• GIZMODO
  • FUZE
  • DIGIDAY
  • gene
  • gene
  • cafeglobe
  • MYLOHAS
  • Glitty
  • roomie
  • machi-ya
  • GIZMODO
  • DIGIDAY
  • gene
  • cafeglobe
  • MYLOHAS
  • Glitty
  • machi-ya
  • roomie

ゲストライター  - ,,  08:00 AM

LH質問箱「なぜChromeはGmailを安全でないと警告するのか」にお答えします

LH質問箱「なぜChromeはGmailを安全でないと警告するのか」にお答えします

110127chrome_gmail_unsecure1.jpg


ライフハッカー編集部さんへ

Google Chromeのセキュリティアイコンがよくわかりません。Gmailのように安全なはずのサイトでも、「そのページは安全ではありません」と警告してきます。これはどういうことでしょうか?

P.N. Sensitive to Security より

 


Sensitive to Securityさん、こんにちは。

この手のご質問は、何度か聞いたことがありますよ。多くの場合、あまり心配する必要はありません。Chromeのセキュリティインジケーターについては、Chromeの公式ウェブサイトで詳しく説明されているので、そちらをご参照いただいてもいいのですが、Google ChromeチームのシニアプロダクトマネジャーIan Fette氏からのお話をもとに、なぜこんなことが起こるのか? なぜ心配する必要がないのか? わかりやすくご紹介しましょう。


■Chromeのセキュリティインジケーターとは?

Chromeのアドレスバーでは、ウェブサイトのURLの隣でアイコンがいくつか表示されます。これらは、閲覧中のウェブサイトが安全であるかどうか? を示すものです

110127chrome_gmail_unsecure2.jpgHTTPSを使ったウェブサイトを閲覧すると、錠型のアイコンが表示され、さらに、EVインジケーターが現れる場合と、現れない場合があります。たとえば、左画像のようにバンク・オブ・アメリカのウェブサイトでは、グリーンのバーが表示され、そのウェブサイトがEV証明書を持っていることがわかります。

EVは、ウェブサイトの素性を知る上で最も便利なものですが、すべてのウェブサイトが持っているわけではありません。銀行や『LastPass』といったパスワードマネジメントツールのように、お金やセキュリティを扱うウェブサイトを除き、ほとんどのウェブサイトにはないのが現状です。ウェブサイトにEVがない場合、HTTPS接続を使ってサイトに接続することを意味する「ロック」か、暗号化されていないHTTP接続での閲覧を意味する「グローブ」で、セキュリティ度を判断しましょう

「グローブ」のアイコンがアドレスバーに表示されたら要注意。アナタがそのページで閲覧しているものは何でも、同じ公共ネットワークにいる他のユーザも見られます。また、公衆Wi-Fiを共有している人が、クッキー認証を破り、自分に「なりすます」可能性もあり(このテーマについては、「Firesheep」に関する米LH記事でも採り上げています)。

グリーン色の「ロック」アイコンは、セキュリティ面で理想です。これが表示されていれば、安全なHTTPSのウェブサイトであり、そのページのすべてのものは、HTTPS接続で供給されていることがわかります。公衆Wi-Fiで閲覧していても、他のユーザが自分のものを覗いたり、クッキーを乗っ取ったりすることはできません。


■アイコンが発している警告の意味は?

安全なウェブサイトでも、画像など、一部のコンテンツは、HTTPSではなく、HTTPを通じて提供されている場合があります。たとえば、公共ホットスポットで銀行アカウントを閲覧している場合、ページの情報にはHTTPS接続が使われている一方、銀行のロゴは、HTTP接続で提供されているケースがあるのです。この場合、同じネットワークにいるユーザは、銀行のロゴは見られるかもしれませんが、HTTPSを通じてやりとりされている個人的な情報は見られません。このように、HTTP接続で供給されているコンテンツと、HTTPS接続で提供されるコンテンツが混在する場合、アイコンは「黄色」もしくは「赤」で表示されます

