【IT】Google Chrome、HTTPS/HTTPの混在禁止 - 年末年始までに対応を

このスレへの固定リンク： http://5chb.net/r/bizplus/1570781440/
ヒント：5chスレのurlに http://xxxx.5chb.net/xxxx のようにbを入れるだけでここでスレ保存、閲覧できます。

1田杉山脈 ★2019/10/11(金) 17:10:40.96ID:CAP_USER

Google Chromeチームは10月3日(米国時間)、「Google Online Security Blog: No More Mixed Messages About HTTPS」において、ChromeではHTTPS/HTTP混在ページにおけるHTTPをデフォルトでブロックの対象としていくと伝えた。挙動の変更は年末から2020年第1四半期にわたってリリースされるChromeで順次行われる。

予定されている挙動変更のスケジュールは次のとおり。

Ver. 内容
79 HTTPS/HTTP混在ページにおいて現在ブロックされているJavaScriptやiframeなどのコンテンツのブロックを解除する設定画面を追加
80 HTTPで提供されているオーディオデータやビデオデータなどは自動的にHTTPSへアップグレードされ、HTTPSで提供されていない場合はブロックされる。ただし、Chrome 79で導入される設定画面を通じて個別にブロックを解除することが可能
81 HTTPで提供されている画像を自動的にHTTPSへアップグレードし、HTTPSで提供されていない場合はブロックされる

Webブラウザでは、HTTPSで提供されているページからHTTPでコンテンツを引っ張ってきていることがある。対象はJavaScript、iframe、画像、動画、音声などさまざま。HTTPSで提供しているページからHTTPで提供されているリソースを読み込むことはセキュリティ上好ましくないとされており、現在ではJavaScriptやiframeといったセキュリティ上の懸念が強いコンテンツはデフォルトブロックの対象となっている。

Googleはこの対象範囲を広げて、動画や画像といったコンテンツに関してもデフォルトでブロックするように変更していく。

画像や動画などのコンテンツは危険性が低いと考える人もいるかもしれないが、株価のチャート画像などが差し替えられた場合、投資家を誤った投資へ導くことが可能になる。また、混在リソースに対してトラッキングクッキーを忍ばせることもできる。

さらに、HTTPSからHTTPのリソースを取得している場合、ユーザーに対してそのページが安全か安全ではないのかを提示することが難しいという問題も存在している。

HTTPSページにおける全HTTPブロックが機能するようになった場合、これまで表示されていた画像や動画が表示されなくなる可能性がある。リソースの提供元がHTTPS経由でのアクセスを提供している場合は、これまで通りのコンテンツが表示される。新しい挙動は年始ごろから利用するユーザーが増えると考えられ、それまでに確認やHTTPSへの移行などを実施することが望まれる。
https://news.mynavi.jp/article/20191007-904196/

2名刺は切らしておりまして2019/10/11(金) 17:49:36.67ID:P311liju

まともなサイトならとっくに対応してるがな

3名刺は切らしておりまして2019/10/11(金) 18:06:50.80ID:APSlKEMk

>>2
まともなサイトが少ないから対応するんだろｗ

4名刺は切らしておりまして2019/10/11(金) 18:25:15.55ID:3vGW5QV/

改ざんされたら意味ないがな

5名刺は切らしておりまして2019/10/11(金) 18:45:08.73ID:bngnZfBa

検索汚染がやばい

特にスマホゲーによる汚染がやばい

6名刺は切らしておりまして2019/10/11(金) 18:51:08.91ID:RPkjcPAW

阿部寛のホームページは大丈夫？

7名刺は切らしておりまして2019/10/11(金) 19:03:13.23ID:ElCU6UeF

日本の役所のサイトとかほぼhttpだろ
どうすんの？

8名刺は切らしておりまして2019/10/11(金) 19:17:01.40ID:h64rqSOY

大和証券のHPもいまだにhttp

9名刺は切らしておりまして2019/10/11(金) 19:45:49.39ID:AmtyKfXA

httpがダメなんじゃなくてhttpsなのにhttpでスクリプトだのを引っ張ってきてるのがダメだって読めませんか

10名刺は切らしておりまして2019/10/11(金) 20:45:42.97ID:O8D22xsC

httpページは昔のラブライブのページの様に改竄される

11名刺は切らしておりまして2019/10/11(金) 20:53:48.96ID:5KuQmLl4

>>8
これは、ページはhttpsで提供してるのに、ページ内の個別エレメント（つまり、imgタグとか）はhttpで提供しているサイトをブロックするという意味
こうした作りのサイトは意外に多い

