【IT】「Chrome 86」でURLの一部非表示をテストへ–フィッシング対策で【情強なら余裕】

1: へっぽこ立て子@エリオット ★ 2020/08/14(金) 13:05:57.18 ID:CAP_USER

 Googleは、サイト上のページのURL全体が表示されずにドメイン名だけが見える場合にユーザーがどう反応するかを知るために、「Chrome 86」で大規模なテストを実施する。

Chrome 86は10月に安定版がリリースされる予定だ。
□グーグル「Chrome」、HTTPSページでの安全ではないダウンロードを段階的にブロックへ – CNET Japan
https://japan.zdnet.com/article/35149093/

Googleの新たな実験は、「無作為に抽出された」一部のChrome 86ユーザーが対象になる。対象となったユーザーには、例えばWikipediaのあるページのアドレス全体ではなく「en.wikipedia.org」というドメイン名だけが表示される。

実験の対象となったユーザーは、不完全なURLにマウスポインターを重ねればURL全体を表示できる。また、URLを右クリックして「Always show full URLs」(URL全体を常に表示)を選択することもできる。これを選択すると、その後に訪問するすべてのサイトでURL全体が表示されるようになる。

no title

不完全なURLにマウスポインターを重ねればURL全体を表示できる(GIF画像)
提供:Google

実験の目的は、この方法によって人々がフィッシングURLに気づけるかどうかを確認することだ。

Googleが指摘しているように、詐欺師や攻撃者がURLを改ざんし、ユーザーを騙して正規のページを開いていると思わせることが可能な方法はたくさんある。
□Chromium Blog: Helping people spot the spoofs: a URL experiment(英文)
https://blog.chromium.org/2020/08/helping-people-spot-spoofs-url.html

Appleの「Safari」ブラウザーは、すでにデフォルトでドメイン名しか表示しておらず、Chromeと同じく、URLの「https://」という部分はもう表示していない。

実験の対象にならなかったユーザーも、「Chrome Canary」チャネルか「Chrome Dev」チャネルでこの機能をテストできる。Chrome 86で「chrome://flags」を開き、以下のフラグを有効にしてからChromeを再起動する必要がある。

#omnibox-ui-reveal-steady-state-url-path-query-and-ref-on-hover
#omnibox-ui-sometimes-elide-to-registrable-domain
(任意)#omnibox-ui-hide-steady-state-url-path-query-and-ref-on-interaction

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
https://www.zdnet.com/article/google-well-test-hiding-the-full-url-in-chrome-86-to-combat-phishing/

2020-08-14 11:42
ZDNet Japan
https://japan.zdnet.com/article/35158160/

3: 名刺は切らしておりまして 2020/08/14(金) 13:30:33.32 ID:4uG2RR4M
個人的には全部表示してドメイン名だけ強調表示みたいにしてくれる方が良いな

 

4: 名刺は切らしておりまして 2020/08/14(金) 13:31:54.16 ID:MDRqrAij
プラウザがウイルスで壊れたと勘違いし、アンインスコするだろ

 

5: 名刺は切らしておりまして 2020/08/14(金) 13:34:36.67 ID:m9wDEtqA
ウェブサイトの階層のどこ見てるかわからないのは不便だろ

 

10: 265 2020/08/14(金) 14:53:58.13 ID:TxkxJZwO
>>5
サイトによるけど最近のサイトだと全部表示しきれないケースも多いだろ
必要ならマウスポインタ重ねればいいだけだし

 

6: 名刺は切らしておりまして 2020/08/14(金) 14:08:17.89 ID:lKHKF8yp
最近、やたら来る偽装メールのリンク
アマゾン(ngワードにつき
カタカナにした).com.amzn.cn

アマゾン.comで表示されたら危ないのでは。

 

16: 名刺は切らしておりまして 2020/08/14(金) 17:11:24.43 ID:fV4LvK+9
>>6
そのアドレスだと表示されるのは
amzn.cn

 

8: 名刺は切らしておりまして 2020/08/14(金) 14:29:33.33 ID:Wpd03wFx
Safariこうなってね?

 

9: 名刺は切らしておりまして 2020/08/14(金) 14:45:59.53 ID:/oy5DDNL
1932年の女子高生が現代の女子高生と外見がほとんど同じだと話題に!今の女子高生を白黒写真にしただけと言われても信じるレベルw
http://link-img.clarkstock.com/42061.html

 

18: 名刺は切らしておりまして 2020/08/14(金) 17:56:32.01 ID:IdeT8xxi
>>9
それはそうとこいつをなんとかしろよ

 

11: 名刺は切らしておりまして 2020/08/14(金) 15:01:51.46 ID:kd5E8uAH
どうせなら国旗アイコンを標準で付けてくれねーかな
プラグインじゃなくて
日本人なら大体日本かアメリカぐらいしか用はないだろうしな
フィッシングサイトもアメリカばっかりだったらあれだが

 

12: 名刺は切らしておりまして 2020/08/14(金) 15:50:48.04 ID:nJ6owKQr
Google Chrome の場合セキュリティに問題のある Web は表示されるから問題ない

 

13: 名刺は切らしておりまして 2020/08/14(金) 16:28:25.46 ID:YP4yj7DZ
>>12
イントラでエラー表示出てなんとも言えない気分
イントラは無理にhttps対応しなくていいかもしれないけど、
海外顧客向けページでもhttps非対応だったから何も考えてないんだろう

 

15: 265 2020/08/14(金) 16:43:25.92 ID:XgfNEeZy
>>13
オレオレ証明書使ってないの?

