[38] [DFN[アドレスバー]]は、表示中の [[Webページ]]の [[URL]] を[[利用者]]に提示したり、[[利用者]]が [[URL]] を記入して [[navigate]] を指示したりできる [[Webブラウザー]]の[[利用者インターフェイス]]部品です。 [39] ほとんどの [[Webブラウザー]]が何らかの形の[[アドレスバー]]を実装しています。 しかしその形態は様々です。 [[URL]] をそのまま表示するものもあれば、各部に分解して[[利用者]]にわかりやすく (と当該 [[Webブラウザー]]開発者が信じる形で) 表示するものもあります。 [[利用者]]からの指示には [[URL]] だけでなく、不完全な [[URL]] のようなものや、 [[検索エンジン]]用の検索キーワードを利用できるのも一般的です。 * 仕様書 [REFS[ - [62] [CITE@en[Mixed Content]], [TIME[2020-04-28 21:05:56 +09:00]] - [53] [CITE@en[Mixed Content]], [TIME[2020-04-28 21:05:56 +09:00]] - [31] [CITE@en[[[RFC 8164]] - Opportunistic Security for HTTP/2]] ([TIME[2017-05-11 15:47:35 +09:00]]) ]REFS] * URL の利用者への提示 [117] [[Webブラウザー]]の[[アドレスバー]]における [[URL]] の表示は、[[利用者]]が[[Webサイト]]の提供元を確認するための重要な情報と考えられています。 [116] [[Webブラウザー]]や任意の[[起源]]を表示できる[[埋め込みブラウザー]]などでは、 [[URL]] を表示できないとしたら[[セキュリティー]]上の致命的な不具合であると考えられています。 [113] [[URL]] の利用者親和性の項も参照。 [115] [CITE[スラッシュドット ジャパン | ユーザーの意識からURLが消滅する日は近い?]] ([[名無しさん]] [WEAK[2006-10-20 00:27:03 +00:00]]) * service identity @@ [9] [[service identity]], [[EV]] も参照。 * 利用者による [[navigate]] の指示 [11] 普通、[[アドレスバー]]は[[利用者]]が編集可能で、[[利用者]]が入力して指示すると、 その入力に従い [[navigate]] が開始されます。 [12] 現在の多くの [[Webブラウザー]]は、 [KBD[Enter]] を指示の手段として採用しています。 [[Webブラウザー]]によっては、別途移動を指示するボタンが用意されています。 [13] 多くの [[Webブラウザー]]は、入力と同時に[[自動補完]]候補が表示され、 そちらの選択によっても [[navigate]] が開始されます。 [29] 直接の入力だけでなく、 [[URL]] や[[ホスト]]を[[テキスト]]として[[アドレスバー]]に[[ドラッグアンドドロップ]]したり、 [[リンク]]を[[アドレスバー]]に[[ドラッグアンドドロップ]]したりすることでも、 [[navigate]] を開始できるかもしれません。 [42] [[クリップボード]]の [[URL]] を使って [[navigate]] する手段を提供する [[Webブラウザー]]もあります。 [[クリップボード]]の値が [[URL]] でない時は[[検索エンジン]]のキーワードとして使えることもあります。 [14] 多くの [[Webブラウザー]]は、実装依存の方法により、入力を [FIG(list)[ - [[素片識別子付き絶対URL]] - [[素片識別子付き絶対URL]]から [[URL scheme]] や [CODE[://]] を除去したもの - 何らかの[[検索エンジン]]に与えるべき検索語 - [[プラットフォーム]]依存の[[ファイル名]] ]FIG] ... のいずれかと判断します。判断のために[[名前解決]]が成功するか調べたり、 [[履歴]]を探したりするものもあります。 [EG[ [50] [VAR[ホスト名]]:[VAR[ポート]] のような[[文字列]]を与えると、 [CODE[http://]] を補うのが一般的です。 ]EG] [15] これまでの [[Webブラウザー]]は、 [[URL scheme]] が省略された時、 [CODE[http:]] [[URL]] と仮定していました。 (あるいは[[ドメイン名]]が [CODE[ftp.]] から始まると [CODE(URI)@en[ftp:]]、といったような推測を行っていました。) [[HTTPS]] 化が進む現状を鑑みると、これからはまず [CODE(URI)@en[https:]] への接続を試み、失敗した場合に [CODE(URI)@en[http:]] を試すのが良さそうです。 [16] [[利用者]]を騙して悪意ある [[JavaScript]] コードを実行させる指示に[[利用者]]が従った場合に備えて、 [CODE(URI)@en[javascript:]] など特定の [[URL]] の入力や[[コピペ]]を制限する [[Webブラウザー]]もあります。 [17] [[アドレスバー]]からの [[navigate]] は、[[ハイパーリンクをたどる]]場合などとは異なり、 [[閲覧文脈]]で現在表示中の[[Webページ]]とは独立に実行されるものですから、 [CODE(HTTP)@en[Referer:]] などは送信されません。しかし現在表示中の [[Webページ]]で [CODE(DOMe)@en[beforeunload]] が実行されるなど、通常の [[navigate]] 発生時の処理は行われますから、まったく無関係というわけでもありません。 [19] 特に、新しい [[URL]] が[[素片識別子]]を除いて現在の[[閲覧文脈]]の[F[活性文書]]の[F[URL][文書の番地]]と同じ場合には、 [[素片識別子へのnavigate]]となります。 ([[Webブラウザー]]によっては、 そうではなく完全に新しい [[navigate]] となることもありますが。) ;; 詳細は [[navigate]] を参照。 [18] 新しい [[URL]] が現在の[[閲覧文脈]]の[F[活性文書]]の[F[URL][文書の番地]]とまったく同じ場合には、 [[Webブラウザー]]により、普通の [[navigate]] となることもあれば、 [[再読込]]相当の処理となることもあります。 * navigate による更新 [20] 普通、 [[navigate]] で[[アドレスバー]]は最新の [[URL]] へと更新されます。 [21] ただし、[[利用者]]が[[アドレスバー]]を編集中の場合、 [[利用者]]の編集を破棄して新しい [[URL]] に変えてしまうと、 [[利用者]]は困るかもしれません。 ;; [25] 特に [CODE(HTTP)@en[Refresh]] や [CODE(JS)@en[location.href]] で[[著者]]が勝手に [[navigate]] すると大変です。 [22] とはいえ、[[利用者]]が編集した後取り止めて放置してから、 何度 [[navigate]] しても表示が変わらないのでは、これもかえって[[利用者]]を困惑させるかもしれません。 [23] 各[[Webブラウザー]]はそれぞれ、[[利用者]]が変更した内容にまだ興味を持っているかを適当な基準で推定したり、 編集が入ったら表示を少し変更したりと、工夫しているようです。 それでも[[利用者]]が困惑することはたまにあります。 [24] 新しい [[URL]] に書き換わった場合でも、 [KBD[Ctrl]] + [KBD[Z]] などの[[元に戻す]]操作で、 編集中だった元の状態に戻せることがあります。 * セキュリティーの表示 [54] 多くの [[Webブラウザー]]は、 [[アドレスバー]]に [[Web頁]]の [[HTTPS状態]]を表示します。 [55] [[EV証明書]]かどうかも表示に影響します。 ただし [[EV証明書]]より[[混合内容][Mixed Content]]の表示が優先されます [SRC[>>53]]。 [56] [[利用者エージェント]]が通常[[最上位閲覧文脈]]が保安であるかどうかを表示する場合にあっては、 [[混合内容][Mixed Content]]があるとき、 このことを示す[SHOULLD[べきです]]。 保安である場合と同じ表示にしては[MUST[なりません]]。 [SRC[>>53]] [101] ただし、 [[文書]]の[F[厳密混合内容検査フラグ]]が[[真]]のとき、 [[混合内容][Mixed Content]]の表示をしては[MUST[なりません]]。 [SRC[>>62]] [CODE[block-all-mixed-content]] [[指令]]が指定されている時このフラグが設定されます。 その場合[[混合内容][Mixed Content]]要求はすべてエラーになるため、 表示する必要がないのです。 [EG[ [59] [[Chrome]] は[[HTTPS]]の[[Web頁]]に[[素のHTTP]] の[[画像]]が含まれる時、 [[素のHTTP]] の[[Web頁]]のように表示します。 ]EG] [58] [[文書]]の[F[関連設定群オブジェクト]]について [[Does [VAR[settings]] prohibit mixed security contexts?]] が[[真]]を帰す場合であって、 [CODE[action]] [[属性値]]が[[先験的認証済URL]] で''ない''ような [CODE[form]] [[要素]]が[[文書]]中に存在する場合にあっては、 このことを[[利用者]]に警告して[MAY[構いません]]。 [SRC[>>53]] [EG[ [60] [[Chrome]] は[[HTTPS]]の[[Web頁]]に[[素のHTTP]] の[[フォーム]]が含まれる時、 [[素のHTTP]] の[[Web頁]]のように表示します。 ]EG] ;; [61] [CODE[formaction]] にも同趣旨が適用されるものと思われますが、 仕様書になく、実装がどうなっているか不明です。 ;; [63] [[Webブラウザー]]はこのような[[フォームの提出]]を認めても、 認めなくてもよいとされています。 完全に認めない場合は[[厳密混合内容検査フラグ]]の要件 (>>101) がこちらのケースにも適用されるべきものと思われます。 [57] [[混合内容][Mixed Content]]の表示がある場合、 これを [[AT]] [[利用者]]に対して[[アクセシビリティーAPI]] を通じて提供しなければ[MUST[なりません]]。 [SRC[>>53]] [64] [[混合内容][Mixed Content]]の処理の方法について、 [[利用者]]が指示できる[[利用者インターフェイス]]が提供される場合があります。 [SEE[ [[Mixed Content]] ]] [32] [[Opportunistic Security for HTTP/2]] により [CODE(URI)@en[http:]] [[URL]] を [[TLS]] を使って取得した場合であっても、 [CODE(URI)@en[https:]] [[URL]] のような表示としては[MUST[なりません]] [SRC[>>31]]。 [33] [[Chrome]] は、 [[TLS]] により安全かどうかの表示の部分で、 [CODE[chrome:]] のような特別な [[URL scheme]] のとき、 [CODE(URI)@en[https:]] とも [CODE(URI)@en[http:]] とも違う特別な表示を行います。 [TIME[2017-05-20T03:57:10.900Z]] [74] [CITE@en[Chromium Blog: An Update on the Lock Icon]], [TIME[2023-05-02T20:00:11.000Z]], [TIME[2023-05-05T12:28:28.223Z]] [75] [CITE@ja[Google、Chrome で HTTPS 接続時のアイコンをセキュア感の低いものに変更する計画 | スラド セキュリティ]], [TIME[2023-05-05T12:29:02.000Z]] * 先読み [34] [[利用者]]が入力を進めるに応じて、あるいは[[自動補完]]候補の選択の兆しを見せるのに合わせて、 先読みを始める [[Webブラウザー]]もあります。 [35] [[Webページ]]上での指定における [CODE[dns-prefetch]] や [CODE[prefetch]] に相当する動作と考えられます。 ** mDNS [76] [CITE@ja[[[mDNS]]の動作検証 | 猫とセキュリティ]], [TIME[2023-05-31T03:15:40.000Z]] * favicon [40] [[アドレスバー]]に [[favicon]] を表示する [[Webブラウザー]]もあります。 ;; [[favicon]] も参照。 * busy indicator [41] [[アドレスバー]]近辺に [[busy indicator]] を表示する [[Webブラウザー]]もあります。 ;; [[busy indicator]] も参照。 * 歴史 [4] >[DFN[Location Bar]] is a [[widget]] in a [[Web user agent]]'s user interface which displays (and often allows input of) the textual location (entered as a [[URI]]) of the [[resource]] being requested (or displayed - after the response is received). ;; [CITE[Web Security Context: User Interface Guidelines]] ([TIME[2010-08-04 20:09:50 +09:00]] 版) [1] [CITE[Hacking for Christ: Location Bar Proposal]] ([CODE[2007-02-17 12:04:48 +09:00]] 版) ([[名無しさん]] [WEAK[2007-02-17 03:07:22 +00:00]]) [2] [CITE@ja[Taken SPC : 翻訳: ロケーションバーの提案]] ([CODE[2007-02-17 12:05:20 +09:00]] 版) ([[名無しさん]] [WEAK[2007-02-17 03:13:16 +00:00]]) [3] [CITE[IT戦記 - ロケーションバーに直入力するとブクマを見に行って補完してくれるコンポーネント作った]] ([TIME[2007-09-02 05:44:19 +09:00]] 版) [FIG(quote)[ [FIGCAPTION[ [5] [CITE[Web Security Context: User Interface Guidelines]] ([TIME[2010-08-04 20:09:50 +09:00]] 版) ]FIGCAPTION] > User agents MUST make information about the identity of the Web site that a user interacts with available. This '''['''Definition: identity signal ''']''' SHOULD be part of primary user interface during usage modes which entail the presence of signaling to the user beyond only presenting page content. Otherwise, it MUST be available through secondary user interface. ]FIG] [6] [[EV SSL]] も参照。 [FIG(quote)[ [FIGCAPTION[ [7] [CITE[cURL - How To Use]] ( ([TIME[2016-05-31 06:05:05 +09:00]])) ]FIGCAPTION] > If you specify URL without protocol:// prefix, curl will attempt to guess what protocol you might want. It will then default to HTTP but try other protocols based on often-used host name prefixes. For example, for host names starting with "ftp." curl will assume you want to speak FTP. > curl will do its best to use what you pass to it as a URL. It is not trying to validate it as a syntactically correct URL by any means but is instead very liberal with what it accepts. ]FIG] [8] [[Chrome]] で[[アドレスバー]]を無編集のまま [KBD[Enter]] すると、 [[再読み込み]]とみなされるのか、 [CODE(HTTP)[[[Cache-Control:]] [[max-age]]=0]] が付くようです。 [TIME[2016-07-13T07:08:39.400Z]] [FIG(quote)[ [FIGCAPTION[ [10] [CITE@en[Chromium Blog: Moving Towards a More Secure Web]] ( ([TIME[2016-09-17 08:54:54 +09:00]])) ]FIGCAPTION] > Historically, Chrome has not explicitly labelled HTTP connections as non-secure. Beginning in January 2017 (Chrome 56), we’ll mark HTTP sites that transmit passwords or credit cards as non-secure, as part of a long-term plan to mark all HTTP sites as non-secure.  ]FIG] [26] [CITE@en[Avoiding the Not Secure Warning in Chrome  |  Web  |  Google Developers]] ([TIME[2016-12-22 00:35:57 +09:00]]) [FIG(quote)[ [FIGCAPTION[ [27] [CITE@ja[産総研 RCIS: プロトコルの設計に関する詳細のFAQ]] ([TIME[2017-04-24 20:17:53 +09:00]]) ]FIGCAPTION] > たしかに、2004 年ごろに流行したフィッシングの手口では、アドレスバーの上に枠のないウィンドウを乗せる手法により、偽サイト上でアドレスバーに本物サイトのアドレスを表示していました。しかし、これは、Windows XP SP1 (Service Pack 1) の Internet Explorer 6 SP1 を使用した場合に可能なことで、その後にリリースされた Windows XP SP2 や、Internet Explorer 6 SP2 では、そのような偽装ができないよう対策されています。 ]FIG] [28] [CITE@en[Google Online Security Blog: Next Steps Toward More Connection Security]] ([TIME[2017-05-04 09:56:34 +09:00]]) [30] [CITE@en[909326 - '''['''UX''']''' Overhaul the site identity and connection information in the identity panel]] ([TIME[2017-05-11 16:09:53 +09:00]]) [36] [CITE@ja[9月の月例更新でInternet Explorerの検索ボックスが復活 | スラド IT]] ([TIME[2017-09-16 21:17:56 +09:00]]) [37] [CITE@ja[Internet Explorerのアドレスバーに入力した内容をWebページが読み取れるバグ | スラド セキュリティ]] ([TIME[2017-10-01 20:16:36 +09:00]]) [43] [CITE@en[New in Chrome 62  |  Web  |  Google Developers]] ([TIME[2017-10-18 04:02:40 +09:00]]) [44] [CITE@ja[EV証明書を使用して既知の企業になりすませる可能性が指摘される | スラド セキュリティ]] ([TIME[2017-12-17 16:25:46 +09:00]]) [45] [CITE[Release Notes for Safari Technology Preview 46 | WebKit]] ([TIME[2017-12-21 10:51:56 +09:00]]) [46] [CITE@en-US[Firefox Focus Adds Quick Access Without Sacrificing Users’ Privacy - The Mozilla Blog]] ([TIME[2018-01-03 15:51:05 +09:00]]) [FIG(quote)[ [FIGCAPTION[ [47] [CITE@en[Chromium Blog: A secure web is here to stay]] ([TIME[2018-02-09 05:10:27 +09:00]]) ]FIGCAPTION] > Beginning in July 2018 with the release of Chrome 68, Chrome will mark all HTTP sites as “not secure”. ]FIG] [48] [CITE@en[Proposal: FetchEvent.navigationLoadType · Issue #1167 · w3c/ServiceWorker]] ([TIME[2018-05-01 14:03:31 +09:00]]) [49] [CITE@en[Chromium Blog: Evolving Chrome's security indicators]] ([TIME[2018-05-18 16:37:09 +09:00]]) [51] [CITE@en[881410 - Incorrect transforms when stripping subdomains - chromium - Monorail]] ([TIME[2018-09-08 14:04:17 +09:00]]) [52] [CITE@ja[やまざきkei5さんのツイート: "Chrome 69 のアドレスバーで、URLのホスト名部分の「www」や「m」が表示省略される件、いくつでも消えるし、間にあっても消えるのね。