのジャンルを変えておけば整理しやすいしプロファイル切り替えなんて無駄な事する必要がない。
Re: (スコア:0)
まさかとは思いますが、この「一般人」とは、 あなたの想像上の存在にすぎないのではないでしょうか。
# 最初は「俺が知っている」とか予防線張ってるけど我慢しきれず「多い」とか言い出しちゃうし
Re: (スコア:0)
多分まれに良くあるというやつですよ。
HTTPS 化によって 通信の自由が奪われてしまった (スコア:0)
HTTPS化を推奨している人達は中国の金盾みたいな装置から検閲を防ぐには暗号化が有効だと言ってましたが
今までは政府に特に都合の悪いページだけ遮断していたのに今ではドメイン(DNSブロッキング)ごと、あるいはIPアドレスごと、
更にはIPブロックやアドレス割り当て国ごとブロックする世の中になってしまいました
WikipediaやGoogle、Facebookが中国からみれないのは有名な話ですが、ロシアでもIPブロッキングが加速化 [cnet.com]してます
例えばYouTubeに王政に批判的なコンテンツがあった場合、HTTPS化される前ならそのページだけブロッキングするだけですみました
でも、今は「不敬罪に該当するからコンテンツを消せ 応じなかったらドメインごとブロッキングする」とGoogleに圧力をかけ強引に削除させたり
削除されなかった場合は実際にYouTube丸ごとブロッキングしたりします
トルコやタイがこれをやったのも有名な話です
HTTPS化は通信の秘密を守る上では重要でしょうけど、そのせいでコンテンツを消さなきゃブロッキングをするといった脅しやオーバーブロッキング行為は拡大してしまいました
Re: (スコア:0)
でっていう。
ブロックされるぐらいなら改竄される方がマシって言ってるわけじゃないよね?
Re: (スコア:0)
HTTPであればブロックされないという話でもないので、HTTPSとドメインのブロックは別問題でしょう。
Re: (スコア:0)
奪われたのは「検閲の自由」であって「通信の自由」ではないよ。
結果的に政府機関による検閲範囲が拡大したとしても、それを行っているのは政府機関なのだ。
つまりこういうことか (スコア:0)
「保護された通信」という表示は反故されますた
Re:#DeleteChrome (スコア:1)
なんで?
Chromeはユーザーのプライバシーをより強く守る方向性の指針でしょ
Re:#DeleteChrome (スコア:1)
ですね。
CloudflareみたいなHTTPSリバースプロキシ [wikipedia.org]の流行で、クライアント側でのHTTPS通信がどこまで「保護された通信」か微妙になってきていますし…。
共有証明書によるサイトのSSL化
https://liginc.co.jp/362476 [liginc.co.jp]
> リバースプロキシ側にCloudFlareが提供するSSL証明書を設定することで、
> 自分では費用を払うことなく無料でサイトをSSL対応させることができます。
>
> ただし、デフォルトでは暗号化されるのはユーザーとCloudFlareの途中の経路のみで、
> CloudFlareからあなたの本来のサーバまでの経路は暗号化されません
> CloudFlareからあなたのサーバまでの経路を暗号化するには通常通り証明書の購入が必要です。
Re: (スコア:0)
CloudFlare と実サーバー間の通信は、
・HTTP
・任意の CA が発行した証明書 (オレオレ可) による HTTPS
・信頼されている CA が発行した証明書による HTTPS
から選びます。
オレオレでも一応暗号化はされます。
Re:#DeleteChrome (スコア:1)
この3つ経路のうち,どの経路が使われているか,クライアント側からは分かりますか?
Re:#DeleteChrome (スコア:1)
それ言い出したら proxy-webサーバ 間だけでなく web-db サーバ間とか web-ストレージ(nfs/iscsi/etc)間の経路とかもクライアント側からはわからないから、アホじゃない限りシステム全体として適切に設定されてる、と想定するしかない。そこだけやり玉に挙げても仕方ない。
ただ少なくともクライアント-proxy間つまりwifiやLANや接続プロバイダ内等の、webサーバ管理者の管理外の部分で漏れる/改変されることはない、とは言える (企業内管理やアンチウィルスの都合上、独自認証鍵やMITMをクライアントに仕込む場合を除く)
Re: (スコア:0)
っ https://trac.torproject.org/projects/tor/ticket/24351 [torproject.org]
Re:#DeleteChrome (スコア:1)
確かに経路に関わらず、Cloudflare自体がMITMであると見ることもできますね…。
Google はプライバシー侵害企業ですよ (スコア:1)
ブラウザの Do Not Track (DNT) って機能知ってます?
