Microsoft Edge Canary、自動HTTPSオプションのテストを開始 27
ストーリー by headless
実験 部門より
実験 部門より
Microsoft Edge Canaryの最新版で、HTTPでのナビゲーション時に自動でHTTPSへ切り替える「自動HTTPS」オプションが使用できるようになっている(Ghacksの記事)。
このオプションを使用するには、「試験段階の機能 (edge://flags/)」「Automatic HTTPS」を「Enabled」に設定する。Microsoft Edgeを再起動すると設定画面の「プライバシー、検索、サービス」に「自動HTTPSを使用してセキュリティで保護された接続に自動的に切り替える」というオプションが追加され、機能のオン/オフのほか、すべてのWebサイトで常にHTTPからHTTPSに切り替えるか、HTTPSをサポートしている可能性が高いWebサイトでのみ切り替える(デフォルト)かを選択可能になる。
なお、動作を確認するにはHTTPSをサポートし、かつHTTPアクセス時にHTTPSへリダイレクトしないWebサイトを使用する必要がある。たとえばInternet Archiveや首相官邸、総務省統計局のWebサイトが該当するが、これらのサイトはHTTPSをサポートしている可能性が高いとは判定されなかった。常にHTTPSへ切り替えるオプションを選択すれば問題なく切り替えが行われるが、この設定ではHTTPSをサポートしないサイト(例: Vine Linux ML)にアクセスするとエラー画面が表示される。HTTPSをサポートしている可能性が高いと判定されるWebサイトを発見したらお教え頂きたい。
このオプションを使用するには、「試験段階の機能 (edge://flags/)」「Automatic HTTPS」を「Enabled」に設定する。Microsoft Edgeを再起動すると設定画面の「プライバシー、検索、サービス」に「自動HTTPSを使用してセキュリティで保護された接続に自動的に切り替える」というオプションが追加され、機能のオン/オフのほか、すべてのWebサイトで常にHTTPからHTTPSに切り替えるか、HTTPSをサポートしている可能性が高いWebサイトでのみ切り替える(デフォルト)かを選択可能になる。
なお、動作を確認するにはHTTPSをサポートし、かつHTTPアクセス時にHTTPSへリダイレクトしないWebサイトを使用する必要がある。たとえばInternet Archiveや首相官邸、総務省統計局のWebサイトが該当するが、これらのサイトはHTTPSをサポートしている可能性が高いとは判定されなかった。常にHTTPSへ切り替えるオプションを選択すれば問題なく切り替えが行われるが、この設定ではHTTPSをサポートしないサイト(例: Vine Linux ML)にアクセスするとエラー画面が表示される。HTTPSをサポートしている可能性が高いと判定されるWebサイトを発見したらお教え頂きたい。
URLバーに入力した箇所だけ? (スコア:1)
ウェブページがhttpsでも、ページ内のコンテンツにhttpが混じっていた場合、
cookieにsecure属性がついていなかった場合、中間者攻撃のリスクがあるわけですが、
そういったのにも対応している?
Re: (スコア:0)
それらはmixed contentとしてすでにブロックまたは自動アップグレードされている
Re: (スコア:0)
ウェブページがhttpsでも、ページ内のコンテンツにhttpが混じっていた場合、
cookieにsecure属性がついていなかった場合、中間者攻撃のリスクがあるわけですが、
そういったのにも対応している?
浦島太郎さんでしょうか?
もしくは
知った上でのすっとぼけですかね?
