今後のFirefoxの新機能は原則としてHTTPSでのみで利用可能に 13
ストーリー by hylom
脱平文 部門より
脱平文 部門より
Firefoxの一部の機能は「Secure contexts」と呼ばれるHTTPS/TLSで保護された環境でのみ利用できるようになっているが、今後実装される新機能は原則としてSecure contextsでのみ利用でき、非HTTPS/TLS環境では利用できないようにする方針をMozillaが明らかにした(Publickey)。
これには開発関連機能も含まれているという。ただし、ほかのブラウザがすでに非セキュアな環境でも提供している機能や、Secure contextsを必須にすると実装が過度に複雑になるような機能については例外となるという。また、現在非セキュアな環境で提供されている機能についても、今後Secure contextsでのみ有効になるよう変更される可能性もあるという。
特定機能の実現有無で暗号化通信下か否かを判定できてしまう? (スコア:2)
俺のプログラマ脳が何か嫌な予感を告げているんだけど……
うーん、職業病かな
Re: (スコア:0)
元々スキーマで判るよね…
Re: (スコア:0)
location.protocolで簡単に判別できます
Re:特定機能の実現有無で暗号化通信下か否かを判定できてしまう? (スコア:2)
そうなんだよね。
だから、location.protocolを取得できない(あるいは取得できるけどその値を信頼できない)、かつHTTPSかどうかがわかるとうれしい状況があるかを考えてるんだけど……
#これが杞憂と言うやつか。理解した。
##杞の人は天が落ちたらどうしようと心配していたのではない。天が落ちうる状況を見逃していないかを心配していたのだ。
Re: (スコア:0)
誰がその判定を行うの?
毎度警告出してオオカミ少年認定されるよりは良い方針なんじゃないかな (スコア:1)
ページ内キャッシュ警告とかウンザリ
HTTPSを「借りる」のはやめよう。 (スコア:1)
Cloudflareを使って、無料でSSLサイトを作ってる人大勢いるけど
提供元とCloudflare間の暗号はなしで、なおかつCloudflareがMITMの仲介人になっている
そういった現状を理解してる人は少ないと思う。
ユーザーと提供元(運営サーバー)間の通信が完全に暗号化されていて、誰も読めないという保証がHTTPS鍵アイコンなのに。
この検出アドイン [mozilla.org]を入れて数日使ってるけど、オレオレHTTPSの多さに驚くよ。
イントラも? (スコア:0)
イントラでもhttps使えというの?
Re: (スコア:0)
ルート証明書をインストールすればいいやん
Re: (スコア:0)
イントラネット証明機関を作った方がいいぞ
Re: (スコア:0)
動かすだけなら適当なドメインを取ってワイルドカード証明書を取得してつかいまわせば良い。
Re: (スコア:0)
ルーターの設定画面すら入れなくなる?
やめてほしい (スコア:0)
暗号化は本来、セキュリティを確保するための手段であって、目的ではない筈なのだが。
中途半端に「暗号化してないサイトでは使えない機能」みたいなのを増やしていくと、暗号化を手段ではなく目的としてしまうWebサイト管理者が出てくるのが目に見えてるんだよなぁ。
最近やっと公的機関のオレオレ証明書とかが淘汰されてきたのに、それに似た問題が再発しないかが心配。
Verisign「が」やらかした、あるいはVerisign「ですら」やらかしたような現状で、もっと質の悪いCAが出てくる原因になるんじゃないだろうか、という懸念は、考えすぎだろうか。