パスワードを忘れた? アカウント作成
15313234 story
Chrome

Google Chrome、アドレスボックスにドメイン名のみを表示する計画を取りやめ 42

ストーリー by headless
無意味 部門より
Googleは昨年から一部のユーザーを対象に、ChromeのOmnibox(アドレス・検索ボックス)のURL表示をドメイン部分のみにするテストを行っていたが、本格導入は行わないことにしたそうだ(Issue 1090393Ghacksの記事Android Policeの記事9to5Googleの記事)。

ドメイン名のみの表示はURLにブランド名を含めてユーザーを混乱させる攻撃への対策の一つで、テストはユーザーに悪意あるサイトへのアクセスを気付かせることができるかどうかを確認することが目的だった。しかし、このような表示方法を取ってもセキュリティは向上しないことが確認されたという。なお、テスト対象にならなかったユーザーもchrome:flagsでフラグ設定すればドメイン部分のみの表示を試せたが、該当のフラグは既にChrome 90で削除されていた。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • g-qr-code-generatorを復活させろクソが!

    #tab-hover-cardsはタブ上にマウスを持っていくとなんか出てくるやつ。
    あまりに不評すぎて [chromium.org]Chromeにしては珍しく復活のコミットが入った [googlesource.com]くらい

    #enable-tab-searchはタブの右に出てくる▼。
    これまた評価が最悪 [chromium.org]。

    #sharing-qr-code-generatorは右クリックの『このページのQRコードを作成』。
    全2者とちがって何故かほとんど話題になっていない。

    • by Anonymous Coward

      テレメトリ有効にしたり、フィードバック上げる人の意見で修正されるからな
      テレメトリ無効にして、フィードバックも上げないおまえらの意見は採用されない

      まあたまに外部の掲示板やSNSで批判が殺到して、それが原因で計画を変えることもあるが

  • by Anonymous Coward on 2021年06月12日 22時41分 (#4049805)

    「セキュリティ」の観点では最悪だと思うんだけど、なんでこういう阿呆なことが
    昔から繰り返されるんだろうな。まぁ、今回は思いとどまったよう良かったが。

    確かに情報の隠蔽は「素人を混乱させない」って効果は一定の評価はあるだろうが、
    逆に常に確認しながら進めたい玄人には迷惑な話。

    まずはそろそろiPhoneで証明書情報を表示させる手段がないことは何とかして欲しい。
    昔はchromeだったら表示できたはずなんだがいつの間にかなくなってるし。

    • by Anonymous Coward

      ブラウザのアドレスバーのhttp://とかhttps://の部分を隠したり、クッキー一覧の個々のクッキーを見れなくしたりね。
      まあ、アドレスバーに関してはhttps://が標準になりつつあるし、代わりに🔒アイコン出してるしわかるだろ?ってことなんだろうが。

    • by Anonymous Coward

      まずはそろそろiPhoneで証明書情報を表示させる手段がないことは何とかして欲しい。

      Appleの御加護で守られているiPhoneにはきっと
      証明書もセキュリティ機構も不要なのですよ

      # 必要なのは免罪符の購入

    • by Anonymous Coward

      iphoneみたいなのだと長すぎて表示できないし、ってのもあるんじゃないかな。
      それに見ても分からないアドレス欄なんて無くてもいいんじゃないかって思ってるよ、きっと。

      実際、常時出てる必要はないと思うけどね。

    • by Anonymous Coward

      昔はchromeだったら表示できたはずなんだがいつの間にかなくなってるし。

      Chromeなら、右下の三点リーダーから「サイト情報」で見れるよ
      Safariにはないね

      • by Anonymous Coward

        AndroidのChromeみたいな詳細情報は見れないけど発行機関だけは見れるようになってたんだな。
        WoSignとか信頼に値しない所は見分けられるようになって助かったよ。

  • by Anonymous Coward on 2021年06月12日 19時19分 (#4049716)

    5年前に続いてまた失敗したのか。

    • by Anonymous Coward

      去年は書けていたのに!

