Google、プロトコルを省略したURLがChromeに入力された場合のデフォルトをHTTPSにする計画 45
ストーリー by nagazou
HTTPS化 部門より
HTTPS化 部門より
headless 曰く、
Google ChromeのOmnibox(アドレス・検索ボックス)にプロトコルを省略してURLを入力した場合、HTTPS接続をデフォルトにする計画が進められているようだ(Issue 1141691、 Ghacksの記事、 Windows Latestの記事)。
Chromeに限らず、多くのブラウザーではプロトコルを省略したURLが指定された場合はHTTPで接続する。たとえば、「example.com」を指定すれば「http://example.com」に接続する。ただし、HTTPSをサポートするWebサイトの多くはHTTP接続をHTTPSにリダイレクトするため、「srad.jp」を指定した場合は「http://srad.jp」経由で最終的に「https://srad.jp」が表示されることになる。Chromeではリダイレクトを記憶して次回からHTTPS接続する仕組みを備えるが、多くのWebサイトでHTTPSへの移行が進む中、デフォルトをHTTPSにすることでセキュリティとパフォーマンスの向上が期待できる。
5日にコミットされた最初の実装では「upgraded HTTPS navigations」という仕組みが導入され、ナビゲーションのデフォルトスキームとしてHTTPSが使われるようになる。HTTPSナビゲーションが失敗した場合にHTTPへフォールバックする仕組みや、この際のSSLエラーを無視する仕組みも備える。次のコミットではHTTPSナビゲーションに時間制限を設け、遅いHTTPSサイトでは一定時間経過後にHTTPへフォールバックする仕組みも追加された。ただし、現在の実装は最低限のものだといい、一般提供されるまでには時間がかかるようだ。
遅いHTTPSサイトでは一定時間経過後にHTTPへフォールバック (スコア:1)
これ、逆に改悪動作になるケースも結構ある予感。調整が難しそう。
かえってセキュリティが低下する (スコア:1)
デフォルト https でフォールバック無しにするならともかく、
HTTPSナビゲーションが失敗した場合にHTTPへフォールバックする仕組みや、この際のSSLエラーを無視する仕組みも備える。次のコミットではHTTPSナビゲーションに時間制限を設け、遅いHTTPSサイトでは一定時間経過後にHTTPへフォールバックする仕組みも追加された
なんて余計なことをしたら、ユーザを混乱させて、かえってセキュリティが低下する。
普段スキーム名省略で https に繋がるなら、ドメイン名だけいれればユーザは https に繋がると思い込むし、たまにフォールバックして http になることを周知するのは困難。
通信が改竄される状況ならばHTTPS通信を悪意のある中間者が失敗させることなど容易だし、このアップデート自体、複雑にするだけで意味無し。
仕事がなくなると、無意味や改悪のアップデートを繰り返すようになるのは、IT業界のよくある闇。
「何もしない」と自分たちのやることがなくなるので、ユーザにとっては余計なお世話なアップデートを繰り返す。
デフォルトをHTTPSにすることによるパフォーマンスの向上?
http から https へのリダイレクトなんて、せいぜい数十msなので体感できないレベル。
それも、リンクは普通httpsに貼るから、直接URL打ち込んだときだけなのでほんとに無視できるレベルだよ。
Re: (スコア:0)
ちなみに、スキーム名省略で https に繋がり、http へのフォールバック無しなら別に良いと思う。
http へつなぎたいなら http : // (スラドの自動変換でおかしくなるのでスペース入れた) も入れれば良い。
一定時間でフォールバックっていうのは、「何故か遅い」というエラーも出ないトラブルとなって、解決に時間がかかって厄介なんだよね。
IPv6の経路に問題がある場合に一定時間でIPv6からIPv4へのフォールバックするなど(フレッツのマルチプレフィックス問題その他)で、「よく分からないけど接続に時間がかかる」等のトラブルが多発して、過去どれだけ問題になったことやら。
繋がらないなら即エラー出す等の方がまだ解決しやすい。
Re:かえってセキュリティが低下する (スコア:1)
スラドの自動変換でおかしくなるのでスペース入れた
「オプション」ボタンを押して「標準のコメント投稿モード」を「ホントのテキスト形式」にしよう
「標準の~」なのはコメント入力欄でもモードを選べたころのままになっているせい
うじゃうじゃ
Re: (スコア:0)
IDなら良いけど、AC(アカウント無し)だとその設定できない
Re:かえってセキュリティが低下する (スコア:1)
あっ、「標準の~」だからアカウントがないと意味がないのか。
なんでコメント欄から選択できないようにしちゃったんですかね?スクリプト荒らし対策かな?
