パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

GoogleがHTTP接続時に「安全でない」と明示することを提案」記事へのコメント

  • > HTTPではセキュリティ的な対策が行われていない

    行う必要がないって考えもある。

    セキュリティ的な対策を行われていなければいけないときに警告すればいいのでは?

    • by Anonymous Coward on 2014年12月18日 16時26分 (#2730170)

      暗号化通信が必要なサイトはすでにやってると思うんだよね。
      もちろん、一部に「あるべきところで使われてない」というのはあるだろうけど、そういうサイトを使うかどうかはユーザーが判断すればいいと思う。
      スラドのログイン画面もSSLないらしいし。そこに必要かどうかはユーザーが評価すればいい。自分はスラドくらいならいらないと思ってる。

      それより、最近ネタにもなったhttpsなのにcookieにsecure属性つけてないとか、SQLインジェクションとかXSSとか、他の脆弱性をなくす努力の方が重要な気がする。
      ページ内のすべての要素が正しくhttpsだったら安全と表記されるんだろうけど、悪意のあるホストからhttpsでjavascript読み込んでも安全と出ちゃうよね。Content Security Policyとか他にもやるべきことあるし、httpsは一つの要素でしかない。
      スレ主の言うように必要無いサイトもあるし。でも、必要なくても前述したような暗号化以外のセキュリティ対策は必要だし。

      # もし本当にGoogleがこれ実装したら、Chromeユーザーは混乱するだろうなぁ。

      親コメント
      • パスワード使い回しみたいなのがある以上
        どこのログインページも SSL つけたらいいのになとは思うわ。
        親コメント
        • by Anonymous Coward
          SSLを使ったとしても、パスワードの使い回しの問題は軽減されませんよ。
          • by Anonymous Coward

            > SSLを使ったとしても、パスワードの使い回しの問題は軽減されませんよ。

            SSLによって、パスワードの使い回しの問題が軽減されるとは書いてないじゃん。
            パスワードの使い回しの問題があるから、ログインページはSSLを使ってほしいというだけで。

            #ところでいつまでSSLと言い続けるの?

          • by Anonymous Coward

            逆に考えるんだ。
            いつものIDやパスワードがフォームに入力されたら、SSLでない場合には警告を出すんだ。

        • by Anonymous Coward

          ちょっとした会員サイト作って、メールアドレスとパスワードのセットを入手して、
          大手のメールサービスにログイン試してみたらそこそこ情報収集できるんじゃないかなーとか思う。
          バレにくそうだし。

      • by Anonymous Coward on 2014年12月18日 22時00分 (#2730368)

        >ユーザーが判断すればいいと思う。

        これが出来るなら現状でも問題にならいのでは?

        親コメント

アレゲは一日にしてならず -- アレゲ研究家

処理中...