[レベル: 上級]
この記事では、Chrome Dev Summit 2019 の セキュリティをテーマにしたセッションのハイライトをレポートします。
HTTPS がウェブの標準になるに伴い、Chrome の URL 表示が変化していくことに注目してください。
HTTPS の普及拡大
トップ 100 サイトのうち 90 サイトが現在は HTTPS。
2016 年は 25 サイトだけだった。
Google のサイトに訪れるトラフィックの 90 % が HTTPS。
混合コンテンツのデフォルト ブロック
混合コンテンツ (Mixed Content) を Chrome がデフォルトでブロックするようにする。
[※すずき補足: こちらの記事を参照]
Chrome の URL 表示
現状の URL はセキュリティを保護することに役立っていない。
特に一般ユーザーはドメイン名を正しく識別できていないし、ドメイン名は詐称される危険がある。
Chrome の Omnibox(オムニボックス、URL バー)での表示を改善した。
EV 証明書の非表示
EV 証明書は、ユーザーが組織を識別することにほとんど役立っていないことがわかった。
EV 証明書であっても詐称されうる。
オムニボックスに表示しないようにした。
以前:
現在:
[※すずき補足: EV 証明書ではない場合は「発行先」フィールドはない]
スキームと www の非表示
http:// と https:// のスキームおよび www のサブドメインを非表示にした。
以前:
現在:
スキームも www サブドメインのどちらもユーザーの役に立っていない。https:// ページではセキュリティを示す鍵マークが付いているし、http:// ページでは警告が出るので不要だと判断した。
www も一般ユーザーにはノイズでしかない。
オムニボックスでの URL 表示をシンプルにしてセキュリティ状態をわかりやすくする。
継続して URL 表示をさらに改善していく予定だが、どんな表示が最善かは模索中。
セキュアなことが当然な状態なので、(https を示す) 鍵マークも将来的には取り去るつもり。
非セキュア (http) の場合に警告を出すようにする。
[※すずき補足: Chrome (Googel) の URL の取り扱い方針についてはこちらのブログ記事が深く考察しています]
Suspicious Site Reporter
URL が何を示すのかを十分に識別できるパワーユーザー向けに Chrome 拡張を用意した。
Suspicious Site Reporter をインストールすると、省略されていない URL をオムニボックスに表示できる。
Suspicious Site Reporter にはフィッシングサイトを通報する機能もあるので協力してほしい。
[※すずき補足: Suspicious Site Reporter は、こちらの記事で紹介]
レポートは以上です。
ここ数年で、標準になったといってもいいくらいに HTTPS の普及率は上昇しました。
そうは言っても、日本に焦点を当てると世界規模で見るとまだまだ低いのが現状です。
こちらは、透明性レポートが示している、Android 版 Chrome で HTTPS 経由で読み込まれたページの割合の国別の推移です。
日本は、リストされている 10 か国なかでダントツの最下位を独走しています💦
いずれ、HTTPS ページには https:// スキームも鍵マークも表示されなくなります。
反対に、http;// ページには「保護されていません」のようなラベルが表示されるようになります。
このままだと、安全ではないサイトを日本では他国よりも頻繁に見かけるようになりそうです。
Chrome の オムニボックスでの URL 表示に関しては今後も変化していきそうです。
一般ユーザーにとって最もわかりやすい形態になっていくでしょうが、僕たちにとってはむしろわかりにくくなってしまうのが悩ましいところです。
パワーユーザー向けに、デフォルトに戻す機能も提供してほしいですね。
この記事でレポートしたセッションの動画はこちらで視聴できます。