 

20: 名刺は切らしておりまして 2020/08/14(金) 19:09:03.58 ID:lKHKF8yp
>>15
横からだけど、非グローバルのイントラでオレオレ出来なくなってる。
ドメインと呼んでいいのかわからんけど、なんちゃってドメインネームで運用するのも煩わしいので
http ipアドレスで読みに行かせる方式に変えた。

 

22: 名刺は切らしておりまして 2020/08/14(金) 19:37:50.40 ID:kd5E8uAH
>>20
CN(Common Name)では駄目でSAN(Subject Alternative Names)で設定しておけばOKだと思うが
駄目なんだっけ?

 

23: 265 2020/08/14(金) 20:19:15.17 ID:TxkxJZwO
>>20
オレオレ署名にインターネット接続は要らんよ
https://blog.putise.com/windows%E3%A7%E8%AA%E5%B7%B1%E7%BD%B2%E5%8D%E8%A8%BC%E6%8E%E6%9B%B8%E3%92%E4%BD%9C%E6%90%E6%B9%E6%B3%E3%82%E6%9C%E5%8A%B9%E6%9C%9F%E9%93%E3%921%E5%B9%B4%E4%BB%A5/
Linuxでも オレオレ署名 Linux とかでググればやり方出てくるし

 

14: 名刺は切らしておりまして 2020/08/14(金) 16:35:55.18 ID:iFgRK1Ne
最近リンクもろくに貼れない書き込み増えたよな
頭にgoogle付けたままだったりURLの意味理解してない

 

17: 名刺は切らしておりまして 2020/08/14(金) 17:25:04.51 ID:X5I/zQHP
短縮URLやめろよ

 

19: 名刺は切らしておりまして 2020/08/14(金) 19:08:42.35 ID:yS8SjXi8
もう有名サイトと一定値似たアドレスは全部弾けよ

 

21: 名刺は切らしておりまして 2020/08/14(金) 19:14:01.90 ID:JMco2Owb
URL隠してGoogleの掌の上だけで踊らせて搾り取ろうって魂胆だろどうせ

 

24: 名刺は切らしておりまして 2020/08/14(金) 20:47:59.67 ID:hXHAN7RL
>>22-23 ポイントはサブジェクトにfqdnを入れるところなんですね。
明日、時間できそうだからやってみるかな。
ありがとうございます。

 

26: 名刺は切らしておりまして 2020/08/16(日) 10:28:57.62 ID:lIoqLynS
広告とかで掃除機のリンクがyodysonとかになってたけどそういうのも弾けるの?

 

27: 265 2020/08/16(日) 11:23:57.69 ID:vuQVfUcG
>>26
そもそも弾く仕組みじゃないぞ
ドメイン名(ホスト名)のみを表示することで変なホストにアクセスしてることに気付きやすくする仕組み

引用元

管理人からひと言

これはうれしい

関連記事

  1. 【悲報】インターネット、Log4jのバグで終わる

  2. 「パスワードは12文字以上にして、紙にメモしましょう」 JPCERTが推奨

  3. 【IT】中国製「スパイ」半導体、米企業をサイバー攻撃か

  4. 【IT】総務省 LINEに行政指導の方針固める 個人情報管理めぐる問題で

  5. 【緊急】ワイのPCがハッキングされて$844請求される

  6. 【独自】三菱電機にサイバー攻撃 防衛などの情報流出か

  7. amazon

    【悲報】Amazonで不正利用相次ぐ 二段階認証も突破された模様

  8. Googleアカウントに知らん奴がログインしててワロタ

  9. 【マイナンバー】デジタル庁に行政指導へ マイナ問題で個人情報保護委

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

最近の人気記事

おすすめ記事

  1. カテゴリ_AI
  2. カテゴリ_働き方

新着記事

  1. 閉鎖のお知らせ
  2. SES社長だけど質問ある?
  3. windowsにAI搭載するとか言ってるけどさぁ
  4. 新卒エンジニア僕、資格勉強する気が起きない
  5. 文系学部卒一般企業志望の君の進路はここから選んでもらうぞ!→ 営業・販売・未経験…

ボンブの戯言

  1. 【ボンブの戯言】サーバーって何なの(オンプレに限る)
  2. 【ボンブの戯言】フリーランスが払う税金など6選!私たちはこんなに支払っている!
  3. 【ボンブの戯言】フリーランスの実態調査をITエンジニアフリーランスの視点から見て…
  4. 【ボンブの戯言】ITエンジニアがフリーランスになる理由
  5. 【ボンブの戯言】フリーランスのメリットを全否定してみた
PAGE TOP