Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース ChromeとFirefoxが安全でないサイトの警告を開始

ChromeとFirefoxが安全でないサイトの警告を開始

原文(投稿日:2017/01/25)へのリンク

GoogleやFirefoxから提供されるWebブラウザの今後の変更により、ユーザは安全でないサイトを閲覧しているときにアラートが表示されるようになる。2017年1月のChrome 56とFirefox 51は、これらの警告を含む最初の一般向けリリースとなる。

Googleは、Chromeバージョン56から、ユーザがパスワードやクレジットカードの入力フィールドが含まれている非HTTPSをウェブサイトを訪問すると、URLバーに安全なウェブサイトでないという警告が表示されることを、何度も通知した。このアラートの最初のバージョンはわかりにくく、ユーザーの目を引かなそうであるが、後のビルドでアラートが強化されるであろう。


イメージクレジット:https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

Googleは記事で、現在のウェブサイトの見た目では、ユーザに誤ったセキュリティ認識を与える可能性があると指摘した。

Chromeは現在、ニュートラルインジケータでHTTP接続を示しています。これでは、HTTP接続のセキュリティの真の欠如を表していません。HTTP経由でWebサイトを読み込むと、ネットワーク上の誰かがあなたのサイトにアクセスする前にそのサイトを見たり変更したりすることができます。

これは、現在ChromeがHTTPSを使用するサイトの横に「secure」通知を表示する方法と似ている。

Mozilla Security EngineerのTanvi Vyas氏は、フォームをHTTPSで送信するだけでは十分ではないと言っている

私たちはこの質問を多く受けます。 HTTPではなくHTTPS経由で送信することで、ネットワークの盗聴者がユーザーのパスワードを見るのを防げます。しかし、アクティブなMITMの攻撃者が非セキュアなHTTPページからパスワードを抽出することは妨げません。攻撃者は、サイトがユーザに配信しようとしたHTMLコンテンツを取得し、ユーザのユーザ名とパスワードを盗むjavascriptをHTMLページに追加することができます。

Googleは安全でないことを表す警告を準備する開発者を支援するページを提供している。そこには、サイトをテストするためにChrome Canaryの最新バージョンをダウンロードすることなどが掲載されている。

Chromeでは、ページがHTTPSで配信される場合にのみ、パスワードとクレジットカード入力フィールドがあるサイトに警告が表示されない。フォームフィールドがiframe内にある場合、フレームとトップレベルページの両方がHTTPSで保護されている必要がある。以降のビルド(未定)では、パスワードやクレジットカードのフィールドがない場合でも、Chromeは非HTTPSサイトに「Not Secure」と表示する。開発者とサイト所有者は、この警告メッセージを排除し、すべてのページをHTTPSで提供しようとするだろう。後者の警告については、赤字で不安を呼び起こし、より目立つようにする。


イメージクレジット:https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

Rate this Article

Relevance
Style

この記事に星をつける

おすすめ度
スタイル

BT