「黄色」のアイコンは、HTTP経由で供給されているコンテンツが含まれているときに表示されます。しかし、セキュリティリスクを示すコンテンツではないでしょう。

「赤」のアイコンは、JavaScriptのような、ページを変更しうるハイリスクなコンテンツが含まれているときに表示されます。ゆえに、「赤」のアイコンには注意が必要です。信頼できないネットワークにいて、機密性の高いウェブページで「赤」アイコンが表示されたら、そのページは閲覧しないほうがよいでしょう。ハッカーによって、パスワードやクッキーを盗まれてしまうかもしれません。


■Gmailでグリーンアイコン以外のものが出てきたら?

110127chrome_gmail_unsecure3.jpgGmailでは、HTTPS接続がデフォルトになっているので、最初の読み込みや再読み込みのときは、グリーンのアイコンが表示されるはずです。ただし、HTMLで書かれたメールを開いたり、Gmailに埋め込み画像の表示を許可し、これらの画像がHTTPSを使っていないウェブサイトから読み込まれると、Chromeのアイコンがグリーンから「黄色」に変わり、警告を発します。またGmailでは、メールと受信トレイの間で移動するとき、再読み込みをしないので、自分でGmailを再読み込みしない限り、アイコンはコンテンツが混在している状態のままとなります。つまり、「黄色」のアイコンは、Gmailが安全でないと示しているのではありません。閲覧中のすべてのものが暗号化されているわけではないことを意味しているのです。もちろん、Gmailを再読み込みすれば、グリーンのアイコンが表示されます。

さらにFette氏によると、Gmail上でアイコンがグリーンにならない原因として、Gmail Labsの機能や、ブラウザの拡張機能があげられるそうです。Gmailチームでは、Labsの機能をHTTPSにしようとしていますが、これはまだ100%実現していません。また、拡張機能にいたっては、Chromeチームでコントロールは不可能です。拡張機能やLabsの機能をまったく使わずにGmailを利用している場合は、「赤」アイコンがGmailで現れることはないでしょう


■安全でないものを見つけ出すには?

ウェブページ上のすべてのものが、HTTPSで提供されていないことがわかるだけでも十分ですが、何が安全でないのかを正しく特定できるとさらに安心ですね。Chromeのアドレスバーにある「レンチ」ボタンをクリックし、「ツール」>「デベロッパーツール」を選択。「Console」をクリックし、さらに「Warnings」をクリックすると、安全でない箇所がメッセージ表示されます

たとえば、筆者がGmailで試してみた例だと、以下の画像のように表示されました。これにより、彼のお気に入りのワインショップ「K&L」からのメールに貼り付けられていた画像が、HTTPSからのものでないということがわかります。

110127whychromegmaildangerous.jpg


いかがでしたか? これでChromeがGmailを安全でないと警告する理由がわかったかと思います。


Adam Pash (原文/訳:松岡由希子)

 

  • ,,,,, - By

    香川博人

    LIKE

    2020年に向けて進むキャッシュレス化。 企業にとっての「電子決済」のメリットとは?

    Sponsored

    2020年に向けて進むキャッシュレス化。 企業にとっての「電子決済」のメリットとは?

    2020年に向けて進むキャッシュレス化。 企業にとっての「電子決済」のメリットとは?

    先日、政府は2017年度から公共料金や備品経費の支払いを全面的に電子決済にすることで、30億円の人件費削減が期待できるという発表をしました。 電子マネーやクレジットカード、ネットバンキングの普及により、私たちは現金だけではなく、時間と手間のかからない電子決済を活用する機会が増えていますが、それは企業や法人にとっても大きなメリットがあるようです。 そこで今回、現金決済から電子決済へとキャッシュレス  05:00 PM

MORE FROM LIFEHACKER

powered by
    
    
    
  

lifehacker

Recommended

© mediagene Inc.