/*
Chromium系に限らず対応できていないとしたら
悪意を持ってmixed content周りの機能殺してビルドする以外にはありえない
*/
Re: (スコア:0)
既に、#4025478で指摘されていることを、見落としが無いように再度通知しつつ、
さらに、「浦島太郎」とか「すっとぼけ」とか
質問者が再度通知であると読み取れなかった場合に逃避できるようにするため
突っ込みできる箇所を用意する優しさは尊敬します。
Chrome見てると結構副作用がきつい印象 (スコア:1)
未だにHTTPS化されていないサイトってそこそこあるし、そういうサイトが443をRejectでなく
DROPしてた場合は「サーバが応答しません」って状態になる。
強制HTTP化する手法くらいは用意しておいてもらいたいところ。
Re: (スコア:0)
指摘しようと思ったらすでに書かれてた。
EFFのhttps化アドオン入れてるけど、割とサーバエラーになるサイト多い。
Re: (スコア:0)
FirefoxのHTTPS-Only Modeを一時期使ってたけど実装が変なサイトが多くて疲れたわ
Re: (スコア:0)
未だにhttpsじゃないサイトって、ソフトウェアの更新もやってなさそうで怖い。
Re: (スコア:0)
全般的にhttpsなんだけど一部だけ動作がおかしいサイトってのがある
FANZA、お前のことだ
効果のある場合も (スコア:1)
自分の職場では「大規模災害時に安否を確認するシステム」があるのですが、デフォルトのURLがhttpで、しかもそこでログイン出来るという恐ろしい仕様なんです。
実はhttpsも用意してあるのですが、古くからある仕組みのためか、メールで送られてくるデフォルトページがhttpという。こういう場合は効果抜群かもしれません。
詳しい製品名は伏せますが、導入実績1000社以上の有名な安否確認ツールです。下っ端なので上に進言できない・・・
Re: (スコア:0)
(中間者攻撃で安否を詐称したい場合を除く)
そのログインIDが独自管理の連番的な奴だったら問題ない気がする
Re: (スコア:0)
職員ID(各種書類でも使う)をログインに使っています。
また、そのサイトのプロフィールページから、本名・メールアドレス・所属部署まで見ようと思えば全部見られちゃいますね。脆弱性の塊です。
Re: (スコア:0)
説明ありがとう。
前者は問題ですね。あまり外だししたくないIDを盗聴できちゃう(パスワードは安否の詐称しかできないなら私は別にOK)
後者はシステムは安否確認情報の配信・集約だけすると思ってたんですが、そのほかの諸々も管理できるシステムなんでしょうか。諸々を盗聴できるの最悪ですね。
Re: (スコア:0)
別ACです。もろもろのデータがあるのは恐らく
住所:大規模災害が発生した地域に住んでいるかどうかを自動判定するため
所属部署:部門ごとの安否状態を把握するため(実運用では報告が遅くカイゼンが必要な部署を把握するため)
ですかね。そして、それらを見れるのは、安否確認システムの運用を開始しました/システムに登録しました。登録情報が正しいか確認してください ってやつのためですかね。
Re: (スコア:0)
自分の職場では「大規模災害時に安否を確認するシステム」があるのですが、
未だにTLS非対応のガラケーが3Gで生きていますので
3Gガラケーが終了しない限りは
安否できませんとするわけにも行かない
ってジレンマなんでしょうね
# せめてSMSでのワンタイム系と絡めればもうちょいなんとかなるのかも
証明書が適当なのはどうなるの? (スコア:0)
ドメイン www.test.jp
SSL証明書(クラウド業者が勝手に設置に設置) a12345.test.net
みたいなやつで、勝手にHTTPSになると困るんだけど
Re: (スコア:0)
ちゃんとドメイン名に対応した証明書を置かない奴が悪い。
Re: (スコア:0)
レンサバを借りる前に業者のサービス構成を認知しておくべしということか…そうかも
でも、利用料の月1000円とかのうち50円とかが棄損されるとかも言えるのでは
Re: (スコア:0)
「適当に作った証明書」というのがそもそもおかしい
Re: (スコア:0)
共用レンタルサーバーで一部の契約者だけがSSLオプションを契約している場合、その契約者のドメインしか証明書に書かれていないことがある。ていうかそれ以外のドメインが書かれていたらむしろおかしい
Re: (スコア:0)
SSLの使用は今や当たり前なので、それをオプションとして扱っているサービスのあり方に問題がある。
平文のHTTPなんてほぼ非推奨みたいなもの。
httpサイト一掃したいんだろうなぁ…… (スコア:0)
Googleのもだけど意図的にhttpを使いづらくしていく形で、サイト側の更新をさせたいと。
TLSでも時間掛かりましたからねぇ…
ややこしい (スコア:0)
Firefox のように、アクセスしようとしているページがhttpsでなければ、一旦全画面警告、がシンプルで良か。
Re: (スコア:0)
server側に振り替えるシステムがあるんだから必要ならそっちで対応しているはずで
ブラウザ側でもやりだすとわけわからんくなるよね。
Re: (スコア:0)
server側で振り替えるのでは中間者攻撃の対策にならない
Re: (スコア:0)
server側に振り替えるシステムってHSTSのこと?
Re: (スコア:0)
HSTSも初回アクセスに割り込まれたら無力。
HSTS preloadは結局ブラウザー側で対策するということに他ならない