      • by Anonymous Coward

        野暮は承知で解説お願い。

        • by Anonymous Coward

          OmniがOminiになってた(修正済み)というだけ
          難しく考えすぎ

    • by Anonymous Coward

      これ「失敗」と言うべきなのかね
      これではセキュリティは向上しない、と知見を得られたのは
      いい試みだったようにも思う

      • by Anonymous Coward on 2021年06月12日 21時43分 (#4049785)

        これいつも議論になるけど自分の中の定義では
        全ユーザーに展開済みの後に撤回したら「失敗」
        一部ユーザーに展開した後に撤回したら「知見」←今回はこれ

        親コメント
    • by Anonymous Coward

      もう少し前かも

      Google Chrome、URLの表示されないアドレスバーが標準となるか
      https://srad.jp/story/14/05/05/1922213/ [srad.jp]

    • by Anonymous Coward

      Firefoxもアドレスバーを拡大したかと思ったらProtonであっという間に捨て去ったり、思いつきでいきあたりばったりにやってるとしか思えん

  • by Anonymous Coward on 2021年06月12日 19時32分 (#4049725)

    「このままだと攻撃者の思う壺」イオンカードで不正利用の注意喚起のはずが…大間違いだった [togetter.com] のように、
    正規サイトの説明としてURLが「https://www.aeon.co.jp」から始まっている、などといった解説をしているサイトがあります。

    しかし、これだと「https://www.aeon.co.jp.example.com/」といったフィッシングサイトを防げません。

    これを、「https://www.aeon.co.jp/」から始まっている、という解説にすればフィッシング詐欺対策としては問題無さそうに思えますが、Google ChromeもFirefoxも、FQDNの後のパスが "/" のみの場合それを省略表示してしまうので、「https://www.aeon.co.jp」と完全一致ならば正規サイトであることまで解説する必要が出てきてややこしくなります。

    何故、各ブラウザは、トップページのURLの "/" (スラッシュ) を省略するんでしょうか。
    https://srad.jp/ [srad.jp] にアクセスしたときに https://srad.jp/ [srad.jp] にする必要は全くないと思うんですが。ちなみに、URL欄をコピペすると省略されたスラッシュが出てきて(コピー時には省略されない)1文字だけ一致しなくなるのも不快です。
    FQDNのみ表示するというポリシーならまだともかく、そのあとの /index.html?q=hoge なんかは表示されるしスラッシュの時のみ省略する意味が不明です。

    このスラッシュの省略さえなくなれば、正規サイトは「https://example.com/」から始まります、といった説明ができるようになるので、スラッシュの省略は止めていただきたいです。

    • by Anonymous Coward on 2021年06月12日 23時23分 (#4049816)

      https://srad.jp/ にアクセスしたときにhttps://srad.jp/ にする必要は全くないと思うんですが。

      ええスラッシュ省略するならこうですよね
      https:d.jp [d.jp]
      (違

      # これでリンクが付くのも違うやろ>srad

      親コメント
    • by Anonymous Coward on 2021年06月12日 19時52分 (#4049735)

      この例なら example.comだけ強調されない?
      Firefoxならそうなってるんだけど。

      親コメント
    • by Anonymous Coward on 2021年06月12日 22時26分 (#4049799)

      代替手段があるかどうかは別にして、そもそもURLを見て詐欺かどうかの判断をする要素とする事自体がおかしいんですよ
      勿論やらないより遥かにマシなのですが
      URLの文字列だけで良いのか、文字列だけで良いとしても見間違えなどは無いのか、証明書は、Whoisは、リンク踏んだ時のURLは?

      >「https://www.aeon.co.jp/」から始まっている、という解説にすれば
      注意喚起に表示されていたとしても詐欺にひっかかる前に読むのか、読んだとして覚えているのか、「/」まで意識が回るのか
      インターネットが一部のマニアの物では無くなり、多くの利用者がURL欄というより検索欄と思っているような現在にはそぐわないかと

      親コメント
    • by Anonymous Coward

      たぶん特に理由はないからChromium Issue TrackerやBugzillaにissue登録するといいと思う

    • by Anonymous Coward

      うちのFirefoxでは省略されてないけど・・・?
      何処か何か設定してたかな・・・?

