
Microsoft、HTTPでのナビゲーション時に自動でHTTPSへアップグレードする機能をMicrosoft Edge 92に追加する計画 58
ストーリー by headless
自動 部門より
自動 部門より
MicrosoftはHTTPでのナビゲーション時に自動でHTTPSへアップグレードする機能をMicrosoft Edge 92に追加すべく開発を進めているそうだ(Microsoft 365 ロードマップ、 On MSFTの記事、 BleepingComputerの記事)。
詳細は記載されていないが、セキュリティ向上のためHTTPSをサポートする可能性のあるドメインにHTTPでアクセスした場合、自動でHTTPSにアップグレードするオプションを追加する計画だ。さらにすべてのドメインでHTTPSアクセスを試行する設定も可能になるという。よりセキュアな接続を使用することで、中間者攻撃などを防ぐことが可能になる。なお、Microsoft Edge Canaryは既にバージョン92となっているが、オプションはまだ追加されていないようだ。
現在では多くのWebサイトがHTTPSをサポートしており、HTTPプロトコルを指定またはプロトコルを省略してアクセスした場合に自動でHTTPSにリダイレクトするWebサイトも多いが、Internet ArchiveのようにリダイレクトしないWebサイトもある。ブラウザー側でHTTPSへの自動アップグレードをサポートすればセキュリティは向上するが、エラー発生時の処理も必要となる。Google Chromeではプロトコルを省略してURLを入力した場合のデフォルトをHTTPSにする計画が進められている。
詳細は記載されていないが、セキュリティ向上のためHTTPSをサポートする可能性のあるドメインにHTTPでアクセスした場合、自動でHTTPSにアップグレードするオプションを追加する計画だ。さらにすべてのドメインでHTTPSアクセスを試行する設定も可能になるという。よりセキュアな接続を使用することで、中間者攻撃などを防ぐことが可能になる。なお、Microsoft Edge Canaryは既にバージョン92となっているが、オプションはまだ追加されていないようだ。
現在では多くのWebサイトがHTTPSをサポートしており、HTTPプロトコルを指定またはプロトコルを省略してアクセスした場合に自動でHTTPSにリダイレクトするWebサイトも多いが、Internet ArchiveのようにリダイレクトしないWebサイトもある。ブラウザー側でHTTPSへの自動アップグレードをサポートすればセキュリティは向上するが、エラー発生時の処理も必要となる。Google Chromeではプロトコルを省略してURLを入力した場合のデフォルトをHTTPSにする計画が進められている。
Firefox の HTTPS-Only モード (スコア:2, 参考になる)
Firefox の HTTPS-Only モード
https://support.mozilla.org/ja/kb/https-only-prefs [mozilla.org]
「Firefox」v83.0が公開 ~“HTTPS-Only モード”を導入、スクリプトエンジンが高速化
https://forest.watch.impress.co.jp/docs/news/1289769.html [impress.co.jp]
5/1 22:00現在誰も指摘していないが (スコア:1)
セキュリティ向上のためHTTPSをサポートする可能性のあるドメインにHTTPSでアクセスした場合、自動でHTTPSにアップグレードするオプションを追加する計画
って、HTTPSでアクセスすれば、そりゃそのままHTTPSで接続するでしょうよ。
そこは「HTTPでアクセスした場合、自動でHTTPSにアップグレードする」でしょ?
なんで誰も指摘しないの?
Re:5/1 22:00現在誰も指摘していないが (スコア:1)
Re: (スコア:0)
これくらいの誤字に突っ込んでいては編集を付け上がらせるだけと、みんな学習したのです。
Re: (スコア:0)
つーか、こんな一発で分かるガキでもやらないレベルの間違いを指摘してこき下ろさない方がつけあがると思うのだが。
みんな飼い慣らされてるなぁ。
Re: (スコア:0)
そもそもコメント数やページビュー数を水増しするためにわざと誤字入れてんだろうから相手にする方がバカなのでは
Re: (スコア:0)
なるほど、ここの運営は最低限のモラルさえも持ち合わせていないゲスってことなのね。
Re: (スコア:0)
わざと誤字を入れてツッコミを待ってるんだから、反応する馬鹿が飼いならされているんだが
Re: (スコア:0)
やれやれ、また誤記か、俺がいないと本当だめだなぁ。
と思わせるためのものだから。
Re: (スコア:0)
(平日は)スラド記事についての指摘をスラドでしたって編集者は見てない。Twitter でするべきなんだよ。
そんことより (スコア:0)
OSを直してくださいよ。
中途半端で終わってるのが山ほど増えるだけで
余計なことに手をつけないでくれ。
また中途半端な欠陥機能が増える・・・
部署違い (スコア:0)
中途半端な状態で打ち切られた開発部署が多いからねえ。
