パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Firefox 3のSSL対応方針、どう思う?」記事へのコメント

  • ・http接続ではなんの警告もメッセージも出ない。
    ・オレオレhttpsでは「信頼できないよ」とメッセージが出る。
    という状態だと
     httpの方がオレオレhttpsよりも安全だ
    と考えるユーザーが多いでしょう。
    実際にはオレオレhttpsは、httpよりは少なくとも多少は安全なわけで。
    このネジレ現象をどうにかする必要があると思います。
    • 他の人も書いていますが現状のオレオレ証明書に対する対応は正常だと思われます

      1.本当に目的のサイトにつながってるかわからない
      2.ゆえにフィッシングサイトとつながり暗号化通信をしている恐れも考えられる
      3.暗号化通信をしているから安全と思い込みやすい、そのため警告を出さないと重要情報を
          送付してしまう可能性がある
      4.ゆえに、オレオレ証明書は通常通信以上に使用者に強く認識させる必要がある

      相手が本当に通信したい相手かわからないのに安全だと錯覚する可能性がある以上
      より強く警告/制限する必要性があります

      まぁ個人的にきっちり秘密キーを管理した状態で自己認証証明書のリスクを理解した上に
      自己責任で使うのであれば止めはしないし、使い方を間違えなければ
      オレオレ証明書にはならないでしょう
      でも不特定多数に対し使うのは論外というのをここに書くのは何回目だろう
      親コメント
    • >実際にはオレオレhttpsは、httpよりは少なくとも多少は安全なわけで。

      違います。

      全く安全でない上に,まっとうなSSL証明書が使われるべき場面で
      オレオレ証明書が使われているシチュエーションは,通常のHTTP通信を
      おこなっているときよりも,むしろ危険であると言えます。

      Firefoxの挙動は,このような誤解を撲滅するためにも,有用であると思います。
      親コメント
    • by Anonymous Coward
      > 実際にはオレオレhttpsは、httpよりは少なくとも多少は安全なわけで。

      そう思われると問題だからUIを変更したわけで。

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...