アカウント名:
パスワード:
たとえ、脆弱な SSL/TLS 通信であっても HTTP(平文)よりは安全な場合には、アクセス不可にしたり、警告メッセージを表示したりする必要はないでしょう。こういったことがあると、HTTPS から HTTP への移行 [security.srad.jp]が行われるようになり、かえってセキュリティレベルを悪化させます。
どうすれば良いかというと、ブラウザは、脆弱な SSL/TLS に対して鍵マークを表示したりアドレスバーの色を平文通信と変えたりせずに、http(平文)のサイトと全く同じようにユーザーに見せれば良いでしょう。最近のブラウザはアドレスバーをクリックしない限り「http://」を表示しないので、脆弱な
普通の人は、httpsかhttpかの違いしかわからない。(それさえも知らない人多い)httpsだけど危ないかもよ、っていうのがわからない。だからクリックしてhttpsだったらOKになってしまう。
オレオレ証明書の場合は警告でるけど、それと同じような扱いでいいと思うけどね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
Google の暴挙がユーザーを危険に晒す (スコア:0)
たとえ、脆弱な SSL/TLS 通信であっても HTTP(平文)よりは安全な場合には、アクセス不可にしたり、警告メッセージを表示したりする必要はないでしょう。こういったことがあると、HTTPS から HTTP への移行 [security.srad.jp]が行われるようになり、かえってセキュリティレベルを悪化させます。
どうすれば良いかというと、ブラウザは、脆弱な SSL/TLS に対して鍵マークを表示したりアドレスバーの色を平文通信と変えたりせずに、http(平文)のサイトと全く同じようにユーザーに見せれば良いでしょう。最近のブラウザはアドレスバーをクリックしない限り「http://」を表示しないので、脆弱な
Re:Google の暴挙がユーザーを危険に晒す (スコア:0)
普通の人は、httpsかhttpかの違いしかわからない。(それさえも知らない人多い)
httpsだけど危ないかもよ、っていうのがわからない。だからクリックしてhttpsだったらOKになってしまう。
オレオレ証明書の場合は警告でるけど、それと同じような扱いでいいと思うけどね。
Re: (スコア:0)
> 普通の人は、httpsかhttpかの違いしかわからない。(それさえも知らない人多い)
> httpsだけど危ないかもよ、っていうのがわからない。だからクリックしてhttpsだったらOKになってしまう。
だから、もう使えなくしちゃえば安全になるじゃないかという発想なんでしょう。
そもそも危険なもん公開している方が問題だろう。
というスタンス。
見るための物は無料で手に入る(Chrome以外もある)。
セキュリティを唱えても中途半端に使えると浸透しないのはメールだとかFTPだとか無くならない状況を見ればわかるしね。
癒着と知識不足が多い大企業では(サーバー変更しないととかWebサーバーアプリ買い直さないととか)必要以上に金かかるのでそう簡単な話ではないんだがね(直ちに解決できない現実問題としてね)。
# HTTPS everywhereはいいんだけどSSL証明書つくんのもなにかとめんどくさいし金もかかるしその辺なんとかしてくれんもんかね。