パスワードを忘れた? アカウント作成
15275919 story
マイクロソフト

Microsoft Edge Canary、自動HTTPSオプションのテストを開始 27

ストーリー by headless
実験 部門より
Microsoft Edge Canaryの最新版で、HTTPでのナビゲーション時に自動でHTTPSへ切り替える「自動HTTPS」オプションが使用できるようになっている(Ghacksの記事)。

このオプションを使用するには、「試験段階の機能 (edge://flags/)」「Automatic HTTPS」を「Enabled」に設定する。Microsoft Edgeを再起動すると設定画面の「プライバシー、検索、サービス」に「自動HTTPSを使用してセキュリティで保護された接続に自動的に切り替える」というオプションが追加され、機能のオン/オフのほか、すべてのWebサイトで常にHTTPからHTTPSに切り替えるか、HTTPSをサポートしている可能性が高いWebサイトでのみ切り替える(デフォルト)かを選択可能になる。

なお、動作を確認するにはHTTPSをサポートし、かつHTTPアクセス時にHTTPSへリダイレクトしないWebサイトを使用する必要がある。たとえばInternet Archive首相官邸総務省統計局のWebサイトが該当するが、これらのサイトはHTTPSをサポートしている可能性が高いとは判定されなかった。常にHTTPSへ切り替えるオプションを選択すれば問題なく切り替えが行われるが、この設定ではHTTPSをサポートしないサイト(例: Vine Linux ML)にアクセスするとエラー画面が表示される。HTTPSをサポートしている可能性が高いと判定されるWebサイトを発見したらお教え頂きたい。
  • by Anonymous Coward on 2021年05月05日 22時56分 (#4025395)

    ウェブページがhttpsでも、ページ内のコンテンツにhttpが混じっていた場合、
    cookieにsecure属性がついていなかった場合、中間者攻撃のリスクがあるわけですが、
    そういったのにも対応している?

    ここに返信
    • by Anonymous Coward

      それらはmixed contentとしてすでにブロックまたは自動アップグレードされている

    • by Anonymous Coward

      ウェブページがhttpsでも、ページ内のコンテンツにhttpが混じっていた場合、
      cookieにsecure属性がついていなかった場合、中間者攻撃のリスクがあるわけですが、
      そういったのにも対応している?

      浦島太郎さんでしょうか?
      もしくは
      知った上でのすっとぼけですかね?

      /*
      Chromium系に限らず対応できていないとしたら
      悪意を持ってmixed content周りの機能殺してビルドする以外にはありえない
      */

      • by Anonymous Coward

        既に、#4025478で指摘されていることを、見落としが無いように再度通知しつつ、

        さらに、「浦島太郎」とか「すっとぼけ」とか
        質問者が再度通知であると読み取れなかった場合に逃避できるようにするため
        突っ込みできる箇所を用意する優しさは尊敬します。

  • by Anonymous Coward on 2021年05月05日 23時35分 (#4025415)

    未だにHTTPS化されていないサイトってそこそこあるし、そういうサイトが443をRejectでなく
    DROPしてた場合は「サーバが応答しません」って状態になる。
    強制HTTP化する手法くらいは用意しておいてもらいたいところ。

    ここに返信
    • by Anonymous Coward

      指摘しようと思ったらすでに書かれてた。
      EFFのhttps化アドオン入れてるけど、割とサーバエラーになるサイト多い。

    • by Anonymous Coward

      FirefoxのHTTPS-Only Modeを一時期使ってたけど実装が変なサイトが多くて疲れたわ

    • by Anonymous Coward

      未だにhttpsじゃないサイトって、ソフトウェアの更新もやってなさそうで怖い。

      • by Anonymous Coward

        全般的にhttpsなんだけど一部だけ動作がおかしいサイトってのがある

        FANZA、お前のことだ

  • by Anonymous Coward on 2021年05月06日 2時12分 (#4025441)

    自分の職場では「大規模災害時に安否を確認するシステム」があるのですが、デフォルトのURLがhttpで、しかもそこでログイン出来るという恐ろしい仕様なんです。
    実はhttpsも用意してあるのですが、古くからある仕組みのためか、メールで送られてくるデフォルトページがhttpという。こういう場合は効果抜群かもしれません。

