パスワードを忘れた? アカウント作成
15057903 story
Chrome

Google、プロトコルを省略したURLがChromeに入力された場合のデフォルトをHTTPSにする計画 45

ストーリー by nagazou
HTTPS化 部門より
headless 曰く、

Google ChromeのOmnibox(アドレス・検索ボックス)にプロトコルを省略してURLを入力した場合、HTTPS接続をデフォルトにする計画が進められているようだ(Issue 1141691Ghacksの記事Windows Latestの記事)。

Chromeに限らず、多くのブラウザーではプロトコルを省略したURLが指定された場合はHTTPで接続する。たとえば、「example.com」を指定すれば「http://example.com」に接続する。ただし、HTTPSをサポートするWebサイトの多くはHTTP接続をHTTPSにリダイレクトするため、「srad.jp」を指定した場合は「http://srad.jp」経由で最終的に「https://srad.jp」が表示されることになる。Chromeではリダイレクトを記憶して次回からHTTPS接続する仕組みを備えるが、多くのWebサイトでHTTPSへの移行が進む中、デフォルトをHTTPSにすることでセキュリティとパフォーマンスの向上が期待できる。

5日にコミットされた最初の実装では「upgraded HTTPS navigations」という仕組みが導入され、ナビゲーションのデフォルトスキームとしてHTTPSが使われるようになる。HTTPSナビゲーションが失敗した場合にHTTPへフォールバックする仕組みや、この際のSSLエラーを無視する仕組みも備える。次のコミットではHTTPSナビゲーションに時間制限を設け、遅いHTTPSサイトでは一定時間経過後にHTTPへフォールバックする仕組みも追加された。ただし、現在の実装は最低限のものだといい、一般提供されるまでには時間がかかるようだ。

  • これ、逆に改悪動作になるケースも結構ある予感。調整が難しそう。

    ここに返信
  • by Anonymous Coward on 2021年01月08日 15時57分 (#3955337)

    デフォルト https でフォールバック無しにするならともかく、

    HTTPSナビゲーションが失敗した場合にHTTPへフォールバックする仕組みや、この際のSSLエラーを無視する仕組みも備える。次のコミットではHTTPSナビゲーションに時間制限を設け、遅いHTTPSサイトでは一定時間経過後にHTTPへフォールバックする仕組みも追加された

    なんて余計なことをしたら、ユーザを混乱させて、かえってセキュリティが低下する。

    普段スキーム名省略で https に繋がるなら、ドメイン名だけいれればユーザは https に繋がると思い込むし、たまにフォールバックして http になることを周知するのは困難。

    通信が改竄される状況ならばHTTPS通信を悪意のある中間者が失敗させることなど容易だし、このアップデート自体、複雑にするだけで意味無し。

    仕事がなくなると、無意味や改悪のアップデートを繰り返すようになるのは、IT業界のよくある闇。
    「何もしない」と自分たちのやることがなくなるので、ユーザにとっては余計なお世話なアップデートを繰り返す。

    デフォルトをHTTPSにすることによるパフォーマンスの向上?
    http から https へのリダイレクトなんて、せいぜい数十msなので体感できないレベル。
    それも、リンクは普通httpsに貼るから、直接URL打ち込んだときだけなのでほんとに無視できるレベルだよ。

    ここに返信
    • by Anonymous Coward

      ちなみに、スキーム名省略で https に繋がり、http へのフォールバック無しなら別に良いと思う。
      http へつなぎたいなら http : // (スラドの自動変換でおかしくなるのでスペース入れた) も入れれば良い。

      一定時間でフォールバックっていうのは、「何故か遅い」というエラーも出ないトラブルとなって、解決に時間がかかって厄介なんだよね。
      IPv6の経路に問題がある場合に一定時間でIPv6からIPv4へのフォールバックするなど(フレッツのマルチプレフィックス問題その他)で、「よく分からないけど接続に時間がかかる」等のトラブルが多発して、過去どれだけ問題になったことやら。
      繋がらないなら即エラー出す等の方がまだ解決しやすい。

  • by Anonymous Coward on 2021年01月08日 13時13分 (#3955211)

    NASとかに証明書入れるのマンドクサ

    ここに返信
    • >HTTPSナビゲーションが失敗した場合にHTTPへフォールバックする仕組み
      で十分では?

