WWW Watch

Firefox 46 以降は HTTP 接続時にパスワード入力欄があるとアドレスバーで警告する

開発者向けに提供されている Firefox Developer Edition (現在 Firefox 46) では、SSL で保護されていない Web ページ上にログインフォームなど、パスワード入力フォームがあった場合、アドレスバーで警告するようになりました。

Firefox現在 「Firefox Developer Edition」(Aurora Channel) としてリリースされている Firefox 46 は、HTTP で接続している (要するに SSL で保護されていない) Web ページ上にログインフォームなど、パスワード入力フォームがあった場合、アドレスバーに 「無効な鍵アイコン」 を表示して、現在の接続が安全でないと明示、警告するようになりました。

試しに Movable Type のログイン画面にアクセスしてみましたが、SSL で保護していない Web サイトのログイン画面だと、下記のようにアドレスバーに打ち消し線の付いた鍵アイコンが表示され、このページは安全でないと警告されます。

同じ Web サイトでも、通常の Web ページや、パスワード入力欄を含まないフォームなどであれば、HTTP で接続していたとしてもこの警告は表示されません。

Firefox Developer Edition(現在 Firefox 46)でログインフォームにHTTPで接続した例。打ち消し線の付いた鍵アイコンが表示され、安全でないと警告されます。

一方で SSL で保護されたログイン画面を表示してみると、下記のように警告は消えました。

Firefox Developer Edition(現在 Firefox 46)でログインフォームにHTTPSで接続した例。警告は表示されません。

ちなみに、元々 Firefox 26 以降では、同様の場合にコンソールで警告が行われていました。現、最新の正式版リリースである Firefox 44 でも下記のようにコンソールを開けば警告されます。

Firefox 26 以降では、コンソールで警告が行われていました。

今まではコンソール上でひっそり警告していたのを、開発者に危機感を持たせるためか、わかりやすくアドレスバーに表示するようにしましたという話ですね。

正式リリース版への反映時期は不明

なお、この表示はまだ開発者向けバージョンで有効になっているだけで、正式リリース版の Firefox ではどのタイミングで有効になるかなどついて、明確にはされていません (ちなみにこの機能は 現在正式リリースバージョンの Firefox 44 でも、about:config を開いて security.insecure_password.ui.enabled の値を true にすれば有効にできます)。

とはいえ、パスワード入力を HTTP 接続したページで行わせることがセキュリティ上問題であることは今に始まったことではありません。もしそのようなセキュアでないログインフォームなどがいまだ設置されている場合は、早めに対応しておきましょう。

余談ですが、次第に各ブラウザが、「SSL で保護されている状態を特別扱いする (安全な接続中と表示したり)」 という、今までのやり方から、「SSL で保護されているのが当たり前で、逆に SSL で保護されていない状態を危険な状態と表示する」 方向に切り替えて行く流れは最近のトレンドですね (下記、関連エントリー参照)。

関連エントリー

Recent Entry

全ての記事一覧を見る

Hot Entry

逆引きおすすめエントリー