X
【IT】Google Chrome、HTTPS/HTTPの混在禁止 - 年末年始までに対応を
■ このスレッドは過去ログ倉庫に格納されています
0001田杉山脈 ★
垢版 |
2019/10/11(金) 17:10:40.96ID:CAP_USER
Google Chromeチームは10月3日(米国時間)、「Google Online Security Blog: No More Mixed Messages About HTTPS」において、ChromeではHTTPS/HTTP混在ページにおけるHTTPをデフォルトでブロックの対象としていくと伝えた。挙動の変更は年末から2020年第1四半期にわたってリリースされるChromeで順次行われる。

予定されている挙動変更のスケジュールは次のとおり。

Ver. 内容
79 HTTPS/HTTP混在ページにおいて現在ブロックされているJavaScriptやiframeなどのコンテンツのブロックを解除する設定画面を追加
80 HTTPで提供されているオーディオデータやビデオデータなどは自動的にHTTPSへアップグレードされ、HTTPSで提供されていない場合はブロックされる。ただし、Chrome 79で導入される設定画面を通じて個別にブロックを解除することが可能
81 HTTPで提供されている画像を自動的にHTTPSへアップグレードし、HTTPSで提供されていない場合はブロックされる

Webブラウザでは、HTTPSで提供されているページからHTTPでコンテンツを引っ張ってきていることがある。対象はJavaScript、iframe、画像、動画、音声などさまざま。HTTPSで提供しているページからHTTPで提供されているリソースを読み込むことはセキュリティ上好ましくないとされており、現在ではJavaScriptやiframeといったセキュリティ上の懸念が強いコンテンツはデフォルトブロックの対象となっている。

Googleはこの対象範囲を広げて、動画や画像といったコンテンツに関してもデフォルトでブロックするように変更していく。

画像や動画などのコンテンツは危険性が低いと考える人もいるかもしれないが、株価のチャート画像などが差し替えられた場合、投資家を誤った投資へ導くことが可能になる。また、混在リソースに対してトラッキングクッキーを忍ばせることもできる。

さらに、HTTPSからHTTPのリソースを取得している場合、ユーザーに対してそのページが安全か安全ではないのかを提示することが難しいという問題も存在している。

HTTPSページにおける全HTTPブロックが機能するようになった場合、これまで表示されていた画像や動画が表示されなくなる可能性がある。リソースの提供元がHTTPS経由でのアクセスを提供している場合は、これまで通りのコンテンツが表示される。新しい挙動は年始ごろから利用するユーザーが増えると考えられ、それまでに確認やHTTPSへの移行などを実施することが望まれる。
https://news.mynavi.jp/article/20191007-904196/
0003名刺は切らしておりまして
垢版 |
2019/10/11(金) 18:06:50.80ID:APSlKEMk
>>2
まともなサイトが少ないから対応するんだろw
0007名刺は切らしておりまして
垢版 |
2019/10/11(金) 19:03:13.23ID:ElCU6UeF
日本の役所のサイトとかほぼhttpだろ
どうすんの?
0009名刺は切らしておりまして
垢版 |
2019/10/11(金) 19:45:49.39ID:AmtyKfXA
httpがダメなんじゃなくてhttpsなのにhttpでスクリプトだのを引っ張ってきてるのがダメだって読めませんか
0011名刺は切らしておりまして
垢版 |
2019/10/11(金) 20:53:48.96ID:5KuQmLl4
>>8
これは、ページはhttpsで提供してるのに、ページ内の個別エレメント(つまり、imgタグとか)はhttpで提供しているサイトをブロックするという意味
こうした作りのサイトは意外に多い
0012名刺は切らしておりまして
垢版 |
2019/10/11(金) 21:07:23.92ID:lhO9cjwU
そもそも、誤字脱字デマうそステマなページだらけなのに、その情報を保護して見る意味が分からない
くだらなすぎる
本当に必要なところだけhttpsを義務づけろ
0013名刺は切らしておりまして
垢版 |
2019/10/11(金) 21:20:04.73ID:37WKsFfm
一部だけsにしてたりsじゃなかったりはゴロゴロあるわなw
そして、そんなつくりしてるとこが対応するわけない罠w
0015名刺は切らしておりまして
垢版 |
2019/10/11(金) 21:41:19.76ID:YXyAYwSY
・検索サイトを押さえる
・Webブラウザを提供する
・バリデーションチェッカーとかSEOツールとか無償で出し、自分たち基準を作る
→縛りから抜けられなくする

・メールもWebAPIもスマホOSもなにもかも無償提供
→便利さから抜けられなくするする

徐々に有償化。
プラットフォーム企業は強いね。
0017名刺は切らしておりまして
垢版 |
2019/10/11(金) 22:01:00.58ID:pNR3wHc2
はぁ
Chromeがネットの規則を決めていくわけだな
0020名刺は切らしておりまして
垢版 |
2019/10/11(金) 22:11:59.92ID:83ahbZzh
ちなみに阿部寛のホームページが未だにhttpな件

混在じゃなければいい
むしろあのHPは永遠にhttpでいい
0021名刺は切らしておりまして
垢版 |
2019/10/11(金) 22:24:45.98ID:9YdpMHTj
Firefoxの俺様、chろめ厨を見物。
0022名刺は切らしておりまして
垢版 |
2019/10/11(金) 22:34:26.48ID:Pb7U5JXl
FirefoxならまだWaterfoxの方がわかる
アドオンを切り捨てたFirefoxはまだ使えるレベルにない
0024名刺は切らしておりまして
垢版 |
2019/10/12(土) 06:26:54.49ID:Up0XiATN
>>17
ブラウザはmozillaやgoogle,microsoftが共闘して割りとオープンに物事を決めていってるけど
androidやiosなんて自社のルールで決められていってるよ
ソッチのほうが嫌なんだけど
0025名刺は切らしておりまして
垢版 |
2019/10/12(土) 06:39:17.38ID:p0cyBKt3
Chrome使ってないと問題ないんだろ
0028名刺は切らしておりまして
垢版 |
2019/10/13(日) 07:19:21.83ID:tCYokP/U
サイトはhttpsでもメールは全く暗号化しないよな
銀行からのメールも暗号化もしてないとか頭悪い
そのくせサイトじゃ定期的にパスワード変えろって一昔前のセキュリティ対策載せてるし
0031名刺は切らしておりまして
垢版 |
2019/10/13(日) 23:33:28.77ID:98Izl/f8
いやメールは普通に暗号化してるだろ
今どきIMAP/POP/SMTP over TLS使えないサービスなんて場末のフリーメール以外無いんじゃないか
0035名刺は切らしておりまして
垢版 |
2019/10/22(火) 20:24:54.02ID:6XEF9LHn
今どきの事業者が提供するWEBサーバーは一括でSSL保護に対応しているけれど
企業内のWEBサーバーで公開しているところはダメそうだね
0036名刺は切らしておりまして
垢版 |
2019/10/22(火) 20:33:36.53ID:4zmzFNXV
そもそもこれ、IEは結構前から警告出してたのにChromeが今まで対策してなかったのが驚き。
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況