パスワードを忘れた? アカウント作成
13602220 story
Chrome

Chrome 69ではHTTPS接続ページの「保護された通信」という表示が削除される 58

ストーリー by headless
保護 部門より
Googleは17日、9月リリースのChrome 69でHTTPS接続ページの「保護された通信」という表示を削除する計画を明らかにした(Chromium Blogの記事Making HTTP As Non-SecureThe Vergeの記事Ars Technicaの記事)。

ChromeではHTTP接続ページで情報アイコンの右側に「保護されていません」という警告メッセージが表示される場面を徐々に拡大しており、7月リリース予定のChrome 68ではすべてのHTTP接続ページに警告を表示する計画だ。一方、Chromeで閲覧されるHTTPS接続ページの比率が2年前と比べて大幅に増加していることもあり、保護された通信をデフォルト扱いにし、特に表示を行わないことに決めたという。

Chrome 69ではHTTPS接続ページで錠前アイコンのみがグレーで(現在は緑色)表示されるようになり、将来はアイコンも表示されなくなるようだ。この部分には証明書の情報やサイトの設定などを表示する機能が割り当てられているが、これらの機能がどうなるのかについては説明されていない。

また、10月リリースのChrome 70では、HTTP接続ページでユーザーがデータを入力した際に情報アイコンが警告アイコンに変わり、アイコンと「保護されていません」表示が赤色に変化するようになることも同時に発表された。将来はデータ入力の有無にかかわらず、すべてのHTTP接続ページで警告表示にする計画とのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by 90 (35300) on 2018年05月21日 23時28分 (#3412331) 日記

    画像 [blogspot.com]

    まあ、まずは画像をご覧下さいな。

    現在のChromeでは、TLS(HTTPS)の場合はこう表示されます。太字部はいい感じの緑になってます。

    🔒Secure | example.com

    しかし、TLS/SSL/HTTPSはもう当たり前なので、HTTPSが特別安全なのではなくて平文HTTPが特別危険なのだというのがGoogleさんの考えなわけです。
    当たり前のことを伝達する必要は [google.co.jp]ありませんよね。とはいっても、一気に非表示にしてしまうと、ちょっと怖いですよね。

    🔒 example.com

    そこで、2018/09からは上のように、目立つSecureを省くことが予定されています。これが本題。そして、

    example.com

    将来のいずれかの時点において、TLSを通常通り使っている場合は、上のように何も特別な表示をしないような仕様変更を予定しています、というのがこの記事の内容です。
    ちなみに、平文HTTPを使っている場合は特別かつ危険な状態と再定義されるわけですから、

    ℹ️ Not secure | example.com

    または、何か入力しようとした場合は

    ⚠️ Not secure | example.com

    という表示がされるようになります。こちらは2018/10から。

  • by Anonymous Coward on 2018年05月20日 19時55分 (#3411739)

    TLSを使わない「レガシーHTTP」のサポートが廃止されるのだろうか

    • by minet (45149) on 2018年05月20日 20時04分 (#3411745) 日記

      80番ポートの遮断がFirewallのデフォルトになる日も意外と遠くないんじゃないかって気がしてきた

      親コメント
      • by Anonymous Coward

        気がしてきたって、常時SSLって言い出した時点で誰でも予想する未来だろ。

        • by Anonymous Coward

          外向けはそうかもしれないけど、社内の部門サーバーまでhttpsにする必要ってあるのかな?
          もちろんする自由もあると思うけど。

          • by Anonymous Coward

            まぁ、偽装ARPやMITMを検知できないネットワークとか、社内Wi-FiがあるならSSL化は選択肢の一つかもね。
            # もちろん適切に証明書を管理している必要がありますが。

