パスワードを忘れた? アカウント作成
15273905 story
暗号

Microsoft、HTTPでのナビゲーション時に自動でHTTPSへアップグレードする機能をMicrosoft Edge 92に追加する計画 58

ストーリー by headless
自動 部門より
MicrosoftはHTTPでのナビゲーション時に自動でHTTPSへアップグレードする機能をMicrosoft Edge 92に追加すべく開発を進めているそうだ(Microsoft 365 ロードマップOn MSFTの記事BleepingComputerの記事)。

詳細は記載されていないが、セキュリティ向上のためHTTPSをサポートする可能性のあるドメインにHTTPでアクセスした場合、自動でHTTPSにアップグレードするオプションを追加する計画だ。さらにすべてのドメインでHTTPSアクセスを試行する設定も可能になるという。よりセキュアな接続を使用することで、中間者攻撃などを防ぐことが可能になる。なお、Microsoft Edge Canaryは既にバージョン92となっているが、オプションはまだ追加されていないようだ。

現在では多くのWebサイトがHTTPSをサポートしており、HTTPプロトコルを指定またはプロトコルを省略してアクセスした場合に自動でHTTPSにリダイレクトするWebサイトも多いが、Internet ArchiveのようにリダイレクトしないWebサイトもある。ブラウザー側でHTTPSへの自動アップグレードをサポートすればセキュリティは向上するが、エラー発生時の処理も必要となる。Google Chromeではプロトコルを省略してURLを入力した場合のデフォルトをHTTPSにする計画が進められている。
  • by Anonymous Coward on 2021年05月01日 17時31分 (#4023938)

    Firefox の HTTPS-Only モード
    https://support.mozilla.org/ja/kb/https-only-prefs [mozilla.org]

    「Firefox」v83.0が公開 ~“HTTPS-Only モード”を導入、スクリプトエンジンが高速化
    https://forest.watch.impress.co.jp/docs/news/1289769.html [impress.co.jp]

    ここに返信
  • by Anonymous Coward on 2021年05月01日 22時05分 (#4024015)

    セキュリティ向上のためHTTPSをサポートする可能性のあるドメインにHTTPSでアクセスした場合、自動でHTTPSにアップグレードするオプションを追加する計画

    って、HTTPSでアクセスすれば、そりゃそのままHTTPSで接続するでしょうよ。
    そこは「HTTPでアクセスした場合、自動でHTTPSにアップグレードする」でしょ?

    なんで誰も指摘しないの?

    ここに返信
    • 修正しました。
    • by Anonymous Coward

      これくらいの誤字に突っ込んでいては編集を付け上がらせるだけと、みんな学習したのです。

      • by Anonymous Coward

        つーか、こんな一発で分かるガキでもやらないレベルの間違いを指摘してこき下ろさない方がつけあがると思うのだが。

        みんな飼い慣らされてるなぁ。

        • by Anonymous Coward

          そもそもコメント数やページビュー数を水増しするためにわざと誤字入れてんだろうから相手にする方がバカなのでは

          • by Anonymous Coward

            なるほど、ここの運営は最低限のモラルさえも持ち合わせていないゲスってことなのね。

        • by Anonymous Coward

          わざと誤字を入れてツッコミを待ってるんだから、反応する馬鹿が飼いならされているんだが

    • by Anonymous Coward

      やれやれ、また誤記か、俺がいないと本当だめだなぁ。
      と思わせるためのものだから。

    • by Anonymous Coward

      (平日は)スラド記事についての指摘をスラドでしたって編集者は見てない。Twitter でするべきなんだよ。

  • by Anonymous Coward on 2021年05月01日 18時32分 (#4023950)

    OSを直してくださいよ。
    中途半端で終わってるのが山ほど増えるだけで
    余計なことに手をつけないでくれ。
    また中途半端な欠陥機能が増える・・・