「http:// https://t.co/ENCotKKZmf」が「https://t.co/XNf4qCOXck」に見える。もしmやwwwというサブドメインが取れる状況があれば、なりすましに使えそう。"]] ([TIME[2018-09-08 19:46:07 +09:00]]) [65] [CITE@ja[Firefox 75で導入されたアドレスバーの拡大/縮小仕様、てんかんの引き金になると報告を受け対応 | スラド オープンソース]] ([TIME[2020-06-16 08:45:11 +09:00]]) [66] [CITE[curl - How To Use]] ([TIME[2020-09-21T09:01:13.000Z]], [TIME[2020-10-01T06:31:49.984Z]]) [67] [CITE@en[GNU Wget 1.20 Manual]] ([TIME[2020-10-01T07:14:13.000Z]]) [FIG(quote)[ [FIGCAPTION[ [68] [CITE@en[VLC command-line help - VideoLAN Wiki]] ([TIME[2020-03-15T21:16:58.000Z]], [TIME[2020-10-01T07:55:23.382Z]]) ]FIGCAPTION] > > --podcast-urls= Podcast URLs list > Enter the list of podcasts to retrieve, separated by '|' (pipe). ]FIG] [69] [CITE@ja[6億台以上のブラウザは現在もアドレスバー騙しバグが未修正、AppleのSafari、Opera、Yandexなどは修正済み | TechCrunch Japan]] ([[Zack Whittaker]], [TIME[2020-10-24T01:02:52.000Z]]) [70] [CITE@en[1141691 - Default omnibox navigations to HTTPS]] ([TIME[2021-01-08T12:43:14.000Z]]) [71] [CITE@en[LunascapeとSleipnirに報告した脆弱性の話(スマホアプリではとにかくHTTPSを使え2021) · GitHub]], [TIME[2021-03-18T03:16:14.000Z]] [72] [CITE@en[Chromium Blog: A safer default for navigation: HTTPS]] ([TIME[2021-03-25T15:09:07.000Z]], [TIME[2021-03-26T06:16:38.065Z]]) [73] [CITE@en-US[Website typo protection defends against fraud including phishing, malware, and other scams - Microsoft Edge Blog]], [[Microsoft Edge Blog]], [TIME[2022-11-01T04:12:56.000Z]] [78] [CITE@ja-JP[高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない]], [[高木浩光]], [TIME[2012-01-20T17:11:48.000Z]], [TIME[2023-06-03T14:36:55.768Z]] [77] [CITE@ja-JP[高木浩光@自宅の日記 - はてブiPhoneアプリでログインしてはいけない]], [[高木浩光]], [TIME[2012-01-23T03:43:54.000Z]], [TIME[2023-06-03T14:34:42.908Z]] [79] 最近の [[Chrome]] は[[アドレスバー]]の[[補完]]候補の履歴の [[URL]] の [CODE[http:]] まで勝手に [CODE[https:]] に置き換えてしまう (一度も [CODE[https:]] で接続できていないのに) とか行き過ぎてて奇行のレベルだろ。。。 [TIME[2024-11-15T08:18:56.100Z]] [80] セキュリティーを名目にセキュリティー強化ではなくまともに動くものを動かなくする悪習はいつになったらやめてくれるのだろうか。 [84] それどころか [CODE[http:]] の [[URL]] の [CODE[a]] をドラッグして他の [[Chrome]] にドロップして発生する [[navigate]] すら勝手に [CODE[https:]] に置き換わってる... 怖い... [TIME[2025-04-21T00:34:43.700Z]] [81] 最近の [[Firefox]] は入力すると履歴から選びたい候補が一瞬だけ表示されるのに、 すぐに検索語の候補 (世間でよく検索されてるやつ?) の表示に切り替わるという💩仕様になってます。 おそらく最大で表示できる上限は固定で、外部から取得する検索語の表示は開始できるまで一瞬待ちが発生するためにこのような挙動になるのでしょうけど。 履歴により適切な候補があるのにそれよりも何の参考にならない検索語が出てくるというところが、 需要を全くわかっていないというか。 [[Google]] あたりとの契約でこうせざるを得ないのかな。 [TIME[2025-02-21T03:00:54.00Z]] [82] でも当の [[Google]] の [[Chrome]] はそんな💩仕様じゃないですよね。 履歴に一致するのがあるときは履歴ばかりでてきて、履歴になさそうな入力のときは検索語が出てきます。 [TIME[2025-02-21T03:02:21.000Z]] [83] [[Firefox]] は契約上、検索誘導が多い程収入が多くなるみたいな動機がありそうですね。