2015年05月07日

Mozillaがnon-secureな通信をしないモードを用意するかも

Googleがhttpsのサイトの検索評価を上げる話が出たりするなど、Webの全体的なhttps化の流れはだいぶ前から始まっている感がありましたが、Mozillaもそれに対しては同意見のようです。

Mozilla may offer new browser features only on secure websites
(Mozillaが新しくセキュア・ウェブサイト・オンリー・モードを作るかも)

non-secureな(httpsでない)サイトに対してなんらかの措置を取るようなfeatureを用意すべく、議論が行われているようです。

こちらはMozillaのブログの当該記述。

Deprecating Non-Secure HTTP | Mozilla Security Blog

Today we are announcing our intent to phase out non-secure HTTP.

今日はnon-secureなHTTPをWebからフェーズアウトさせることについてお話するよ。

ということでプレーンなhttp通信を排除する意図がはっきりと表明されています。

Chromeでもnon-secureなHTTPリクエストに対する措置は考えられているようです。

Marking HTTP As Non-Secure - The Chromium Projects
(non-secureなHTTPに対する表示について)

通信を下記のような3つに分けてUIに表示することを考えているそうです。

  • Secure (valid HTTPS, other origins like (*, localhost, *));
  • Dubious (valid HTTPS but with mixed passive resources, valid HTTPS with minor TLS errors); and
  • Non-secure (broken HTTPS, HTTP).

盗聴などのリスクだけでなく、Githubを攻撃した大規模なman in the middle attack(グレートキャノン)があったりと、セキュアじゃないWebサイトでは防げない問題がいろいろ出てきているので、この流れ自体は止まらないものと思われます。

個人サイトで独自ドメインを取って商売している人間にとっては、厄介な話ではありますが。

タグ:web security
posted by newsit at 07:00| web