    詳しい製品名は伏せますが、導入実績1000社以上の有名な安否確認ツールです。下っ端なので上に進言できない・・・

    ここに返信
    • by Anonymous Coward

      (中間者攻撃で安否を詐称したい場合を除く)
      そのログインIDが独自管理の連番的な奴だったら問題ない気がする

      • by Anonymous Coward

        職員ID(各種書類でも使う)をログインに使っています。
        また、そのサイトのプロフィールページから、本名・メールアドレス・所属部署まで見ようと思えば全部見られちゃいますね。脆弱性の塊です。

        • by Anonymous Coward

          説明ありがとう。

          前者は問題ですね。あまり外だししたくないIDを盗聴できちゃう(パスワードは安否の詐称しかできないなら私は別にOK)
          後者はシステムは安否確認情報の配信・集約だけすると思ってたんですが、そのほかの諸々も管理できるシステムなんでしょうか。諸々を盗聴できるの最悪ですね。

          • by Anonymous Coward

            別ACです。もろもろのデータがあるのは恐らく

            住所:大規模災害が発生した地域に住んでいるかどうかを自動判定するため
            所属部署:部門ごとの安否状態を把握するため(実運用では報告が遅くカイゼンが必要な部署を把握するため)

            ですかね。そして、それらを見れるのは、安否確認システムの運用を開始しました/システムに登録しました。登録情報が正しいか確認してください ってやつのためですかね。

    • by Anonymous Coward

      自分の職場では「大規模災害時に安否を確認するシステム」があるのですが、

      未だにTLS非対応のガラケーが3Gで生きていますので
      3Gガラケーが終了しない限りは
      安否できませんとするわけにも行かない
      ってジレンマなんでしょうね

      # せめてSMSでのワンタイム系と絡めればもうちょいなんとかなるのかも

  • by Anonymous Coward on 2021年05月05日 23時18分 (#4025409)

    ドメイン www.test.jp
    SSL証明書(クラウド業者が勝手に設置に設置) a12345.test.net
    みたいなやつで、勝手にHTTPSになると困るんだけど

    ここに返信
    • by Anonymous Coward

      ちゃんとドメイン名に対応した証明書を置かない奴が悪い。

      • by Anonymous Coward

        レンサバを借りる前に業者のサービス構成を認知しておくべしということか…そうかも
        でも、利用料の月1000円とかのうち50円とかが棄損されるとかも言えるのでは

        • by Anonymous Coward

          「適当に作った証明書」というのがそもそもおかしい

          • by Anonymous Coward

            共用レンタルサーバーで一部の契約者だけがSSLオプションを契約している場合、その契約者のドメインしか証明書に書かれていないことがある。ていうかそれ以外のドメインが書かれていたらむしろおかしい

            • by Anonymous Coward

              SSLの使用は今や当たり前なので、それをオプションとして扱っているサービスのあり方に問題がある。
              平文のHTTPなんてほぼ非推奨みたいなもの。

  • by Anonymous Coward on 2021年05月05日 23時27分 (#4025413)

    Googleのもだけど意図的にhttpを使いづらくしていく形で、サイト側の更新をさせたいと。
    TLSでも時間掛かりましたからねぇ…

    ここに返信
  • by Anonymous Coward on 2021年05月06日 7時38分 (#4025465)

    Firefox のように、アクセスしようとしているページがhttpsでなければ、一旦全画面警告、がシンプルで良か。

    ここに返信
    • by Anonymous Coward

      server側に振り替えるシステムがあるんだから必要ならそっちで対応しているはずで
      ブラウザ側でもやりだすとわけわからんくなるよね。

      • by Anonymous Coward

        server側で振り替えるのでは中間者攻撃の対策にならない

      • by Anonymous Coward

        server側に振り替えるシステムってHSTSのこと?

        • by Anonymous Coward

          HSTSも初回アクセスに割り込まれたら無力。
          HSTS preloadは結局ブラウザー側で対策するということに他ならない

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...