― MozillaZine.jp フォーラムは Mozilla 製品に関する情報交換の場です ―



All times are UTC + 9 hours

返信する
ユーザー名:
件名:
オプション:
BBCode: ON
[img]: ON
[flash]: OFF
[url]: ON
スマイリー: ON
BBCode を無効にする
フォントサイズ:
フォントカラー
スマイリーを無効にする
URL を自動的にパースしない
ユーザエージェントを表示する
認証コード
KCaptcha by Nikita_Sp
   

トピックのレビュー - 【レポート】 http なログインフォームへの対策
作成者 メッセージ
  記事の件名:  Re: 【レポート】 http なログインフォームへの対策  引用付きで返信する
お待たせいたしました。

HTTPS 対応のお知らせ

サーバの移転に合わせて MozillaZine.jp サイトの HTTPS 対応を行いました。
投稿記事 Posted: 2017年5月19日(金) 21:25
  記事の件名:  【レポート】 http なログインフォームへの対策  引用付きで返信する
ご存知のように、2017 年には Firefox にいくつかの大きな変化がもたらされます。
その概要は、次のブログ記事をご参照ください。
・Firefox の各機能サポート終了予定(2017年)について | Mozilla Japan ブログ
https://www.mozilla.jp/blog/entry/10571/

上記のブログ記事には触れられていませんが、
・Firefox 51 Beta と 52 Developer Edition でいくつかの重要な変更が予定されています | Firefox サイト互換性情報
https://www.fxsitecompat.com/ja/blog/20 ... t-changes/
にあるような、安全面での強化も進行しています。

その一環として、Firefox 51.0 から関連する機能がデフォルトで有効化されました。
・安全でないパスワード入力警告が初期設定で有効となりました | Firefox サイト互換性情報
https://www.fxsitecompat.com/ja/docs/20 ... y-default/

現時点で、この MozillaZine.jp フォーラム(http://forums.mozillazine.jp/ )も http なので、その影響を受けます。(Mozilla L10N フォーラムや bugzilla-jp も...)
とはいえ、ロケーションバー左端の [サイトの情報 / サイト認証ボタン] 欄 (Identity Box) に警告表示が出るだけで、何かしらの動作が不可能になるわけではありません。

むしろ、3 月初旬にリリース予定の Firefox 52.0 (ESR 版でもある) の変更のほうが、影響は大きいかもしれません。安全でない(= http なサイト構成の)ログインページにおいて、上記の警告に加えて自動補完機能がデフォルトで無効化されるからです。
・安全でないログインフォームで自動補完が無効となり、入力コントロール直下に警告が表示されるようになりました | Firefox サイト互換性情報
https://www.fxsitecompat.com/ja/docs/20 ... t-control/

これまで、ログインフォームのあるページにアクセスしたとき、すでに保存されているログイン情報(ユーザー ID やパスワード)があれば、当該フォームに自動入力されました。
しかし 52.0 以降、安全でない(= http なサイト構成の)ログインページでは、ログイン情報の自動補完機能が無効化され、より詳細なコンテキスト形式の警告メッセージが出るようになります。
https なサイト構成では、このような制限はかかりません。たいていのメジャーなサービスは https になっていますので、不都合に直面することは多くないと思います。

しかし、http のままというサイトもゼロではありません。
http なサイトでログインできなくなるわけではなく、コンテキスト形式の警告に付随して保存済みのログイン情報が候補として表示され、それを選択することでログイン情報を入力することができます。あるいは、従来どおり右クリックから [ログイン情報を入力] で、保存されているユーザー ID やパスワードを入力することも可能です。
ですが、自動補完機能が働かないため、Firefox 52.0 にアップデートした当初は戸惑う場面があるかもしれません。

理想としては、http なサイトがセキュア化することが望ましいと思います。
(参考)
・HTTP ページ上でのパスワード要求はやめましょう | Mozilla Developer Street (modest)
https://dev.mozilla.jp/2016/02/no-more- ... tp-please/

MozillaZine.jp フォーラムでも、すでにそういう準備が進んでいるのかもしれませんが、ユーザーコミュニティーとして間借りさせてもらっているサーバーの事情などがあって難航しているのかもしれません。

様ざまな事情から http なログインページを利用せざるをえない場合、Firefox 51.0 / 52.0 以降の変更に対して、ユーザー側での対処もある程度は可能です。
推奨はしません が、次のような当面の回避方法がありますので参考にしてください。

(a)
Firefox 51.0 から有効になった Identity Box の「安全でないパスワード入力警告」は、それ以前から初期値無効で存在しており、意識的に有効化していたユーザーもおられると思います。
about:config から、security.insecure_password.ui.enabled の値(51.0 以降の初期値 true)を false に変更することで、警告表示を出さなくすることは可能です。

(b)
同様に、Firefox 52.0 から有効になる「入力コントロール直下への警告表示」も、無効化することはできます。
about:config から、security.insecure_field_warning.contextual.enabled の値(初期値 true)を false に変更することで、詳細なコンテキスト形式の警告を出さなくすることができます。

(c)
Firefox 52.0 から有効になる、安全でない(= http なサイト構成の)ログインページでの自動補完機能の無効化を、取り消す設定もあります。
about:config から、signon.autofillForms.http の値(初期値 false)を true に変更することで、http なログインページでも自動補完される、従来どおりの動作になります。

くり返しますが、これらの変更は安全性に対する油断を招きやすくします
問題点を十分理解し、相応の代替策をとっていたり、自身の運用スタイルに注意を払っているユーザーは、ご自身の判断で変更してください。
一方、問題の本質を理解する努力を怠ったまま、「警告がうざい」「面倒くさい」などの動機だけで安全対策を無効化することは、自ら危険を招き寄せることにつながるため、お勧めはしません。どうしてもということであれば、At Your Own Risk で対処してください(何が起こっても自業自得です)。

MozillaZine.jp フォーラム に未登録のぼく(偶然的通行人)がこのあたりの話を切り出すのは僭越であると承知していますが、Firefox 51.0 / 52.0 で変更され(た / る)上記の諸点を知っておいた方が、無用の混乱を避けられるのでは、と思います。とくに、52.0 での変更点を事前に知っておくことは、MozillaZine.jp フォーラムの利用に際して意味があると考えました。
52.0 のリリースが迫ってからのほうがいいかと思いましたが、MozillaZine.jp フォーラムの https 化などを含め、情報交換の時間が取れた方がいいのではと考え、52.0 がベータ版に進んだのを機に投稿させていただきました。
不十分な点や間違っている点の補足・修正、そのほかご意見を歓迎します。
投稿記事 Posted: 2017年1月27日(金) 07:58

All times are UTC + 9 hours


ページ移動:  
Powered by MozillaZine.jp® Forum Software © phpBB Group , Almsamim WYSIWYG
Japanese translation principally by ocean