Google Chrome にもあるんですけど、これ有効にすると
とでる。
「多くのウェブサイトではユーザーの閲覧データが収集され利用されるのが現状」と他人事のように言ってるけど、Google のやってる Google Analytics は、DNT 無視してトラッキングしてる
そして、Safariでサイトを訪れたユーザーのCookieを、リターゲティング広告など、外部サイトでの行動追跡を目的とする場合は24時間しか利用できなくするプライバシー保護機能を迂回する機能 [anagrams.jp] を提供するなどして、クロスドメインの長期間の追跡を可能にしているのもGoogle
Cookie の代わりに、a要素をjavascriptで書き換え、www.example.com/?gclid=123xyz の追跡用属性を追加して、リンク先のgoogle アナリティクススクリプトでそれを読み取ることで、リンク先・リンク元にGoogleアナリティクスタグがあればサイトをまたがっても追跡できるという恐ろしい仕組みだ
プライバシーを強く守る方向性の企業なんてとんでもない嘘だぞ
HTTPS化だって、「ISPや政府のDPIを使ったデータ収集なんて許さない。Webの全てのプライバシーを独占し支配する権利はgoogleだけだからだ」って思ってやってるだけだよ。他人には許さないけど、俺はプライバシーを侵害するという海賊王のようなもんだよ。
Re:Google はプライバシー侵害企業ですよ (スコア:1)
つまりHTTPSだからといって安全ではないということですよね。
だからそのように表示することの何が不満なのでしょうか。
Re: (スコア:0, 興味深い)
HTTPSの中にHTTPの要素があると、警告出ることあるでしょ?なんかGoogleの関係物だけ例外になっているっぽいんだよ。Chromeでは…ま、GoogleならHTTPでも安全って自信なのかな。
Re: (スコア:0)
少しオフトピだけど、
iOSだとSafariにコンテンツブロックという機能があって、まぁ言ってみればAdblockするための機能なんだけど、
Twitterでリンクをアプリ内ブラウザ(WKWebViewかな?)で開くと、コンテンツブロック有効で広告消えるけど、
GoogleNewsとかGoogleのアプリで開くと余裕で表示されるんだよね。
Googleのビジネスが広告だから当然っちゃ当然だけど、やっぱGoogleがどっちの方向を向いてビジネスしてるかは・・・ね。
ほんとFacebookに文句言えないくらいユーザーを食い物にしてると思う。
Re:#DeleteChrome (スコア:1)
真逆だろw
Googleのサービスにプライバシーなど無い
Re: (スコア:0)
プライバシーがない世界ではプライバシーの侵害なんて存在しない
プライバシーがある世界だからこそプライバシーの侵害が存在する
故にGoogleのサービスにプライバシーもプライバシー侵害も存在する
# 全然三段論法になっていないような気がするorz
Re: (スコア:0)
保護する方針のものもあれば、そうでないものもある。
今回のものはプラバシーを保護するものに他ならない。
Googleだから悪みたいな言い方は、2000年台に流行ったMicrosoft叩きと同質の浅はかさを感じる。
Re: (スコア:0)
クロームが腐ったならクロミウムを使えばいいのに
ウィンドウズだとたいへんなんでしたっけ?
Re: (スコア:0)
Chromiumには非公式のバイナリしか無いんで余計なコードが組み込まれていないことが担保されない。
ChromiumをベースにしたSRWare Ironがあるけど、今はオープンソースじゃないらしい。
自分でビルドるのは慣れた人でないと中々に大変そう。
https://chromium.googlesource.com/chromium/src/+/master/docs/windows_b... [googlesource.com]
個人的には、収拾がつかなくなった大量のブックマークとおつきあいするため、Firefoxにしがみつく。
Chromeも使うけど、必要と感じた場合だけだね。
Re: (スコア:0)
公式だからとか関係無くないか?
配布元を信じるかどうか一点だろう。
Re: (スコア:0)
究極的には自分でソースを読んで大丈夫と判断してコンパイルして使う、ってことになるんだろうけどね。
それがオープンソースの利点でもあるわけで。
Re: (スコア:0)
Chromiumはソース読んで判断できるような規模じゃないけどな
開発に参加していない人間にとっては、プロプラエタリと大して変わらん
Re: (スコア:0)
今回の件で、Chromiumかどうかが関係あるのか?
Re:#DeleteChrome (スコア:1)
自分で改造して「HTTPSだよ!(緑)」と表示できるかどうか、じゃないかな。
それに利点があるのかわからないけど…