Firefox 44 は type="password" が暗号化されていないページで使われていると警告を表示
2016年1月にリリース予定の Firefox 44 では、暗号化されていない(HTTPSでない)ページに type="password" な入力欄があると、アドレスバーに警告アイコンが表示されるようになるそうです。
- ログインフォームが含まれる非 HTTPS サイトは安全でないと表示されます
- Firefox is testing marking any page that sends passwords over HTTP as insecure
現在、開発版にあたる Nightly Builds でその挙動を確認することができますが、以下に単純なログインフォームのHTML断片と、それを暗号化されていないページで表示した際の Firefox 44 でのキャプチャーを示します。
<form action="login.php" method="post">
<p><label>ユーザー名<input name="user" required=""/></label></p>
<p><label>パスワード<input type="password" name="pwd" minlength="8" required=""/></label></p>
<p><button>ログイン</button></p>
</form>
アドレスバーの左側に斜線の引かれた南京錠アイコンが表示される
南京錠アイコンをクリックしたところ
さらに詳細を表示したところ
- ※ 画面キャプチャーは開発版ブラウザのものなのでメッセージが英語ですが、正式版がリリースされた際には日本語で表示されるものと思われます。
基本的に type="password" な入力欄があるフォームは、パスワードや暗証番号などセンシティブな情報を扱うものなので、HTTPSに対応するに越したことはありません。ただ、実情として以下のような形で対応していないケースも散見されます。
- ログインシステム自体がHTTPSに対応していない
- ログイン先はHTTPSになっているが、ログインフォームのあるページはHTTP
後者のうち、「SSLログインはこちら」のようなリンクを設けているケースは例外的に技術上の問題はないといえますが、いずれにしても警告アイコンに不安を覚えたユーザーから問い合わせが来ることもありうるので、システムの改修ないし説明ページを用意するなどの対応を迫られる可能性は考えられます。
多くの人に使われているブラウザがこのような変更を行うことによって、セキュリティ技術者だけでなく一般ユーザーに対しても「センシティブな情報を扱うシステムは(入力ページから)暗号化するのが当たり前」という感覚の浸透がより進むような気がします。