アカウント名:
パスワード:
「暗号化」と「本人である事が安心なのか」はすべて別なのであります!フィッシングサイトだってちゃんとSSLを使っているんだしねwオレオレ証明書が難無く通る仕組みを作ったうえでSSLの強制化を話してくださいwオレオレでも暗号化については”同等に安全”なのは知ってるはずだろう?でなければやはり商売の香りがぷんぷんする。
オレオレを締め出した上に本来のSSLの趣旨であろう企業証明書?が別は枠で出来上がったのはなんでだろうね。
個人情報を送受信するサイトじゃなければオレオレでもいいと個人的には思います。
個人情報を流すならちゃんとしたサーバ証明書は欲しいですが、単にデータの送受信であれば暗号化目的のオレオレで十分じゃないのかな、と思います。
通信の秘密を物理的に守る意味でも、ね。
#ちゃんとした証明書だとサーバ側で金と手間が掛かる、と言うのもありますしね。
だけどそれをやると警告を無視するのがあたりまえになってしまうのでそういう習慣を付けさせるのは危険じゃないかなー……。
存在証明がないSSLみたいなのを明確に区別して、デフォルトの通信で使わせる(警告なども従来の平文通信と同じ扱い)というものを作るのはひとつの解決策かもしれません。同等に安全とか、これによって完全に安全であることを確保できるとかアレなことを言い出さなければひとつの手ですね。何もしないよりは安全なわけですし。
1、「ルート証明書にぶら下がった信用できるサイト」2、「ルート証明書にぶら下がった信用できないサイト」3、「ルート証明書にぶら下がれてしまった中間者ダミーサイト」4、「ルート証明書にぶら下がっていない(オレオレ証明書な)信用できるサイト」5、「ルート証明書にぶら下がっていない(オレオレ証明書な)信用できないサイト」6、「ルート証明書にぶら下がっていない(オレオレ証明書な)中間者ダミーサイト」2や3なサイトは非オレオレ証明書であっても個人情報を送っては駄目ですし、4であればオレオレ証明書であっても個人情報を送るのに
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
そもそも・・・ (スコア:0)
「暗号化」と「本人である事が安心なのか」はすべて別なのであります!
フィッシングサイトだってちゃんとSSLを使っているんだしねw
オレオレ証明書が難無く通る仕組みを作ったうえでSSLの強制化を話してくださいw
オレオレでも暗号化については”同等に安全”なのは知ってるはずだろう?
でなければやはり商売の香りがぷんぷんする。
オレオレを締め出した上に本来のSSLの趣旨であろう企業証明書?が別は枠で出来上がったのはなんでだろうね。
Re:そもそも・・・ (スコア:1)
個人情報を送受信するサイトじゃなければオレオレでもいいと個人的には思います。
個人情報を流すならちゃんとしたサーバ証明書は欲しいですが、単にデータの送受信であれば
暗号化目的のオレオレで十分じゃないのかな、と思います。
通信の秘密を物理的に守る意味でも、ね。
#ちゃんとした証明書だとサーバ側で金と手間が掛かる、と言うのもありますしね。
Re: (スコア:0)
だけどそれをやると警告を無視するのがあたりまえになってしまうので
そういう習慣を付けさせるのは危険じゃないかなー……。
存在証明がないSSLみたいなのを明確に区別して、デフォルトの通信で使わせる
(警告なども従来の平文通信と同じ扱い)というものを作るのはひとつの解決策かもしれません。
同等に安全とか、これによって完全に安全であることを確保できるとかアレなことを言い出さなければひとつの手ですね。
何もしないよりは安全なわけですし。
Re: (スコア:0)
1、「ルート証明書にぶら下がった信用できるサイト」
2、「ルート証明書にぶら下がった信用できないサイト」
3、「ルート証明書にぶら下がれてしまった中間者ダミーサイト」
4、「ルート証明書にぶら下がっていない(オレオレ証明書な)信用できるサイト」
5、「ルート証明書にぶら下がっていない(オレオレ証明書な)信用できないサイト」
6、「ルート証明書にぶら下がっていない(オレオレ証明書な)中間者ダミーサイト」
2や3なサイトは非オレオレ証明書であっても個人情報を送っては駄目ですし、4であればオレオレ証明書であっても個人情報を送るのに