      --
      ryumu
      • by Anonymous Coward

        HTTPへのフォールバックは過渡期の実装であって、将来的にはなくなるものと考えるのが無難。

        MITMでport 443をブロックするとHTTPSでつながらなくなってHTTPにフォールバックしてしまう。
        つまり、デフォルトがHTTPSだから安全というわけではなく、MITMには脆弱なままでセキュリティ的にはほとんど意味ない。
        HTTPSのサイトが増えてきたからこっちがデフォにした方が便利だよね、という程度。

      • by Anonymous Coward

        どのぐらい即座に切り替えてくれるのか。

        勤め先のWiFiが、キャプティブポータルにリダイレクトして認証させる方式のやつになっていて、
        OSがそれを察して自動でポータルを開いてくれないときは、example.comって入力して飛ばされる、
        というやり方で使ってるので。ちょっとでも待たされると面倒くさい。

        キャプティブポータルのURLをブックマークしておけば済む話ではあるけど、
        「そのURLを人間向けにアナウンスする何らかの組織内通知文書の類は無い」ということは、
        「リダイレクトして飛ばされるのが正式なアクセス方法」ってことなわけで、メモっておくハックには大義名分が無い…。

        • by Anonymous Coward

          ハックって大義名分が必要なの?

          • by Anonymous Coward

            大義名分というか、アナウンスされていないってことは、いつURLが変わってもおかしくないってことで、それで上手く行くという裏付けが無い。
            まあ、無いからハックって言うのか。

            • by Anonymous Coward

              そういう揚げ足取りだったんだが気づいてくれてよかったよ

    • by Anonymous Coward

      プロトコルを省略せずに打ち込めばいいんじゃ?

    • by Anonymous Coward

      アドレスバーに打ち込んだ場合の仕様だから、ブックマークで済ませればいい話

    • by Anonymous Coward

      IEの「開く(O)」で192とか入れ始めると候補がhttps://192.~とかになる。
      そこからsを消して開いても次回覚えていてくれない。ルータの管理画面を出したいだけなんだけど…

  • by Anonymous Coward on 2021年01月08日 13時39分 (#3955233)

    勝手にhttpだろうとか推測してページ表示しようとするのやめてほしい

    #オプションで設定方法あったら教えてください

    ここに返信
    • by Anonymous Coward

      諦めて先頭に?を入れましょう。

      • by Anonymous Coward

        ゲームなら隠し操作を見つけるのも楽しみの1つだがwebブラウザーやOSシェルでやるのマジでやめろ。
        Firefoxはアドレスバーのドロップダウン内で1クリックすると検索に絞ることができるけどChromeには似たような機能ないの? (知らない)

    • by Anonymous Coward

      「おれ、アドレスバーなんやけど・・・

      • by Anonymous Coward

        検索窓無いからしょうがない

      • by Anonymous Coward

        いや君はオムニなんちゃらって名前だったはずだ。

  • by Anonymous Coward on 2021年01月08日 13時51分 (#3955250)

    まともに証明書発行してもらうととんでもねー金がかかるし、Let's Encryptは更新がめんどくさすぎるので、未だに会社のHPがHTTPのまま。
    ・静的ページのみで漏れると困るような仕組みはない
    ・会社名での検索しか考慮してないのでSEOはどうでもいい
    こんな感じ。

    ここに返信
    • by Anonymous Coward

      その会社名で公知されている情報が、本当にその会社が出してるものなのか、なんも保証できないので、信用するに値しない

      と見做されつつある(改変はどうとでもできてしまう)からじゃない

      つーか、その手間すらケチるくらいなら、どっかhttpsやってくれるところにホスティングまかせればいいし、それすらしないのって信用できる要素がかなりないように思えるんだが

      • by Anonymous Coward

        >その会社名で公知されている情報が、本当にその会社が出してるものなのか、なんも保証できないので、信用するに値しない
        今時のフィッシングサイトは全部HTTPSだが。つかLet's Encryptの証明書でそんなもの保証できんし。
        サイト制作の営業が唱えるような寝言は十分わかってるので、もっと専門的な話が聞きたい。

        • by Anonymous Coward on 2021年01月08日 18時15分 (#3955445)