うじゃうじゃ
Re:かえってセキュリティが低下する (スコア:1)
D1だと、今でもコメント入力欄で選択できますよ。
D2ではいろいろと出来ることが減っちゃってますから。
D2では「新しい順に表示(スレッド無視)」が出来ないので、今もD1です。
でもって、ACだとD1に変えることができないから、詰むのは同じですけど…
Re: (スコア:0)
[コメントを書く]や[ここに返信]を中クリックや右クリック→[新しいウィンドウで開く]するとACでもD1で書ける。
新システムではD1が廃止されているようなので新システムに移行したらどうしようか悩んでいるけど
Re:かえってセキュリティが低下する (スコア:1)
Re: (スコア:0)
同じくHTTPSからHTTPへの自動フォールバックって副作用の方がデカくて微妙な仕様ぶっこむなと思う。
「接続できません。危険なHTTPでの接続を行いますか?」とワンクッション挟むなら私は許容可能かな。
ローカルIPもHTTPSかなぁ? (スコア:0)
NASとかに証明書入れるのマンドクサ
Re:ローカルIPもHTTPSかなぁ? (スコア:1)
>HTTPSナビゲーションが失敗した場合にHTTPへフォールバックする仕組み
で十分では?
Re: (スコア:0)
HTTPへのフォールバックは過渡期の実装であって、将来的にはなくなるものと考えるのが無難。
MITMでport 443をブロックするとHTTPSでつながらなくなってHTTPにフォールバックしてしまう。
つまり、デフォルトがHTTPSだから安全というわけではなく、MITMには脆弱なままでセキュリティ的にはほとんど意味ない。
HTTPSのサイトが増えてきたからこっちがデフォにした方が便利だよね、という程度。
Re:ローカルIPもHTTPSかなぁ? (スコア:2)
>NASとかに証明書入れるのマンドクサ
な状況でMITMの心配してるのがおかしい。
Re: (スコア:0)
どのぐらい即座に切り替えてくれるのか。
勤め先のWiFiが、キャプティブポータルにリダイレクトして認証させる方式のやつになっていて、
OSがそれを察して自動でポータルを開いてくれないときは、example.comって入力して飛ばされる、
というやり方で使ってるので。ちょっとでも待たされると面倒くさい。
キャプティブポータルのURLをブックマークしておけば済む話ではあるけど、
「そのURLを人間向けにアナウンスする何らかの組織内通知文書の類は無い」ということは、
「リダイレクトして飛ばされるのが正式なアクセス方法」ってことなわけで、メモっておくハックには大義名分が無い…。
Re: (スコア:0)
ハックって大義名分が必要なの?
Re: (スコア:0)
大義名分というか、アナウンスされていないってことは、いつURLが変わってもおかしくないってことで、それで上手く行くという裏付けが無い。
まあ、無いからハックって言うのか。
Re: (スコア:0)
そういう揚げ足取りだったんだが気づいてくれてよかったよ
Re: (スコア:0)
プロトコルを省略せずに打ち込めばいいんじゃ?
Re: (スコア:0)
アドレスバーに打ち込んだ場合の仕様だから、ブックマークで済ませればいい話
Re: (スコア:0)
IEの「開く(O)」で192とか入れ始めると候補がhttps://192.~とかになる。
そこからsを消して開いても次回覚えていてくれない。ルータの管理画面を出したいだけなんだけど…
プロトコルを省略したら検索してほしい (スコア:0)
勝手にhttpだろうとか推測してページ表示しようとするのやめてほしい
#オプションで設定方法あったら教えてください
Re: (スコア:0)
諦めて先頭に?を入れましょう。
Re: (スコア:0)
ゲームなら隠し操作を見つけるのも楽しみの1つだがwebブラウザーやOSシェルでやるのマジでやめろ。
Firefoxはアドレスバーのドロップダウン内で1クリックすると検索に絞ることができるけどChromeには似たような機能ないの? (知らない)
Re: (スコア:0)
「おれ、アドレスバーなんやけど・・・
Re: (スコア:0)
検索窓無いからしょうがない
Re: (スコア:0)
いや君はオムニなんちゃらって名前だったはずだ。
いまだにHTTPだとんな問題があるかな? (スコア:0)
まともに証明書発行してもらうととんでもねー金がかかるし、Let's Encryptは更新がめんどくさすぎるので、未だに会社のHPがHTTPのまま。
・静的ページのみで漏れると困るような仕組みはない
・会社名での検索しか考慮してないのでSEOはどうでもいい
こんな感じ。
Re: (スコア:0)
その会社名で公知されている情報が、本当にその会社が出してるものなのか、なんも保証できないので、信用するに値しない
と見做されつつある(改変はどうとでもできてしまう)からじゃない
つーか、その手間すらケチるくらいなら、どっかhttpsやってくれるところにホスティングまかせればいいし、それすらしないのって信用できる要素がかなりないように思えるんだが
Re: (スコア:0)
>その会社名で公知されている情報が、本当にその会社が出してるものなのか、なんも保証できないので、信用するに値しない
今時のフィッシングサイトは全部HTTPSだが。つかLet's Encryptの証明書でそんなもの保証できんし。
サイト制作の営業が唱えるような寝言は十分わかってるので、もっと専門的な話が聞きたい。
Re:いまだにHTTPだとんな問題があるかな? (スコア:1)
