パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

GoogleがHTTP接続時に「安全でない」と明示することを提案」記事へのコメント

  • by Anonymous Coward

    怪しい証明書のhttpsではしつこいくらいの警告を出したりするのに
    httpでは大したことしない、というブラウザはポリシーがよく分からない。

    • by Anonymous Coward

      いや別にそこは問題にすべきところじゃないと思う。
      httpsだと、普通は「暗号化」に加え「正しいホストだと確認」することを期待してる。
      怪しい証明書の場合、httpsだから一見安全そうだけどホストが本物かどうかわからないから警告する。
      httpは何も気にしないモードだから警告もクソもない。

      たぶん、証明書まで検証するかどうかで分けられればいいんだろうなぁ。httpssで検証付きみたいな。
      検証モードで、証明書まで検証してダメなら警告出せばいいし。
      とりあえず暗号化されてればいいか、ってサイトもあるし(某掲示板とか)、そこは証明書検証なしでいいし。

      httpss 証明書検証付き暗号化
      https 暗号化のみ
      http なにもなし

      みたいになれば。

      • by Anonymous Coward on 2014年12月18日 18時10分 (#2730251)

        もっと信頼チェーンや中間者攻撃を勉強しましょう。# 検証なしで暗号化は全く無意味

        親コメント
        • by Anonymous Coward
          検証なしで暗号化は全く無意味ではありません。
          • by Anonymous Coward on 2014年12月18日 20時38分 (#2730334)

            全く無意味です。
            鍵交換を安全にできないなら暗号化する意味がない。

            親コメント
            • by Anonymous Coward

              盗聴できるけど改ざんできない(しにくい)状況では意味を持ちます。
              そしてそういう状況は現実に割と多いです。

              • by Anonymous Coward

                そのような状況でも全く無意味ですね。

              • by Anonymous Coward

                JavascriptでOff-the-Record Messaging Protocol (OTR)あたりを使えば、意味がないことは無いかもしれませんが…

                Off-the-Record Messaging Protocol implemented in JavaScript
                https://github.com/arlolra/otr [github.com]

                でも、悪意ある無線LANや経路ハイジャックを考えると、やっぱりHTTPSが欲しいと思いますね。

          • by Anonymous Coward

            おいおい。冗談だろ。
            無意味だよ。まさか本気で...

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...