12名刺は切らしておりまして2019/10/11(金) 21:07:23.92ID:lhO9cjwU

そもそも、誤字脱字デマうそステマなページだらけなのに、その情報を保護して見る意味が分からない
くだらなすぎる
本当に必要なところだけhttpsを義務づけろ

13名刺は切らしておりまして2019/10/11(金) 21:20:04.73ID:37WKsFfm

一部だけsにしてたりsじゃなかったりはゴロゴロあるわなw
そして、そんなつくりしてるとこが対応するわけない罠w

14名刺は切らしておりまして2019/10/11(金) 21:37:53.52ID:Y5K1miEq

どうでも良いバナー画像とかproxyにcacheさせたいだろ

15名刺は切らしておりまして2019/10/11(金) 21:41:19.76ID:YXyAYwSY

・検索サイトを押さえる
・Webブラウザを提供する
・バリデーションチェッカーとかSEOツールとか無償で出し、自分たち基準を作る
→縛りから抜けられなくする

・メールもWebAPIもスマホOSもなにもかも無償提供
→便利さから抜けられなくするする

徐々に有償化。
プラットフォーム企業は強いね。

16名刺は切らしておりまして2019/10/11(金) 21:56:08.39ID:qAJ9ySI6

いまだにhttpで配布されてるadblock filter、domain list、hosts fileは全滅か

17名刺は切らしておりまして2019/10/11(金) 22:01:00.58ID:pNR3wHc2

はぁ
Chromeがネットの規則を決めていくわけだな

18名刺は切らしておりまして2019/10/11(金) 22:01:51.98ID:UENK6Lkw

僕の肛門のSも

19名刺は切らしておりまして2019/10/11(金) 22:01:52.63ID:wuAC5s/T

通販とか複雑なサイトがhttpsで文字と画像のみのシンプルなサイトがhttpだと思ってた

20名刺は切らしておりまして2019/10/11(金) 22:11:59.92ID:83ahbZzh

ちなみに阿部寛のホームページが未だにhttpな件

混在じゃなければいい
むしろあのHPは永遠にhttpでいい

21名刺は切らしておりまして2019/10/11(金) 22:24:45.98ID:9YdpMHTj

Firefoxの俺様、ｃｈろめ厨を見物。

22名刺は切らしておりまして2019/10/11(金) 22:34:26.48ID:Pb7U5JXl

FirefoxならまだWaterfoxの方がわかる
アドオンを切り捨てたFirefoxはまだ使えるレベルにない

23名刺は切らしておりまして2019/10/12(土) 00:46:42.12ID:ZrlBZZ0v

ぼくの肛門はセキュアです

24名刺は切らしておりまして2019/10/12(土) 06:26:54.49ID:Up0XiATN

>>17
ブラウザはmozillaやgoogle,microsoftが共闘して割りとオープンに物事を決めていってるけど
androidやiosなんて自社のルールで決められていってるよ
ソッチのほうが嫌なんだけど

25名刺は切らしておりまして2019/10/12(土) 06:39:17.38ID:p0cyBKt3

Chrome使ってないと問題ないんだろ

26名刺は切らしておりまして2019/10/12(土) 10:26:46.59ID:UCLlTpZJ

Chromeのシェアが大きいからウェブマスター側には大問題

27名刺は切らしておりまして2019/10/12(土) 13:54:45.92ID:fitp27i3

>>25
他のブラウザもこういうのは歩調を合わせる

28名刺は切らしておりまして2019/10/13(日) 07:19:21.83ID:tCYokP/U

サイトはhttpsでもメールは全く暗号化しないよな
銀行からのメールも暗号化もしてないとか頭悪い
そのくせサイトじゃ定期的にパスワード変えろって一昔前のセキュリティ対策載せてるし

29名刺は切らしておりまして2019/10/13(日) 13:47:56.57ID:mDWKcXF6

メールだけは平文全開

30名刺は切らしておりまして2019/10/13(日) 14:45:33.94ID:EajGpGLT

さすがに暗号化は難しいだろうが、署名はデフォになってほしいところだよな。

31名刺は切らしておりまして2019/10/13(日) 23:33:28.77ID:98Izl/f8

いやメールは普通に暗号化してるだろ
今どきIMAP/POP/SMTP over TLS使えないサービスなんて場末のフリーメール以外無いんじゃないか

32名刺は切らしておりまして2019/10/14(月) 08:53:42.98ID:vh/abUdf

>>28が言ってるのはS/MIMEとかのレイヤーだと解釈したが。

33名刺は切らしておりまして2019/10/17(木) 02:22:36.83ID:T+95BPN9

>>28
証明書の意味わかってないだろ

34名刺は切らしておりまして2019/10/19(土) 07:33:07.41ID:F94I7mea

全部自鯖ならできるけど、cdnとか外のやつはコントロールできないし

35名刺は切らしておりまして2019/10/22(火) 20:24:54.02ID:6XEF9LHn

今どきの事業者が提供するWEBサーバーは一括でSSL保護に対応しているけれど
企業内のWEBサーバーで公開しているところはダメそうだね

36名刺は切らしておりまして2019/10/22(火) 20:33:36.53ID:4zmzFNXV

そもそもこれ、IEは結構前から警告出してたのにChromeが今まで対策してなかったのが驚き。

37名刺は切らしておりまして2019/10/23(水) 01:08:38.80ID:8RmbDwLu

>>36
いやChromeでも昔から混在の場合は暗号化されてないよマークになるぞ