・メディアプレイヤー系の開発は事実上止まっている。
・デバイスドライバーも新しいフレームワークを追加してみたけれど、パーツメーカーがついてこない。
・ベースとなるライブラリもネタを変えつついつまでも開発中になっている。
・UIのデザイン変更もいい加減にしてくれ。Windows 10の中でも変わりすぎ。
・そんな状況でビデオカードやCPUのサポート打ち切りが徐々に始まっている。DirectX12世代以外のビデオカードとAVX2未対応のCPUの切り捨ても時間の問題だろう。
口が悪い人は、Microsoftは真似できる手本がなければ何もできないのではないかとさえ言う。
Re: (スコア:0)
真似といえば聞こえはいいが、実態としてはパクリに限りなく近いという・・・
Re: (スコア:0)
どちらかといえば他がMSの真似しているケースが多いが
Re: (スコア:0)
口が悪い人は、Microsoftは真似できる手本がなければ何もできないのではないかとさえ言う。
IEがNetscapeを駆逐した結果、「腐った牛乳」 [it.srad.jp]がながく残った件。
Re: (スコア:0)
Netscapeは自爆も多いと思うが。
特にNN4.x時代にCSSを使ったサイトでのクラッシュ率高くて捨てた人も多いと思う。
Re: (スコア:0)
安全のためを標語にしたステキ機能(お節介機能とは言わずに置く)を色々提案実装してくれるのは良いけど、これは間違いでした、とかそういう総括もちゃんと出して欲しいわな。拡張子があると初心者が混乱するからデフォルト拡張子オフにするわー、とか、長々出てると読まないからHTTPのフルパス見せないようにするわー、とか、IT関連企業さんは明らか害が多そうなことを雑にぶっこんで、毎回『僕は顧客の安全のためにお節介してるんだ』ってアピールしてゴリ押ししてくるから。
HTTPS Everywhere (スコア:0)
要はTorブラウザに標準でバンドルされてるHTTPS Everywhere [wikipedia.org]と同じ機能を持たせるってことでしょ?
おれおれ証明書や期限切れ証明書はどうなるん? (スコア:0)
HTTPアクセスが前提で、httpsにはオレオレ証明書入れてるサイトとか、どうすればいいの?
勝手にhttpsになったら、最近のブラウザはオレオレ証明書や期限切れ証明書を問答無用で拒否するので、
アクセスできなくなるじゃん
Re: (スコア:0)
実際に出てみないとわからんけど、たぶん「このサイトはhttpでアクセス」みたいに指定するオプションはあると思うよ。
Re: (スコア:0)
ここまでの流れを理解できないようなシロウトがそんな難解な操作できると思う?
Re: (スコア:0)
シロウトがそんな危険なサイトにアクセスしてしまわないようわざと難解なUIにしてるんだから完璧に計画通りだ。何の問題が?
Re: (スコア:0)
HTTPアクセスとオレオレ証明書でのアクセスだと、経路の保証がないという点で実質的な違いはないだろ。
要するにアクセスすんなって話だ。
少なくともこの程度も理解出来ないやつはアクセスしないのが身のため。
最もfirefoxでもchromeでもオレオレの場合は確認のページが挟まるだけでアクセス出来ないわけではない。
firefoxのhttpsonlyモードでも同様。
Re: (スコア:0)
過去にHSTSを有効にしていたドメインが期限切れになると回避できないけどな(少なくとも簡単には)
SEOに有利だとかその程度の理由で安易にHSTSを有効にするのやめてほしい
Re: (スコア:0)
そういえば、HTTPで運用しているウェブサイトの中には、httpsでアクセスするとホスティングしている業者の証明書が提示される(それで証明書エラー)というところがある。
たとえば http://hanayuspa.jp/ [hanayuspa.jp] と https://hanayuspa.jp/ [hanayuspa.jp] (証明書はsecure.ne.jpのもの)。こういうところはフォールバックなしだと困るね。
Re: (スコア:0)
そういうレンタルサーバよく見かけるけど、それって「困る」のかな?
HTTPだと盗聴となりすましの危険性があるけど、HTTPSなら少なくとも第三者による盗聴の危険性はなくなるから、セキュリティの観点から言えばフォールバックしない方がいいんだよね。
ただ、いちいち確認ページが挟まることで例外の承認が習慣化してしまうのはよくないって考えもあるので、そういう意味では確かに困るかもしれないけど。
そもそも443ポート開けとく方にも問題あるのでは?という気もするが、Webサーバの仕様的なところも絡んでくるから、全体システム的な話になるか。
Re: (スコア:0)
拒否といってもエラーメッセージを出すだけで続行することは可能ですよ。
下記で試してみるとよいでしょう。
Re: (スコア:0)
メジャーブラウザから、オレオレ証明書でネットに繋ぐなってメッセージだと思っている。
バージョン切れOSと同じ扱いなんだろ。
Re: (スコア:0)
そもそも、まともなhttpsでないサイトはもう滅ぶべき時期かと。
証明書の取得にコストがかかっていた時代は終わり、証明書取得から設定まで全自動なWebサーバーまである。
Re: (スコア:0)
静的サイトなら必要無くない?
