アカウント名:
パスワード:
携帯電話のブラウザの場合,オレオレ証明書は例外的に出会っても受け付けないものが多いようなので,携帯サイトにこそサイト証明書は大切なのかも,と思いました.しかし携帯電話のブラウザにおいてHTTPSで接続しているかどうかがあまり目立つようにインジケートされていないようにも感じます.
自分が使ったことのある数台の携帯電話についてたブラウザだけがサンプルなので,「ようなので」とか「感じます」の域を出ません.
携帯で使えるオレオレじゃない証明書が $100/年以下で買えてしまうのに、オレオレ証明書を使う意味はないですよね。で、証明書があったところで、アクセスして毎回証明書の内容を目で見て通信相手が信頼できるか確認、なんてしないので、今回の件の対策にはならないです。
(ちなみに$100以下で買える証明書は3G端末のみサポートしてますが、それでケータイWebユーザの9割以上を対象にできるので十分でしょう)
>しかし携帯電話のブラウザにおいてHTTPSで接続しているかどうかがあまり目立つようにインジケートされていないようにも感じます.
「SSL通信を開始します」とかめちゃくちゃウザい(大半の人には意味が分からない)ダイアログが出ますよ。
Cookie認証がどうとかいう言葉を聞いたことがあるので、かなり不安…
>最近は使えるようになった(またはそろそろなる)のですかね?
携帯サイトやってますけど、ドコモ以外はだいたい使えます。ドコモだけ使えませんので、ユーザ管理ページとか別に作ってます。URLにセッションID埋め込んだり、<input type=hidden ~~>で渡したりしながら。
これはQRコードによる初回アクセスの話なので、SSLにすれば良いという話ではないでしょう。https://www.rcis.aist.go.jp/special/websafety2007/ [aist.go.jp]の「(A) 初めて訪れたサイトの場合」にある通りのことが必要になるわけですが、携帯のUIが貧弱なので、確認は難しいでしょうね。操作の煩雑さは増しますが、iモードメニューなどからたどる方が余程安心できると思います。
証明書の第一の役割は、アクセスしようとした URL のサイトに正しく接続できたかどうかを担保することであって、最初から誤った URL へ誘導される今回のような件には効果が半減しませんか?もちろん証明書の内容を検証すれば良いのですが、そういう習慣はまったく広まっていませんし、検証しようにもサイトの持ち主の名前ではなく、運営を委託された業者のものになっていることもしばしばです。この辺の事情は PC においても全く同じことがいえますが。
手元の端末(NetFront搭載のソフトバンク機種)では最初に「ここからのページは高度なセキュリティで保護されます」というメッセージボックスが表示されて、パケット通信中のアイコンに鍵マークが常時表示されます。
2Gの頃は確かにあまりハッキリと明示されていなかったような記憶がありますが、現在はパソコンと大差なくなってますね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
携帯サイトでもやっぱり証明書は大切だなぁ (スコア:1)
携帯電話のブラウザの場合,オレオレ証明書は例外的に出会っても受け付けないものが多いようなので,携帯サイトにこそサイト証明書は大切なのかも,と思いました.しかし携帯電話のブラウザにおいてHTTPSで接続しているかどうかがあまり目立つようにインジケートされていないようにも感じます.
自分が使ったことのある数台の携帯電話についてたブラウザだけがサンプルなので,「ようなので」とか「感じます」の域を出ません.
屍体メモ [windy.cx]
Re:携帯サイトでもやっぱり証明書は大切だなぁ (スコア:2, 参考になる)
携帯で使えるオレオレじゃない証明書が $100/年以下で買えてしまうのに、オレオレ証明書を使う意味はないですよね。
で、証明書があったところで、アクセスして毎回証明書の内容を目で見て通信相手が信頼できるか確認、なんてしないので、今回の件の対策にはならないです。
(ちなみに$100以下で買える証明書は3G端末のみサポートしてますが、それでケータイWebユーザの9割以上を対象にできるので十分でしょう)
>しかし携帯電話のブラウザにおいてHTTPSで接続しているかどうかがあまり目立つようにインジケートされていないようにも感じます.
「SSL通信を開始します」とかめちゃくちゃウザい(大半の人には意味が分からない)ダイアログが出ますよ。
Re:携帯サイトでもやっぱり証明書は大切だなぁ (スコア:1)
Cookie認証がどうとかいう言葉を聞いたことがあるので、かなり不安…
Re:携帯サイトでもやっぱり証明書は大切だなぁ (スコア:1)
最近は使えるようになった(またはそろそろなる)のですかね?
ところで、自分の携帯(N904i)はHTTPSの場合はページアクセス毎に「SSL通信を開始します」
って出るのでHTTPSかどうかはアクセスするだけで確認できます。
証明書の確認も一応できますよ。
# yes, fly. no, fry.
Re:携帯サイトでもやっぱり証明書は大切だなぁ (スコア:2, 参考になる)
>最近は使えるようになった(またはそろそろなる)のですかね?
携帯サイトやってますけど、ドコモ以外はだいたい使えます。
ドコモだけ使えませんので、ユーザ管理ページとか別に作ってます。
URLにセッションID埋め込んだり、<input type=hidden ~~>で渡したりしながら。
Re:携帯サイトでもやっぱり証明書は大切だなぁ (スコア:1, 参考になる)
これはQRコードによる初回アクセスの話なので、SSLにすれば良いという話ではないでしょう。
https://www.rcis.aist.go.jp/special/websafety2007/ [aist.go.jp]
の「(A) 初めて訪れたサイトの場合」にある通りのことが必要になるわけですが、携帯のUIが貧弱なので、確認は難しいでしょうね。
操作の煩雑さは増しますが、iモードメニューなどからたどる方が余程安心できると思います。
Re:携帯サイトでもやっぱり証明書は大切だなぁ (スコア:1, 参考になる)
証明書の第一の役割は、アクセスしようとした URL のサイトに正しく接続できたかどうかを担保することであって、
最初から誤った URL へ誘導される今回のような件には効果が半減しませんか?
もちろん証明書の内容を検証すれば良いのですが、そういう習慣はまったく広まっていませんし、
検証しようにもサイトの持ち主の名前ではなく、運営を委託された業者のものになっていることもしばしばです。
この辺の事情は PC においても全く同じことがいえますが。
Re:携帯サイトでもやっぱり証明書は大切だなぁ (スコア:1, 参考になる)
手元の端末(NetFront搭載のソフトバンク機種)では最初に「ここからのページは高度なセキュリティで保護されます」というメッセージボックスが表示されて、パケット通信中のアイコンに鍵マークが常時表示されます。
2Gの頃は確かにあまりハッキリと明示されていなかったような記憶がありますが、現在はパソコンと大差なくなってますね。