    ここに返信
    • by Anonymous Coward

      中途半端な状態で打ち切られた開発部署が多いからねえ。

      ・メディアプレイヤー系の開発は事実上止まっている。
      ・デバイスドライバーも新しいフレームワークを追加してみたけれど、パーツメーカーがついてこない。
      ・ベースとなるライブラリもネタを変えつついつまでも開発中になっている。
      ・UIのデザイン変更もいい加減にしてくれ。Windows 10の中でも変わりすぎ。
      ・そんな状況でビデオカードやCPUのサポート打ち切りが徐々に始まっている。DirectX12世代以外のビデオカードとAVX2未対応のCPUの切り捨ても時間の問題だろう。

      口が悪い人は、Microsoftは真似できる手本がなければ何もできないのではないかとさえ言う。

      • by Anonymous Coward

        真似といえば聞こえはいいが、実態としてはパクリに限りなく近いという・・・

      • by Anonymous Coward

        どちらかといえば他がMSの真似しているケースが多いが

      • by Anonymous Coward

        口が悪い人は、Microsoftは真似できる手本がなければ何もできないのではないかとさえ言う。

        IEがNetscapeを駆逐した結果、「腐った牛乳」 [it.srad.jp]がながく残った件。

        • by Anonymous Coward

          Netscapeは自爆も多いと思うが。
          特にNN4.x時代にCSSを使ったサイトでのクラッシュ率高くて捨てた人も多いと思う。

    • by Anonymous Coward

      安全のためを標語にしたステキ機能(お節介機能とは言わずに置く)を色々提案実装してくれるのは良いけど、これは間違いでした、とかそういう総括もちゃんと出して欲しいわな。拡張子があると初心者が混乱するからデフォルト拡張子オフにするわー、とか、長々出てると読まないからHTTPのフルパス見せないようにするわー、とか、IT関連企業さんは明らか害が多そうなことを雑にぶっこんで、毎回『僕は顧客の安全のためにお節介してるんだ』ってアピールしてゴリ押ししてくるから。

  • by Anonymous Coward on 2021年05月01日 18時45分 (#4023954)

    要はTorブラウザに標準でバンドルされてるHTTPS Everywhere [wikipedia.org]と同じ機能を持たせるってことでしょ?

    ここに返信
  • by Anonymous Coward on 2021年05月01日 20時35分 (#4023985)

    HTTPアクセスが前提で、httpsにはオレオレ証明書入れてるサイトとか、どうすればいいの?
    勝手にhttpsになったら、最近のブラウザはオレオレ証明書や期限切れ証明書を問答無用で拒否するので、
    アクセスできなくなるじゃん

    ここに返信
    • by Anonymous Coward

      実際に出てみないとわからんけど、たぶん「このサイトはhttpでアクセス」みたいに指定するオプションはあると思うよ。

      • by Anonymous Coward

        ここまでの流れを理解できないようなシロウトがそんな難解な操作できると思う?

        • by Anonymous Coward

          シロウトがそんな危険なサイトにアクセスしてしまわないようわざと難解なUIにしてるんだから完璧に計画通りだ。何の問題が?

    • by Anonymous Coward

      HTTPアクセスとオレオレ証明書でのアクセスだと、経路の保証がないという点で実質的な違いはないだろ。
      要するにアクセスすんなって話だ。
      少なくともこの程度も理解出来ないやつはアクセスしないのが身のため。

      最もfirefoxでもchromeでもオレオレの場合は確認のページが挟まるだけでアクセス出来ないわけではない。
      firefoxのhttpsonlyモードでも同様。

      • by Anonymous Coward

        過去にHSTSを有効にしていたドメインが期限切れになると回避できないけどな(少なくとも簡単には)
        SEOに有利だとかその程度の理由で安易にHSTSを有効にするのやめてほしい

      • by Anonymous Coward

        そういえば、HTTPで運用しているウェブサイトの中には、httpsでアクセスするとホスティングしている業者の証明書が提示される(それで証明書エラー)というところがある。

