なぜGmailは不安であるとChromeと思うのですか?


親愛なるライフハッカー、
Google Chromeのセキュリティパドロックは私をおかしくしています。たとえば、Gmailなどの安全である必要があるサイトにいるとき、クロームはページが安全ではないという警告を与えてくれます。ここで何が起こっているのですか?

署名された、
セキュリティに敏感です

ちょっとsts、
私たちはこの質問を何度か聞いたことがありますが、できますがChromeのWebサイトセキュリティインジケーターについてよく読んでください彼らのヘルプページで、私はGoogle ChromeチームのシニアプロダクトマネージャーであるIan Fetteと話をしました。これがなぜ起こっているのか、特にGmailアカウントで、そしてほとんどの場合、それはあなたがそうする必要があるものではない理由をより明確に把握しました。心配しすぎる。これが私が学んだことです。

Chromeのセキュリティ指標の理解

Chromeのアドレスバーには、訪問しているサイトのURLの横にあるいくつかのアイコンの1つが表示されます。これらのアイコンは、安全なサイトで閲覧しているかどうかを示しています。

HTTPSを使用するサイトを閲覧している場合(HTTPの安全で暗号化されたバージョン)、パドロックアイコンのバージョンが表示され、拡張検証(EV)インジケーターも表示される場合と表示されない場合があります。たとえば、銀行に行くと、サイトにEV証明書があることを示すグリーンバーがよく表示されます。これは基本的に、彼らが彼らが言っている会社であることを証明する追加のドキュメントです。

EVは、ChromeがWebサイトを知っているのを助けるために最も役立つことです。実際、ほとんどの場合、お金やセキュリティを扱うサイト(銀行や、たとえば、パスワード管理ツールのWebサイトなど)は別としてラストパス)、しないでください。サイトがEVを提供しない場合、ロック(HTTPS接続を使用してサイトに接続されていることを意味します)またはグローブ(暗号化されていないHTTP接続を使用して閲覧していることを意味します)が表示されます。

アドレスバーにグローブが表示されている場合は、そのページに表示されているものはすべて、あなたと同じパブリックネットワーク上の他の誰かが見ることができることに留意してください。 Cookieと、たとえば、Facebookがあなたであるかのようにナビゲートします。 (それがその方法ですFiresheepは機能します。)

グリーンロックは、セキュリティの観点から理想的なアイコンです。これを見た場合、あなたは安全なHTTPSサイトにいることを知っています、ページで提供されるすべてが安全なHTTPS接続で提供されています。あなたのものまたはあなたのクッキーをハイジャックすることができます。

南京錠が警告を表示するときはどうですか?

事態は間違っている可能性があります。一部の安全なサイトでは、HTTPの代わりにHTTPを介して、画像、またはその他の組み込みページ要素が提供されます。たとえば、パブリックホットスポットで銀行口座を閲覧していて、銀行のロゴがHTTP接続から提供されていた場合、ページ上の実際の情報がHTTPSに登場している場合、同じネットワーク上の誰かが表示できる場合がありますあなたの銀行のロゴ。ただし、HTTPSを介して提供されている個人情報のロゴはありません。サイトが混合コンテンツを提供している場合、黄色の警告サインが付いた南京錠または赤いxのパドロックが表示されます。違いは次のとおりです。

この黄色の警告パドロックは、混合コンテンツに画像のような埋め込み要素が含まれている場合に表示されます。一部のコンテンツはHTTPを介して提供されていることを知らせますが、セキュリティリスクをもたらすコンテンツになる可能性が低いことをお知らせします。

混合コンテンツにJavaScriptのようなリスクの埋め込みコンテンツが含まれている場合、赤いXパドロックが表示されます(リスクの高いコンテンツは、ページを変更できるものです)。

赤いXは、あなたが本当に注意したいものです。信頼できないネットワークにいる場合は、おそらく、敏感なコンテンツを含む赤いXパドロックでサイトを閲覧しないようにしたいと思うでしょう。 HTTPを介してリスクの高いコンテンツが提供されています。つまり、ハッカーがパスワードやCookieを盗むことができるJavaScriptを注入する可能性があることを意味します。

では、なぜGmailの緑の南京錠以外のものを見ているのですか?

答えは非常に簡単です。最初にロードするか、リロードしてみると、緑色の南京錠が表示されます。 Gmailのすべてが安全なHTTPS接続から提供されます(デフォルトでした去年の1月以来)。ただし、HTMLで書かれたメールを開き、Gmailが埋め込み画像を表示できるようにすると、多くの場合、これらの画像はHTTPSを使用していない別のサイトからロードされます。埋め込まれた画像でメールをロードし、それらの画像がHTTPに登場するとすぐに、南京錠は緑色の南京錠から黄色の警告パドロックに変更されます。

Gmailは電子メールと受信トレイを切り替えたときにページをリロードしないため、Gmailを完全にリロードするまで、南京錠は混合コンテンツモードのままになります。そして今、私たちはセキュリティインジケーターについてもう少し知っているので、これはGmailが不安定であることを意味していないことを知っています。 (それが価値があることについては、緑の南京錠を取り戻すために常にGmailを更新できるはずです。)

IANによると、他の可能性のある犯罪者(つまり、あなたの南京錠が緑ではないかもしれない理由)には、Gmail Labs機能とさまざまなブラウザ拡張機能が含まれています。 Gmailチームは、Labs機能が100%HTTPSであることを確認することを目指していますが、コンテンツが混合されていなくても常に起動されるわけではありません。 (結局のところ、それらは実験的な機能です。)拡張に関して、まあ - それらはあなたの手にあり、Chromeチームはあなたのサイトに混合コンテンツを導入しているかどうかを制御できません。

単にバニラGmailを使用している場合(つまり、拡張機能がインストールされていないか、ラボ機能が有効になっている場合)、Gmailに赤いXパドロックが表示されないことは間違いありません。もしそうなら、まあ、私は何が原因であるかわからない。 (IanはChromeチームの出身です。Gmailチームの誰かが、なぜそれが起こっているのかについての提案がある場合、私たちはすべて耳を傾けます!)

httpsを介して提供されていないものを正確に把握する方法

最後のボーナスのヒントとして:ページ上のすべてがHTTPSを介して提供されているわけではないことを知ってうれしいですが、正確に知る方が心地よいでしょう安全ではありません。確認するには、レンチボタンをクリックし、[ツール]> [開発者]ツールを選択し、[コンソール]タブをクリックします。 [警告]ボタンをクリックして、そこにあるものをチェックしてください。

上記の例では、この警告が表示されます。

https://mail.google.com/mail/u/0/?shva=1&zx=j68m1t-i2thtz#apps/k%26l

ご覧のとおり、メールに埋め込まれた画像がありますhttps://www.klwines.com/K&Lロサンゼルスで私のお気に入りのワインストアです)。この場合、セキュリティの問題を作成するものではありませんが、Gmailの黄色い動揺した南京錠の混合コンテンツ警告をトリガーするには十分です。

それが役立つことを願っています!

愛、
ライフハッカー