    • by Anonymous Coward

      何故、各ブラウザは、トップページのURLの "/" (スラッシュ) を省略するんでしょうか。
      https://srad.jp/ [srad.jp] にアクセスしたときに https://srad.jp/ [srad.jp] にする必要は全くないと思うんですが。ちなみに、URL欄をコピペすると省略されたスラッシュが出てきて(コピー時には省略されない)1文字だけ一致しなくなるのも不快です。
      FQDNのみ表示するというポリシーならまだともかく、そのあとの /index.html?q=hoge なんかは表示されるしスラッシュの時のみ省略する意味が不明です。

      あまり詳しくないですが可能性のひとつとして、
      最初にRFC 1630 [ietf.org]とかRFC 1738 [ietf.org]を作った時にhost (authority)だけのURI

  • by Anonymous Coward on 2021年06月12日 19時42分 (#4049731)

    アドレスバーの表示なんて元々あんまり見られてないってことかな。

    • by Anonymous Coward on 2021年06月13日 2時34分 (#4049842)

      大学の教養科目の教科書その他資料持ち込み可な期末テストで毎年、「ダメなURLはどれか?」的な問題を出してるけど壊滅するよ。

      まあ、その辺が×でも単位は出るだろう、と手を抜かれてるのかも知れないけどさ。
      「満点だったら1万円」とかで実験するともう少しマシになったりするのかな?
      アレが本気を出した時の実力というのはちょっと信じたくない。
      偏差値50は切ってないぐらいの大学のはずなんだけど、うち。
      実際に無理なんだとしたら、大多数の人間にとってはあのルールは難しすぎるということになってしまう。

      親コメント
      • by Anonymous Coward

        今ってURLのRFCも一般教養に含まれてるのか.
        まあ情報系以外の学生だと,端から捨ててしまうのもしょうがないような気がする.

    • by Anonymous Coward

      そもそも不便なんだよ

      例えばスラドなら
      https://security.srad.jp/story/21/06/12/045257/ [security.srad.jp]
      ってURLみるだけで2021年6月12日の記事なんだなってひと目でわかる
      ドメイン表示のみだとこういうメリットがすべて消える

      • by minet (45149) on 2021年06月12日 20時32分 (#4049753) 日記

        さらに昔はタイトルまで全部入っていて、リンクを見るだけで内容がわかった。
        …というのは元祖/.の話で、日本語はパーセントエンコーディングされちゃって可読性が最悪だったせいか、スラドではタイトルをつけない仕様に変わっちゃったけど。

        親コメント
        • by Anonymous Coward

          URLがパーセントエンコーディングされるのはわかるけど、アドレスバー上の見た目は可読性が高いデコード後のものでいいのになぁ
          コピペしたときとか入力した後の正式な内容としてはそりゃパーセントエンコーディングでいいけど、アドレスバーの表示上は読めるようにしてほしいわ

          • by Anonymous Coward

            今のchromeはデコード後だよ。

            https://www.google.com/search?q=%E3%81%82%E3%81%84%E3%81%86 [google.com]
            だったら「google.com/search?q=あいう」って表示されてる。

            #エンコードの種類によってはデコードされない

          • by Anonymous Coward

            パーセントエンコーディング入りURLって別のとこに貼った時長い(特にスマホだと辛い)とか見辛いとかで可読性悪いから好きじゃない

            通販サイトで「ほげほげ.com/日本語で商品名/数字のみの商品ID/」みたいなURLたまに見かけるが、大抵商品IDだけにしてもちゃんと開いてくれるのにわざわざ長い商品名書くのはなんでなんだろうと思いながら削ってる

        • by Anonymous Coward

          あれ、SEO対策。
          URLにキーワード入れておくと効果があった時代があった。
          今は短くしろってなったから消えた。

        • by Anonymous Coward

          いつの頃からか、アドレス欄のURLのクエリ部分がデコードされて表示されるようになって、それはそれで可読で便利だったりもするけど、参考サイトとしてURLをコピペして投稿したいのにデコードされたマルチバイト文字部分がリンクにならなくて「余計なことすんなよ!」ってイライラしたり。
          あと、Google ChromeじゃなくてiOSのSafariだけかもしれないけど、Googleで「keyword」で検索するとアドレス欄が「https://www.google.com/search?=keyword」じゃなくて、Omunibox的に単なる「keyword」だけに置換されて、「余計なことすんな!参考URLとして貼れねえじゃねえか!」ってなったり。

      • by Anonymous Coward

        Google様は変に一次情報を隠して『俺様がキュレーションしてやった清浄な情報』化したがりますよね。検索の劣化と同様の傲慢さと異常なお節介がやたら目に付くようになってる。

typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...