パスワードを忘れた? アカウント作成
16579253 story
Chrome

Google、Chrome で HTTPS 接続時のアイコンをセキュア感の低いものに変更する計画 19

ストーリー by headless
セキュア感 部門より
Google が Chrome の HTTPS 接続時に表示するアイコンを現在の「ロック」アイコンよりもセキュア感を与えにくい「チューン」アイコンへ変更する計画を示している (Chromium Blog の記事Neowin の記事The Register の記事Android Police の記事)。

ウェブブラウザーでは Netscape の初期のバージョンから HTTPS 接続時に南京錠をデザインした「ロック」アイコンが表示されてきたが、ほとんどの接続が HTTPS となった現在では誤ったセキュア感を与える表示との見方もある。以前は多くのブラウザーがロックアイコンとともに表示していた「保護された通信」のようなテキストは廃止されたが、今でもロックアイコンをサイトを信頼できるかどうかの基準にしているユーザーは多いようだ。

Google は Chrome 93 でロックアイコンをよりニュートラルなドロップダウンボタンのような表示に置き換える実験をしており、スライダーを並べたようなデザインの「チューン」アイコンもこれを踏襲したものになる。選定理由としては、コントロールや設定を示すアイコンであり、クリックして使用するコントロールだとわかりやすいことや、信頼性の高さを示唆しないことが挙げられている。

新しいアイコンは 9 月リリースの Chrome 117 で投入予定だ。Chrome Canary では chrome://flags で「Chrome Refresh 2023 (chrome://flags#chrome-refresh-2023)」を Enabled にすることで新しいアイコンの表示を試すことができる。ただし、新しい表示は開発途中のものであり、最終版とは異なる可能性があるとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年05月05日 18時40分 (#4454819)

    オフトピだけど、期限切れやら誤設置の証明書になってるサイトの閲覧性にも手を入れて欲しい。

    いや、怪しいのは重々承知なんだ。素の HTTP アクセスに対してペナルティというか手間が重い気がしてね。

    • by Anonymous Coward

      実際にアクセスしないと証明書の検証ができない設計は間違ってるよね。

    • by Anonymous Coward

      なんだかんだで接続できてしまうんだから、むしろ軽いだろ。

    • by Anonymous Coward

      それは、サイトの管理者に文句を言うべきなのでは?
      今時TLSに対応するのになんて大したコストもかからないのに、放置しているほうが悪い。

      • by Anonymous Coward

        ・HTTPでホストされているサイトには(ちょっとした警告は出るものの)普通に接続できる
        ・HTTPSでホストされているが証明書エラーとなっているサイトにはでかでかとフルスクリーンの警告が出る

        これが良いか悪いかというと……良いような悪いような。
        HTTPSが当たり前になってきている昨今においてはバランスが取れていないような気もする。

        • by Anonymous Coward

          前者は単にTLS化していないだけ。不正なアクセスかは分からない。
          後者は証明書が不正=明確な不正アクセス。
          どう考えてもやばいのは後者だろ。

          • by Anonymous Coward

            期限切れやVirtualServerでCN違いの証明書が返ってきてるだけでも明確な不正アクセスか…笑

            • by Anonymous Coward

              10年前の感性だな。
              今や自動更新で発行し放題が無料でも利用できるのが当たり前。
              期限切れやVirtualServerでCN違いなんてのは、危険のサイン以外の何者でもない。

              • by Anonymous Coward

                レンタルサーバにあずけてMXレコードしか使ってないドメインのA/AAAAレコードで参照されるサーバのTLSアクセスで、ドメイン違いの証明書じゃなくて有効な証明書が帰ってきたらその方が不味い。

              • by Anonymous Coward

                そもそもメール専用サーバーなら、HTTPDを止めろ。

          • by Anonymous Coward

            TLS化していない = メンテを放棄され何年も放置されている危険なサイト
            セキュリティホールもそのままだろうし、乗っ取られてマルウェアを仕込まれていても当然。

            • by Anonymous Coward

              ならHTTPアクセス全面廃止運動でもすれば?
              組み込みとか、必要ないからやってない・無駄にやると逆に危険なケースだって腐るほどあるわ阿呆。

  • by Anonymous Coward on 2023年05月05日 19時04分 (#4454835)

    なので、HTTPSであれば特に表示する必要はないと思う。

    一方でHTTP通信してるサイトでは「保護されていない通信」とかよーわからんものじゃなくて、
    赤ラベルで「盗聴可能な通信」とか、無効証明書と同様の危険認識しやすい表記に変えるべき。

    • by Anonymous Coward

      その方向でしょ。
      今までセキュアとして特別表示していたものを急に素の表示にしたら混乱するから徐々に切り替えるだけ。
      そのうちhttpだと危険な接続として接続させてくれなくなる。
      今でもフラグで有効化すればそうなったんじゃなかったか。

  • by Anonymous Coward on 2023年05月06日 8時20分 (#4455033)

    って主張もある [framagit.org]ぐらいだから無くてもよくね

    • by Anonymous Coward

      ロックしとけばいずれそのサイトが廃止(休止?)になるから多少は意味があるかも

      # それは超人(ry

  • by Anonymous Coward on 2023年05月08日 7時56分 (#4455713)

    ドメイン認証のみ 多くのフリー認証局
    ドメイン認証+組織認証 一般企業のサイトに多い
    EV-SSL(ドメイン認証+厳格な組織認証) 金融機関
    この3つをもっと明確に区別するようにしてほしい

    いちばん上のドメイン認証のみは、もうセキュア扱いしなくてもいいのでは?
    非SSLサイトと同じ扱いで

    • by Anonymous Coward
      EVでそれ(緑表示)やって無意味どころか害悪だから止めたんだよ
    • by Anonymous Coward

      フィッシングサイトでも、ドメイン認証のみのフリーSSLとか、クラウド業者名義のSSLとか使ってるし、
      SSLだからといって信用するのは無理

typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...