サイバートラスト

サイバートラスト ジャーナル

進む SSL 化の流れ

2015年12月25日

FireFox 46 から、非 SSL 通信(非 TLS 通信)のログインページに対し、アドレスバーに警告アイコン表示か?

type="password" を含むログインページ(パスワード入力ページ)が非 SSL/TLS 通信で表示された場合、FireFox 46 から、アドレスバーに警告アイコンが表示される可能性があるようです(参考画像)。

一般のサイトで、パスワード等を POST する先の URL から https:// にして、SSL/TLS 通信にしているページをしばしば見かけますが、攻撃や改ざんを防ぐため、パスワード入力フィールドを表示するページ自体から、Mozilla は SSL/TLS 通信(https://)を求めるようです。

FireFox 46 は、2016 年 4 月リリース見込ですので、もし、そこで警告表示の機能がリリースされるのであれば、前述のようなサイトでは、それまでに、ログインページの SSL/TLS 化やページの修正が必要になってくると思われます。

これも、常時 SSL 化の流れの 1 つなのかもしれません。

非 SSL/TLS のログインページに対する警告アイコンの表示は、元々は、FireFox 44 から検討が始まっており、その後、FireFox 45 を経て、最近 FireFox 46 にずれ込んだように見えます(参考: Use a lock with a strikethrough for HTTP pages that have Password Fields in the Control Center, Turn on Insecure Password Warning for Firefox Dev Edition)。

FireFox 45 の Nightly (FireFox 45.0a1、英語版(2015 年 11 月 24 日時点))をダウンロードして、表示を見てみた際の画面の様子を以下に示します。

HTTP(非 SSL/TLS 通信)時

SSL/TLS 通信を使わず、type="password" フィールド(下図の赤い丸で囲んだ部分)を含むログインページを表示した場合、アドレスバーに、下図のような警告アイコン(赤色の斜線付の鍵マーク)が表示されました。

鍵部分を更にクリック。

比較として、同じログインページに対し、SSL/TLS を使った場合も試してみました。

HTTPS (SSL/TLS 通信)時 (証明書: SureServer EV [SHA-2] )使用

SSL/TLS 通信時は、type="password" フィールド(下図の赤い丸で囲んだ部分)を含むログインページについても、通常通り、緑色の鍵マークが表示されました。

鍵部分を更にクリック。

実際に、どのバージョンでリリースされそうか、引き続き、注視したいと思います。

  • 前の記事へ
  • HOME
  • 次の記事へ