アカウント名:
パスワード:
もちろん、個人情報を送信させるようなページで証明書が 切れてたらかなり問題だけど、
初めからそういう話をしているのでは?
必ずしもそうでもないと思います。ブラウザの実装依存の問題でもありますが、「問題なさそうなときは押していい」という習慣をつけるのはハイリスクです。それほどセンシティブでない個人情報、例えばメールアドレスを保護するために、そういういい加減なSSLサイトを立ててたとして、そのときは「プレゼント応募のためのメールアドレスとアンケート内容くらい、偽サイトだったとしてもまあいいや」でOk押したとします。その後、その会社がオンラインショッピングを始めたとき、もしかするとそのサイト証明書は「Ok」なリストに入っていて、ダイアログは出ないかもしれません。つまり、その場合には「個人情報を送信させるようなページ」だけではなく「個人情報を送信させることになるかもしれないサイト」について判断しなければなりません。これはブラウザの実装が良くないと言えますが、そもそも「警告出たらOk押さない」という単純なルールを守っていれば問題になりません。あなたの証明書ストアには信頼していいサイトの証明書だけが入っていると確信していますか?
1回アクセスしただけのサイトを恒久的なリストに加える必要はないのでは?
「1回アクセスするだけ≠恒久的なリストに加える」と思っているのはあぶないと思いますよ。Firefox 3 では、「1回アクセスするだけ=恒久的なリストに加える」 [takagi-hiromitsu.jp]だったかと思います(やらないことにしているので自分では未確認ですけど)。これもブラウザの実装として一つの選択肢ということなので、同様の方針で実装されているブラウザはFirefox3だけではないかもしれません。この日記では、恒久的なリストに加えなかったとしても、立ち上げっぱなしのブラウザだと一時的にOkした状態が何週間も続くので危険だという点についても考察されていました。
リンク先の説明はFirefoxのベータ版に基づいているので、正式版とは若干違います。正式版では恒久的にリストに加えるかどうかをチェックボックスで選べるようになっていて、デフォルトでチェックされているというだけです。なぜデフォルトでチェックされているのかは別ツリーに出ている [srad.jp]のでここでは繰り返しません。
思ってませんって。加えなければいいんでしょ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
ぶっちゃけ自分は無視することが多い (スコア:0)
だって素のhttpでつながるのとリスクは変わらないもの。
証明書の管理ができないならSSLなんて使うなよとは思うけど、
実際のところその程度で目くじら立ててたら疲れて仕方ない。
もちろん、個人情報を送信させるようなページで証明書が
切れてたらかなり問題だけど、期限切れの証明書自体を
撲滅する勢いで糾弾するのは、人並みはずれたバイタリティの
持ち主か、利害関係者でもないと現実的じゃないと思う。
Re: (スコア:0)
初めからそういう話をしているのでは?
Re: (スコア:1)
必ずしもそうでもないと思います。ブラウザの実装依存の問題でもありますが、「問題なさそうなときは押していい」という習慣をつけるのはハイリスクです。
それほどセンシティブでない個人情報、例えばメールアドレスを保護するために、そういういい加減なSSLサイトを立ててたとして、そのときは「プレゼント応募のためのメールアドレスとアンケート内容くらい、偽サイトだったとしてもまあいいや」でOk押したとします。
その後、その会社がオンラインショッピングを始めたとき、もしかするとそのサイト証明書は「Ok」な
リストに入っていて、ダイアログは出ないかもしれません。
つまり、その場合には「個人情報を送信させるようなページ」だけではなく「個人情報を送信させることになるかもしれないサイト」について判断しなければなりません。これはブラウザの実装が良くないと言えますが、そもそも「警告出たらOk押さない」という単純なルールを守っていれば問題になりません。
あなたの証明書ストアには信頼していいサイトの証明書だけが入っていると確信していますか?
Re: (スコア:0)
1回アクセスしただけのサイトを恒久的なリストに加える必要はないのでは?
Re:ぶっちゃけ自分は無視することが多い (スコア:1)
「1回アクセスするだけ≠恒久的なリストに加える」と思っているのはあぶないと思いますよ。Firefox 3 では、「1回アクセスするだけ=恒久的なリストに加える」 [takagi-hiromitsu.jp]だったかと思います(やらないことにしているので自分では未確認ですけど)。これもブラウザの実装として一つの選択肢ということなので、同様の方針で実装されているブラウザはFirefox3だけではないかもしれません。この日記では、恒久的なリストに加えなかったとしても、立ち上げっぱなしのブラウザだと一時的にOkした状態が何週間も続くので危険だという点についても考察されていました。
Re: (スコア:0)
リンク先の説明はFirefoxのベータ版に基づいているので、正式版とは若干違います。
正式版では恒久的にリストに加えるかどうかをチェックボックスで選べるようになっていて、デフォルトでチェックされているというだけです。なぜデフォルトでチェックされているのかは別ツリーに出ている [srad.jp]のでここでは繰り返しません。
Re: (スコア:0)
思ってませんって。
加えなければいいんでしょ。