        たとえば http://hanayuspa.jp/ [hanayuspa.jp] と https://hanayuspa.jp/ [hanayuspa.jp] (証明書はsecure.ne.jpのもの)。こういうところはフォールバックなしだと困るね。

        • by Anonymous Coward

          そういうレンタルサーバよく見かけるけど、それって「困る」のかな?
          HTTPだと盗聴となりすましの危険性があるけど、HTTPSなら少なくとも第三者による盗聴の危険性はなくなるから、セキュリティの観点から言えばフォールバックしない方がいいんだよね。
          ただ、いちいち確認ページが挟まることで例外の承認が習慣化してしまうのはよくないって考えもあるので、そういう意味では確かに困るかもしれないけど。
          そもそも443ポート開けとく方にも問題あるのでは?という気もするが、Webサーバの仕様的なところも絡んでくるから、全体システム的な話になるか。

    • by Anonymous Coward

      拒否といってもエラーメッセージを出すだけで続行することは可能ですよ。
      下記で試してみるとよいでしょう。

    • by Anonymous Coward

      メジャーブラウザから、オレオレ証明書でネットに繋ぐなってメッセージだと思っている。
      バージョン切れOSと同じ扱いなんだろ。

    • by Anonymous Coward

      そもそも、まともなhttpsでないサイトはもう滅ぶべき時期かと。
      証明書の取得にコストがかかっていた時代は終わり、証明書取得から設定まで全自動なWebサーバーまである。

      • by Anonymous Coward

        静的サイトなら必要無くない?
        あとローカルで構築してるシステムが面倒くさいんだよなあ。

        • by Anonymous Coward

          静的なサイトでも途中で改ざんされるのは困るよ

          • by Anonymous Coward

            「通信の最適化」と称してコンテンツ改竄する通信業者が横行してましたよね。
            どんなときでもE2Eの暗号化することは、土管屋が余計な事やらず土管屋に徹するよう強制する一助となるので良いことだと思う。

      • by Anonymous Coward

        組み込み機器だとIPアドレスしか持ってないとか有るからなぁ。
        IPアドレスなURLでHTTPSとか(ヾノ・∀・`)ムリムリ

        • by Anonymous Coward

          無理なのはDVサーバ証明書の発行だね
          それ以外の手段でHTTPSが使えないわけではない

          • by Anonymous Coward

            ご家庭のWi-FiやルータやNAS設定させる時にエラーを無視させたり、ユーザーに証明書インストールさせるの?
            副作用が大きすぎるし、バッドノウハウ過ぎるよ。

            • by Anonymous Coward

              バッドノウハウと言うけど本来はそういうものだよ、CAを利用した信頼性のチェーンって
              たまたまOSやブラウザベンダーがいくつか信頼できる証明書をバンドルしてくれてるだけ
              例えばGPKIが発行した証明書を信頼するかどうか利用者が判断する必要があったようにね

  • by Anonymous Coward on 2021年05月02日 14時32分 (#4024171)

    ChromeのHTTPSからHTTPへの自動フォールバックとか頭に蛆湧いてる(控えめな表現)仕様よりもずっとまし。
    Chromeほんと糞。仕方なく使ってるけど。

    ここに返信
    • by Anonymous Coward

      そこまでいやいや使わなければならない理由があるの? やっぱGoogleサービスロックイン?

  • by Anonymous Coward on 2021年05月03日 1時23分 (#4024371)

    それともlocalhost相当のアドレス(127.0.0.1とか::1とか固定で変更認めない)に限り生存許されるとかそういう方向?

    ここに返信
    • by Anonymous Coward

      消されるとブラウザ設定前提の機器(NASとかAPとかルータとか)に繋がらなくて困る。
      まさかオレオレ証明書でいい、とはならないよね。
      隠しでいいから、オプションだけは残してくれないと。

      # プライベートアドレスonlyでもいい、か?

      • by Anonymous Coward

        オレオレ証明書でもいい、完全な平文よりはマシ。
        証明書エラーが表示されたらユーザーが判断すべきことだから、隠しオプションもなくていい。

typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...