パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ブラウザの「SSL証明書が無効」という警告、5割以上のユーザーが無視」記事へのコメント

  • とくに重要な情報をやりとりしない場合はかなりの頻度で無視。
    だって素のhttpでつながるのとリスクは変わらないもの。
    証明書の管理ができないならSSLなんて使うなよとは思うけど、
    実際のところその程度で目くじら立ててたら疲れて仕方ない。

    もちろん、個人情報を送信させるようなページで証明書が
    切れてたらかなり問題だけど、期限切れの証明書自体を
    撲滅する勢いで糾弾するのは、人並みはずれたバイタリティの
    持ち主か、利害関係者でもないと現実的じゃないと思う。
    • by Anonymous Coward on 2009年07月29日 8時22分 (#1613621)

      もちろん、個人情報を送信させるようなページで証明書が 切れてたらかなり問題だけど、

      初めからそういう話をしているのでは?

      親コメント
      • 必ずしもそうでもないと思います。ブラウザの実装依存の問題でもありますが、「問題なさそうなときは押していい」という習慣をつけるのはハイリスクです。
        それほどセンシティブでない個人情報、例えばメールアドレスを保護するために、そういういい加減なSSLサイトを立ててたとして、そのときは「プレゼント応募のためのメールアドレスとアンケート内容くらい、偽サイトだったとしてもまあいいや」でOk押したとします。
        その後、その会社がオンラインショッピングを始めたとき、もしかするとそのサイト証明書は「Ok」な
        リストに入っていて、ダイアログは出ないかもしれません。
        つまり、その場合には「個人情報を送信させるようなページ」だけではなく「個人情報を送信させることになるかもしれないサイト」について判断しなければなりません。これはブラウザの実装が良くないと言えますが、そもそも「警告出たらOk押さない」という単純なルールを守っていれば問題になりません。
        あなたの証明書ストアには信頼していいサイトの証明書だけが入っていると確信していますか?

        親コメント
        • by Anonymous Coward

          1回アクセスしただけのサイトを恒久的なリストに加える必要はないのでは?

          • 「1回アクセスするだけ≠恒久的なリストに加える」と思っているのはあぶないと思いますよ。Firefox 3 では、「1回アクセスするだけ=恒久的なリストに加える」 [takagi-hiromitsu.jp]だったかと思います(やらないことにしているので自分では未確認ですけど)。これもブラウザの実装として一つの選択肢ということなので、同様の方針で実装されているブラウザはFirefox3だけではないかもしれません。この日記では、恒久的なリストに加えなかったとしても、立ち上げっぱなしのブラウザだと一時的にOkした状態が何週間も続くので危険だという点についても考察されていました。

            親コメント
            • by Anonymous Coward

              リンク先の説明はFirefoxのベータ版に基づいているので、正式版とは若干違います。
              正式版では恒久的にリストに加えるかどうかをチェックボックスで選べるようになっていて、デフォルトでチェックされているというだけです。なぜデフォルトでチェックされているのかは別ツリーに出ている [srad.jp]のでここでは繰り返しません。

            • by Anonymous Coward

              思ってませんって。
              加えなければいいんでしょ。

開いた括弧は必ず閉じる -- あるプログラマー

処理中...