HTTPSを利用できるニュースサイトは105サイト中29% 32
ストーリー by headless
三割 部門より
三割 部門より
米非営利組織Freedom of the Press Foundationは15日、ニュースサイトのHTTPS導入状況によるセキュリティランキングを発表した(Freedom of the Press Foundationのブログ記事、
Leaderboard、
BetaNewsの記事、
The Guardianの記事)。
ランキングは自動化されたツールで判定されたもので、有効なHTTPSの有無、HTTPSの利用可否、HTTPS接続がデフォルトかどうかという3点が基本のチェックポイントになっている。グレードはHTTPSが導入されていないか導入されていても証明書が無効の場合に「F」、HTTPSがデフォルトなら「B」となり、HSTS(HTTP Strict Transport Security)の導入状況によるボーナスポイントが加算されると「B+」以上が与えられる。
全105サイトのうち、すべての項目が「YES」で「A+」を獲得したのはThe Interceptのみ。The GuardianとTechCrunch、ProPublicaが「A-」、WiredとBuzzFeedが「B+」で続く。「B」はWashington PostやThe Atlantic、Bloombergなど9サイトに過ぎず、HTTPSがデフォルトになっているサイトは14%。HTTPSを利用できるもののデフォルトではない「C」となったThe IndependentやThe Economist、BBCなど15サイトを加えても、HTTPSを利用できるサイトは29%にとどまる。
一方、The Wall Street JournalやReuters、Associated Press、Huffington Post、CNNなど、全体の48%にあたる50サイトが「F」となっている。
ランキングは自動化されたツールで判定されたもので、有効なHTTPSの有無、HTTPSの利用可否、HTTPS接続がデフォルトかどうかという3点が基本のチェックポイントになっている。グレードはHTTPSが導入されていないか導入されていても証明書が無効の場合に「F」、HTTPSがデフォルトなら「B」となり、HSTS(HTTP Strict Transport Security)の導入状況によるボーナスポイントが加算されると「B+」以上が与えられる。
全105サイトのうち、すべての項目が「YES」で「A+」を獲得したのはThe Interceptのみ。The GuardianとTechCrunch、ProPublicaが「A-」、WiredとBuzzFeedが「B+」で続く。「B」はWashington PostやThe Atlantic、Bloombergなど9サイトに過ぎず、HTTPSがデフォルトになっているサイトは14%。HTTPSを利用できるもののデフォルトではない「C」となったThe IndependentやThe Economist、BBCなど15サイトを加えても、HTTPSを利用できるサイトは29%にとどまる。
一方、The Wall Street JournalやReuters、Associated Press、Huffington Post、CNNなど、全体の48%にあたる50サイトが「F」となっている。
この基準だとsrad.jpは「C」、m.srad.jpは「A-」 (スコア:5, 参考になる)
*.srad.jpの証明書は有効。HTTPSでの閲覧ができる。
スマホ版サイトのm.srad.jpだとHTTPSにリダイレクトされるが、従来のアドレスではリダイレクトされず、HTTPでアクセスしたらHTTPのまま。
HSTSヘッダーはm.srad.jpだと付いてきて Strict-Transport-Security: max-age=31536000 なので加点+10。
と言うことで、ここの採点基準だとスラドはPC版(srad.jp)が「C」、スマホ版(m.srad.jp)が「A-」判定になる。
# https://securethe.news/methodology-and-metrics/ [securethe.news] で公開されている仕様ではB+とA-とA+の境界が不明瞭であるが、https://securethe.news/sites/ で公表されている実際のグレードから、80点はA-になるものと結論した。
# なお前述のページからリンクされているGitHubページは404だった…。
# スラドはm.srad.jpから徐々にセキュアにしていく方針である様子。
# HSTSプリロードは(残念ながら)サブドメインでは受理されないことになっているので、srad.jpが対応しない限りm.srad.jpのHSTSプリロードも来ないことになる。
もう全部httpsでよくね? (スコア:1)
もういっそのことウェブサイトは全部https接続にするような仕様にしちゃいなよ。
Re:もう全部httpsでよくね? (スコア:1)
実際その流れではありますやね。
関係ないけど、Webビューアー実装に伴って?電子書籍サイトのBOOK☆WALKERもフルhttpsになってるね...が、昔からだったか把握してないけど。
M-FalconSky (暑いか寒い)
Re: (スコア:0)
ずいぶん昔に書いて今も使ってるクロール用スクリプトがかなりやられてしまうなあ…。
HTTPSでうれしいことって? (スコア:0)
否定したいのではなく単純な疑問なんだけど、HTTPSでうれしいことって以下であってる?
どのサイトにアクセスしているかはIPアドレスでわかるよね?
HTTPSでアクセスして隠せるのはどの記事にアクセスしているかでOK?
Re: (スコア:0)
外見を装った嘘サイトでないことが証明される
Re: (スコア:0)
EVのようにカネかかった証明書入りのサイトなら、まあ
Re: (スコア:0)
HTTPSだとまずはどのウェブサイトに繋がっているかわかる。HTTPはわからない。
Re:HTTPSでうれしいことって? (スコア:2)
元コメントは盗聴者目線で,このコメントは利用者目線になってるから反転してわけがわからなくなってる
Re: (スコア:0)
だね(EVなら確実だが...)