          URLというかドメインが期待の会社のまま、かつHTTPSでフィッシングするのかなり厳しいと思うので、それはさすがにいいがかりというか

          # フィッシングサイトがHTTPSであることは、ここでの話題のキモじゃないでしょう?

          • by Anonymous Coward

            その想定はMITMであってフィッシングとは言わん

            MITM攻撃対策はDV証明書で十分だが、フィッシング攻撃対策にはOV/EV証明書があった方がいいという2つの別々の話じゃろ

        • by Anonymous Coward

          …と、何も考えて無い訳じゃないんです、うちの運用なら問題ない事は明白なんです、と言い訳しなくて良くなる分だけ楽。そこまで考えても、素人には、でもなんかきもい、穴がありそう、とか思われてしまいそうで、専門家の意見を求めたくなるし。

          その気苦労を背負い込むぐらいなら、バージョンアップでトラブルが起こったときの手間は諦めて、Let's Encryptの更新を自動実行させて放置する方へ自分だったら逃げる。

          ウィルス対策ソフトを入れるべきか、と似たような話。

      • by Anonymous Coward

        .go.jpとか.ac.jpが信用するに値しない状態になったら終わりだな。

    • by Anonymous Coward

      まLet's Encryptは更新がめんどくさすぎるので

      Let's Encrypt使用可能なサーバーなのに
      自動更新使えないとか意味不明な仕様ですね
      意図的な制限なのでしょうか?

      • by Anonymous Coward

        取得自体は別端末でもできますからね。
        例えばファイアウォール等に証明書入れる場合には他マシンで取得せざるを得ない。
        今回のケースはそれとはもちろん別なんでしょうけど。

        そんな面倒するくらいなら適当なDVを年間1000円前後で取得する方が楽ですが。

        • by Anonymous Coward

          Let's Encryptには対応してない。
          貧乏な会社の為かは知らんけど、対応してない証明書でも管理画面からうpる救済措置がある。
          Let's Encryptの証明書は別サーバでも自動更新できるが、それをうpるような自動化がめんどくさい。

          >適当なDVを年間1000円前後で取得する方が楽ですが
          ほうほう。そんなリーズナブルな証明書が!

          • by Anonymous Coward

            ちょっとググれば、年$5.00のDV証明書もある。

    • by Anonymous Coward

      大半の人は証明書の発行元見ないからアドレスバーの『安全じゃありません』の印象が強いと思う
      後、今日日HTTPSじゃないとかダサって思われるだけじゃないかな

      金が絡むくせにHTTPなのは、まぁ論外(ないとおもうけど

    • by Anonymous Coward

      そのウェブサイトにアクセスするユーザーに不利益がかかる恐れがある。

      中間者攻撃として、HTMLやJavaScriptの応答にこっそり(見た目上は元のウェブページそのままで)追加の処理を仕込む。マイニングしたり、ブラウザの脆弱性にチャレンジしたりなどができる。NSAはやっていた(FOXACID)とされるし、罠Wi-Fiアクセスポイントを設置する方法なら比較的お手軽だろう。

      そういう被害を防ぐという目的もあるので、ウェブサイトの価値によらず、みなHTTPSを導入する意義がある。

  • by Anonymous Coward on 2021年01月08日 14時21分 (#3955267)

    HTTPS→タイムアウト→HTTPじゃ遅くなる。
    HTTPSとHTTP両方投げて…早い者勝ちにするわけには行かないからどうすんだって感じだけど、まぁちょっと早くなるんじゃないかな?
    もうやってるかもしれないけど。

    そもそもアクセスしようとしているURLが中間者にバレるのが問題なんだからそれもおかしいっちゃおかしいか。
    でもプロトコル省略してURL打ち込んだ時は仕方ないんじゃない?

    ここに返信
    • by Anonymous Coward

      最初にHTTPで繋いだところで通信を書き換えられて偽のHTTPSページやらに飛ばされる危険性、という問題もある。同時接続早い者勝ちで、HTTPSが繋がったらHTTPでのやりとりは捨てて安心な方へ切り替え、ぐらいをやれば多少は安全になる。既に表示されてるページをどう勝手に切り替えるのか? という問題は残る。

      • by Anonymous Coward

        MITMしたり、偽のリダイレクト応答を正規より早く返送すりゃ乗っ取れるものな。

        # スイッチングハブとか組み込み機器のHTTPの応答は遅いの有るし。

      • by Anonymous Coward

        その状況ならHTTPS側の応答をなくしてしまえば良いんじゃないかな。
        通信の書き換えができるなら応答させないこともできる。

  • by Anonymous Coward on 2021年01月08日 18時57分 (#3955476)

    ドロップダウンでHTTPSとHTTPのアドレスとして開く選択肢を表示するだけでいいだろ

    ここに返信
typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...