URLというかドメインが期待の会社のまま、かつHTTPSでフィッシングするのかなり厳しいと思うので、それはさすがにいいがかりというか
# フィッシングサイトがHTTPSであることは、ここでの話題のキモじゃないでしょう?
Re: (スコア:0)
その想定はMITMであってフィッシングとは言わん
MITM攻撃対策はDV証明書で十分だが、フィッシング攻撃対策にはOV/EV証明書があった方がいいという2つの別々の話じゃろ
Re: (スコア:0)
…と、何も考えて無い訳じゃないんです、うちの運用なら問題ない事は明白なんです、と言い訳しなくて良くなる分だけ楽。そこまで考えても、素人には、でもなんかきもい、穴がありそう、とか思われてしまいそうで、専門家の意見を求めたくなるし。
その気苦労を背負い込むぐらいなら、バージョンアップでトラブルが起こったときの手間は諦めて、Let's Encryptの更新を自動実行させて放置する方へ自分だったら逃げる。
ウィルス対策ソフトを入れるべきか、と似たような話。
Re: (スコア:0)
.go.jpとか.ac.jpが信用するに値しない状態になったら終わりだな。
Re: (スコア:0)
まLet's Encryptは更新がめんどくさすぎるので
Let's Encrypt使用可能なサーバーなのに
自動更新使えないとか意味不明な仕様ですね
意図的な制限なのでしょうか?
Re: (スコア:0)
取得自体は別端末でもできますからね。
例えばファイアウォール等に証明書入れる場合には他マシンで取得せざるを得ない。
今回のケースはそれとはもちろん別なんでしょうけど。
そんな面倒するくらいなら適当なDVを年間1000円前後で取得する方が楽ですが。
Re: (スコア:0)
Let's Encryptには対応してない。
貧乏な会社の為かは知らんけど、対応してない証明書でも管理画面からうpる救済措置がある。
Let's Encryptの証明書は別サーバでも自動更新できるが、それをうpるような自動化がめんどくさい。
>適当なDVを年間1000円前後で取得する方が楽ですが
ほうほう。そんなリーズナブルな証明書が!
Re: (スコア:0)
ちょっとググれば、年$5.00のDV証明書もある。
Re: (スコア:0)
大半の人は証明書の発行元見ないからアドレスバーの『安全じゃありません』の印象が強いと思う
後、今日日HTTPSじゃないとかダサって思われるだけじゃないかな
金が絡むくせにHTTPなのは、まぁ論外(ないとおもうけど
Re: (スコア:0)
そのウェブサイトにアクセスするユーザーに不利益がかかる恐れがある。
中間者攻撃として、HTMLやJavaScriptの応答にこっそり(見た目上は元のウェブページそのままで)追加の処理を仕込む。マイニングしたり、ブラウザの脆弱性にチャレンジしたりなどができる。NSAはやっていた(FOXACID)とされるし、罠Wi-Fiアクセスポイントを設置する方法なら比較的お手軽だろう。
そういう被害を防ぐという目的もあるので、ウェブサイトの価値によらず、みなHTTPSを導入する意義がある。
同時じゃあかんの? (スコア:0)
HTTPS→タイムアウト→HTTPじゃ遅くなる。
HTTPSとHTTP両方投げて…早い者勝ちにするわけには行かないからどうすんだって感じだけど、まぁちょっと早くなるんじゃないかな?
もうやってるかもしれないけど。
そもそもアクセスしようとしているURLが中間者にバレるのが問題なんだからそれもおかしいっちゃおかしいか。
でもプロトコル省略してURL打ち込んだ時は仕方ないんじゃない?
Re: (スコア:0)
最初にHTTPで繋いだところで通信を書き換えられて偽のHTTPSページやらに飛ばされる危険性、という問題もある。同時接続早い者勝ちで、HTTPSが繋がったらHTTPでのやりとりは捨てて安心な方へ切り替え、ぐらいをやれば多少は安全になる。既に表示されてるページをどう勝手に切り替えるのか? という問題は残る。
Re: (スコア:0)
MITMしたり、偽のリダイレクト応答を正規より早く返送すりゃ乗っ取れるものな。
# スイッチングハブとか組み込み機器のHTTPの応答は遅いの有るし。
Re: (スコア:0)
その状況ならHTTPS側の応答をなくしてしまえば良いんじゃないかな。
通信の書き換えができるなら応答させないこともできる。
ユーザーに選択させろ (スコア:0)
ドロップダウンでHTTPSとHTTPのアドレスとして開く選択肢を表示するだけでいいだろ