      • by Anonymous Coward

        たまにうちのbuffaloのルータが暴走して、80番ポートを遮断していますが(443は通る)
        最先端を進んでいたんですね。

    • by Anonymous Coward

      レガシーHTTPが廃止されたら、公衆無線LANも安心して使えるようになりますね。

      …と思ったけど、DNSとかRTP辺りもどうにかしないと不味いか。

  • by Anonymous Coward on 2018年05月20日 22時16分 (#3411784)

    スマホのUIで情報アイコンに警告アイコン出して
    いったい誰が見て気付くんですかね
    PCのUIでさえ一般人はそんなところ
    見てないんじゃないかね

    • by Anonymous Coward

      てことは安全であるかのように緑の錠前を出す必要もないってことですよね。

      • by Anonymous Coward

        てことは安全であるかのように緑の錠前を出す必要もないってことですよね。

        だってスマホのUIだと
        アドレスバー見えてることのほうが少ないんだもの

        • by Anonymous Coward

          Chromeでページを移動すると、毎回アドレスバーが表示されるようですが、あなたのChromeではそうではないのですか?

          • by Anonymous Coward

            Chromeでページを移動すると、毎回アドレスバーが表示されるようですが、あなたのChromeではそうではないのですか?

            うむよくみているな
            おめでとう
            君は逸般人だ

    • by Anonymous Coward

      ユーザ向けじゃなくてHTTPSとか要らん、と主張する経営層を説得するための物ですよ

      • by Anonymous Coward

        ユーザ向けじゃなくてHTTPSとか要らん、と主張する経営層を説得するための物ですよ

        経営者「そんな面倒なchromeなんて要らん、IEがあるだろ」

        • by Anonymous Coward

          マジレスすると偉い人は体面気にするので「どうにかして警告無くせ」になります

  • by Anonymous Coward on 2018年05月20日 23時05分 (#3411794)

    特に複数のブラウザ使ってると警告される場面が頻繁に変わるんで「またか」と全ての警告を無視するようになってしまう。

    • by Anonymous Coward

      一般人は複数のブラウザなんて使わないから大丈夫。

      • by Anonymous Coward

        会社では指定のFirefox、Firefox嫌いなので家ではSafari使ってる。

  • by Anonymous Coward on 2018年05月21日 4時47分 (#3411832)

    HTTPS化を推奨している人達は中国の金盾みたいな装置から検閲を防ぐには暗号化が有効だと言ってましたが
    今までは政府に特に都合の悪いページだけ遮断していたのに今ではドメイン(DNSブロッキング)ごと、あるいはIPアドレスごと、
    更にはIPブロックやアドレス割り当て国ごとブロックする世の中になってしまいました
    WikipediaやGoogle、Facebookが中国からみれないのは有名な話ですが、ロシアでもIPブロッキングが加速化 [cnet.com]してます

    例えばYouTubeに王政に批判的なコンテンツがあった場合、HTTPS化される前ならそのページだけブロッキングするだけですみました

    でも、今は「不敬罪に該当するからコンテンツを消せ 応じなかったらドメインごとブロッキングする」とGoogleに圧力をかけ強引に削除させたり
    削除されなかった場合は実際にYouTube丸ごとブロッキングしたりします
    トルコやタイがこれをやったのも有名な話です

    HTTPS化は通信の秘密を守る上では重要でしょうけど、そのせいでコンテンツを消さなきゃブロッキングをするといった脅しやオーバーブロッキング行為は拡大してしまいました

    • by Anonymous Coward

      でっていう。
      ブロックされるぐらいなら改竄される方がマシって言ってるわけじゃないよね?

      • by Anonymous Coward

        HTTPであればブロックされないという話でもないので、HTTPSとドメインのブロックは別問題でしょう。

    • by Anonymous Coward

      奪われたのは「検閲の自由」であって「通信の自由」ではないよ。
      結果的に政府機関による検閲範囲が拡大したとしても、それを行っているのは政府機関なのだ。

  • by Anonymous Coward on 2018年05月21日 12時20分 (#3411926)

    「保護された通信」という表示は反故されますた

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...