あとローカルで構築してるシステムが面倒くさいんだよなあ。
Re: (スコア:0)
静的なサイトでも途中で改ざんされるのは困るよ
Re: (スコア:0)
「通信の最適化」と称してコンテンツ改竄する通信業者が横行してましたよね。
どんなときでもE2Eの暗号化することは、土管屋が余計な事やらず土管屋に徹するよう強制する一助となるので良いことだと思う。
Re: (スコア:0)
組み込み機器だとIPアドレスしか持ってないとか有るからなぁ。
IPアドレスなURLでHTTPSとか(ヾノ・∀・`)ムリムリ
Re: (スコア:0)
無理なのはDVサーバ証明書の発行だね
それ以外の手段でHTTPSが使えないわけではない
Re: (スコア:0)
ご家庭のWi-FiやルータやNAS設定させる時にエラーを無視させたり、ユーザーに証明書インストールさせるの?
副作用が大きすぎるし、バッドノウハウ過ぎるよ。
Re: (スコア:0)
バッドノウハウと言うけど本来はそういうものだよ、CAを利用した信頼性のチェーンって
たまたまOSやブラウザベンダーがいくつか信頼できる証明書をバンドルしてくれてるだけ
例えばGPKIが発行した証明書を信頼するかどうか利用者が判断する必要があったようにね
Chromeよりはマシな仕様 (スコア:0)
ChromeのHTTPSからHTTPへの自動フォールバックとか頭に蛆湧いてる(控えめな表現)仕様よりもずっとまし。
Chromeほんと糞。仕方なく使ってるけど。
Re: (スコア:0)
そこまでいやいや使わなければならない理由があるの? やっぱGoogleサービスロックイン?
Re: (スコア:0)
誤用だろうけど、トラブル検知する為のドッグフード。
Chrome 88のタイムゾーンバグ [chromium.org](日本語記事 [impress.co.jp])とか。
Re: (スコア:0)
Edgeにも同じバグそのまま入ったし、せっかくのドッグフードなんだからちゃんと活用してほしい
httpは消えるのかな? (スコア:0)
それともlocalhost相当のアドレス(127.0.0.1とか::1とか固定で変更認めない)に限り生存許されるとかそういう方向?
Re: (スコア:0)
消されるとブラウザ設定前提の機器(NASとかAPとかルータとか)に繋がらなくて困る。
まさかオレオレ証明書でいい、とはならないよね。
隠しでいいから、オプションだけは残してくれないと。
# プライベートアドレスonlyでもいい、か?
Re: (スコア:0)
オレオレ証明書でもいい、完全な平文よりはマシ。
証明書エラーが表示されたらユーザーが判断すべきことだから、隠しオプションもなくていい。
Re: (スコア:0)
証明書は何も証明しないだろ
証明するための情報が載ってるだけで、検証は自分でしないと
Re: (スコア:0)
証明書は認証局が正しく認証したことを証明しています。
Re: (スコア:0)
その証明書がDVなら「ドメインの実在性」を、
OVなら「ドメインと組織の実在性」を、
EVなら「ドメインと組織の実在性に加えて、責任者の権限や運用等の確認」を証明するものです。
Re: (スコア:0)
OSかブラウザを作ってる人らが「こいつらなら大丈夫」と太鼓判を押した認証局という組織の作業を仲介として、通信相手が「ある意味で本物」で通信内容は第三者からは盗聴も改竄もされていない、と保証している。
ある意味で、がどういう意味なのかは隣のコメントに書いてあるとおり。
一旦太鼓判を押した組織がやらかすこともあって、そういう場合は、なんて邪悪な組織なんだ、我々もしばらく騙されかけてたよ、もう完全に打ち倒したので安心してください、と証明書の取り消しでアピールすることになる。
Re: (スコア:0)
安心してくださいあなたのつうしんする相手が俺であることを俺が証明するのにも使えます。
Re: (スコア:0)
証明書って、何を“証明”してるの?
こちらについては説明コメントがついたけど
「認証局」とかって、なんか聞いたこともない会社の名前が間に挟まったりしてるけど
本当に信用していいの?
こちらには説明が無いですね。
「我々ショッカーは工作員をすべての認証局に送りこんでるんだ。」と言われたら、本郷猛は安全に通信できるのでしょうか。
ショッカーを任意の悪の組織か国家の名前、本郷猛を自分の名前に置き換えてお読みください。
ステキな大人になれない永遠の中二なのでACで。
Re: (スコア:0)
「お前が信用して使っているブラウザ が信用している認証局 が信用しているサーバ って事だよ」
みたいな解説で合ってるから特に反論コメント付いてないだけかと