Chrome ファンは今日、ブラウザにちょっとした変化があることに気づいたかもしれません。 Chrome の最新イテレーションであるバージョン 68 を実行していると仮定すると、大きな「安全ではありません」ボタンが表示されますhttps:// ではなく https:// で始まる Web サイトを表示するたびに、アドレス バーに が表示されます。 (ちなみに、私は Chrome バージョン 67.0.3396.99 を使用していますが、ページにデータ入力フィールドがあるときは常に、Chrome バージョン 67.0.3396.99 もポップアップ表示されます。)
この警告を無視しますか?おそらく。そうすべきですか?おそらくそうではありません。 Web セキュリティの専門家である Troy Hunt が、サイトで HTTPS (「安全な」ハイパーテキスト転送プロトコル) を使用することが重要である理由を、この短いビデオ (以下) で詳しく説明しています。これは絶対に見る価値がありますが、短いバージョンは次のとおりです。企業、ハッカー、またはあなたの Web 移動に利害関係を持つ他の人にとって、特定の Web サイトにアクセスしたいときなど、HTTP リクエストに気づくのはそれほど難しいことではありません。このリクエストを傍受します。そして、広告、ポップアップ、まったく別の Web サイトなど、望ましくないものでそれを変更します。
Amazon、Microsoft、Tumblr、Lifehacker など、ほとんどの Web サイトでは、単純なドメイン名を入力すると HTTPS バージョンにリダイレクトされます。しかし、これを行っていない Web サイトはたくさんあり、ハント氏はこれらの犯罪者を追跡するために独自の Web サイトを作成しました。なぜHTTPSがないのか?
彼はその中で、ドメイン名を入力しても HTTPS バージョンのサイトに自動的にリダイレクトされない、世界でトップ 100 の Web サイトをリストアップしました。犯罪者 (およびその Alexa ランク) には、Baidu.com (#4)、qq.com (#6)、bbc.com (#105)、espn.com (#136)、foxnews.com (#211) などがあります。ほんの数例を挙げると、speedtest.net (#237) などです。
イライラするのは、これらのサイトの一部は実際に持っている安全なバージョン。アクセスするには、websitename-dot-com ではなく、https:// とドメイン名を入力するだけで済みます (HTTPS バージョンに自動的にリダイレクトするようにチェックできる何らかの設定や設定がある場合を除く)サイトにアクセスするたびに)。ただし、このトリックはすべてのサイトで機能するわけではありません。 https://www.espn.com は好きなだけアクセスできますが、それでも安全性の低い HTTP サイトにリダイレクトされます。
お気に入りのサイトが HTTPS をサポートしていないとき、またはそう思うとき
ブラウザ拡張機能を取得することをお勧めしますどこでもHTTPS。これは、Tor プロジェクトと電子フロンティア財団によって作成された素晴らしい小さなツールで、可能な限りブラウザを HTTPS バージョンの Web サイトに接続することで、これらの問題のいくつかを解決しようとします。それは完璧ではないし、魔法でもありません。 EFF が指摘しているように、何もないところからサイトのセキュリティを構築することはできません。
「HTTPS Everywhere は、サポートされている Web サイトの暗号化された部分を使用している場合にのみ保護します。サポートされているサイトでは、サイトのすべての既知のサポート対象部分に対して HTTPS 暗号化が自動的に有効になります (一部のサイトでは、これはサイト全体の一部のみである可能性があります)。たとえば、Web メール プロバイダーが HTTPS をまったくサポートしていない場合、HTTPS Everywhere では Web メールへのアクセスを安全にすることができません。同様に、サイトでテキストの HTTPS は許可されているが、画像には許可されていない場合、誰かがブラウザーに読み込まれる画像を確認して、何にアクセスしているかを推測できる可能性があります。
HTTPS Everywhere は、使用する個々の Web サイトのセキュリティ機能に完全に依存します。これらのセキュリティ機能は有効になりますが、それらがまだ存在しない場合は作成できません。 HTTPS Everywhere でサポートされていないサイト、または安全でない方法で情報を提供するサイトを使用する場合、HTTPS Everywhere はそのサイトの使用に対して追加の保護を提供できません。パスワードを含む機密情報を送受信する前に、特定のサイトのセキュリティが期待するレベルで機能していることを必ず確認してください。」
ブラウザで何も考えずにサイトをクリックしているだけであれば、おそらく気にする必要はありません。それHTTP と HTTPS については詳しく説明しますが、ブラウジング セッション中に何か奇妙な現象が発生し始めた場合を除きます。少なくとも、SecurityMetrics アナリストの Brand Barney 氏は次のように述べています。2014 年のブログ投稿: 「ウェブを閲覧したり、猫のミームを眺めたり、200 ドルのケーブル編みのセーターを夢見たりするだけなら、HTTP で問題ありません。」
したがって、自宅の ESPN でスポーツのスコアをチェックすることは、安全性の低いサイトの接続ではおそらく問題ありません。もしあなたがコーヒーショップで ESPN アカウントにログインしているなら、私ならそうするでしょう。もう少し緊張する(そしておそらくそれはしません)。どうしても抵抗できない場合は、ESPN のログイン資格情報が他のサイトやサービスで使用しているものと同じでないことを確認します。クレジットカード情報を入力しませんESPN のサイトで何かを購入することもできます (それさえできれば)。
言い換えれば、HTTP では通常のブラウジングでは問題が発生する可能性は低いですが、パスワード、支払い情報、住所、社会保障番号など、他人に知られたくない情報を入力し始めると、安全でない接続でそれを行うのは愚かです。さらに悪いことに、オープン ワイヤレス ネットワーク、コーヒー ショップ、または同じネットワーク上の多くの知らない人がサイバー盗聴する可能性のある場所で、安全でない HTTP 接続を介してその情報を送信することは望ましくありません。何をしているのですか。
それでも大多数のウェブサイトHTTPS に移行した場合は、Chrome での Google のコールアウトにも注意を払う必要があります。完璧な世界では、安全でない Web サイトでユーザーがやるべきでないことをしようとしているときに、Google が「安全ではない」アイコンを赤く点滅させて注意を引くことになりますが、アドレス バーのインジケーターを大きくしたほうが、何もしないよりはマシです。 、と推測します。次回オンラインで何かを購入しようとしているときは、必ずブラウザの上部を覗いてみてください。