> どのサイトにアクセスしているかはIPアドレスでわかるよね?
これがダウト、だからね
# つかIPアドレス暗記でもしてるんかね?(おまけに変るかもしれないし、IPv6だったらどうする気なんだか)
Re: (スコア:0)
IPアドレスを元にDNSサーバーに問い合わせたらわからないの?
同じIPで複数のサイトを運用していたら、完全には特定できないかもしれないけど。
Re:HTTPSでうれしいことって? (スコア:2, 興味深い)
そのIPアドレスが本当に運営者のものだと確実に判断出来るだけの根拠が得られるかというとまあほぼ不可能だろう。
例えばsrad.jpでアクセスすると攻撃者が用意したサーバに繋がるように改ざんすることもできるし。
まあ証明書の種類にもよるけれども。
Re: (スコア:0)
でもEVでなければ、その運営者が"本来の善良を期待している運営者"かどうかというのは判らないんですよね?
Re: (スコア:0)
まあ証明書の種類にもよるけれども。
そーですねー
Re: (スコア:0)
ニュースサイトで、EVを取っているところなんてありますかね?
運営者をどの程度の確認審査で登録しているのかパッと見で判らないのなら、結局httpと同程度としか思えないのですけど。
ドメイン名そのものは信頼できるものという前提が置かれないと、ただのhttpsって暗号化しているってだけの意味しかないのではないでしょうか。
「https化しているので安全なサイトです」っていう風潮が心配。
Re: (スコア:0)
経路中のひとが横取りするとか、経路を別の方向に向けるとかもできます。
自分のPC内、ハブ・ルーター…NSA
ニュースサイトとしてって事も忘れちゃいけない (スコア:0)
ニュースサイトで、HTTPSにして高まるセキュリティってのはなんだろう。
有料ニュースサイトとすれば決済関係は確かにセキュリティ大事だ。
それ以外に、サイトの真正性みたいなのが問題とするなら、もっとガセネタとか、記者様の人的リスクってのもセキュリティに入れた方が良くないか?
HTTPで偽サイトの記事読まされるのと、記者が金貰って書いた偏向記事読まされるのとで、どれだけセキュリティ的な違いがあるのか。
というのを、この非営利(笑)組織に検証してもらいたい。
Re:ニュースサイトとしてって事も忘れちゃいけない (スコア:1)
ニュースサイトで、HTTPSにして高まるセキュリティってのはなんだろう。
政府による検閲のリスクが減る。
Re: (スコア:0)
検閲って、記事の内容チェックって事だよね。
個別記事のURLに対しての閲覧制限ってこと?
Re: (スコア:0)
そういったものも含むし、天安門が検索できないという制限も含む。
Re: (スコア:0)
まあその気があればhttps通信そのものを規制できるのが「政府」だけどな。
Re: (スコア:0)
HTTP/2はブラウザ側の制限でHTTPS通信でないと使えないようになっているので、HTTP/2に対応したサーバーならばHTTPSにすることで通信速度の向上が期待できる。
名前解決に使用されるDNSのパケットは暗号化されないので、どのドメインに接続しているかは公共Wi-Fiの提供者やプロバイダは知ることができる。
https://dns.google.com/resolve?name=example.com [google.com]
Google DNSのサービスがブラウザに実装されれば、これも解決されるようになると思う。
HTTPSだと通信内容が秘匿されるので、HTMLのフォームで送信される通信内容も秘匿される。
Re: (スコア:0)
>どのサイトにアクセスしているかはIPアドレスでわかるよね?
判らない。IPアドレスは相手が本物かどうかの保証にはならない。
Re: (スコア:0)
てっきり、なりすましと改ざんの防止の話かと思ったら違ったのか。
マスコミの信用度もAC並に地に落ちたって事かな。
このレーティングの妥当性はどうやって検証すればいいの? (スコア:0)
その自動化ツールは信頼できるの?
Re: (スコア:0)
自分で考えて自分で決めればいいんやで
Re: (スコア:0)
オプソ化して俺にも使わせろってこと
Re: (スコア:0)
そんな複雑な点数付けをやってないよね。
https://securethe.news/methodology-and-metrics/ [securethe.news]
銀行や証券会社、通販サイトはSSL強制と通達を出したほうがいい (スコア:0)
カート画面はSSL未対応とかおかしいだろ
何買ってるか丸わかりじゃん
Re:銀行や証券会社、通販サイトはSSL強制と通達を出したほうがいい (スコア:1)
何買ってるか丸わかりじゃん
リアル店舗のほうも何かしら考慮いただければ、と。
健全な本で挟まないと購入できないようでは、財政面の問題から健全な青少年の成長に支障をきたします。
Re: (スコア:0)
いつも使わない店舗で、マスクでもして現金払いすればいいのでは
Re: (スコア:0)
見られて何が困るの?
まぁ、そもそも見てる奴なんかいるのかって気もするけど