アカウント名:
パスワード:
http://d.hatena.ne.jp/giugno/20081017/1224233294 [hatena.ne.jp]にあるように、SSLでも平文通信というのが可能なようです。これを利用者側から見分ける方法というのはあるのでしょうか?
ある意味、オレオレ証明書よりもひどいと思うのですが。
暗号化なしだけを有効にした HTTPS サーバを立てて通信を試みてみました。
Chrome (18) では、
エラー 113 (net::ERR_SSL_VERSION_OR_CIPHER_MISMATCH): 不明なエラーです。
となり接続できませんでした。
IE 9 (Win7) では、
Internet Explorer ではこのページは表示できません
この問題は以下のような様々な原因によって発生します:•インターネット接続が切断された。•Web サイトが一時的に利用できない。•ドメイン ネーム サーバー (DNS) に到達できない。•ドメイン ネーム サーバー (DNS) に、この Web サイトのドメイン名の一覧がない。•アドレスに入力の間違いがある可能性がある
> これを利用者側から見分ける方法というのはあるのでしょうか?
っsniffing
WireSharkでパケット眺めるとか :-)
> ある意味、オレオレ証明書よりもひどいと思うのですが。
やり取りする内容次第ですね。中間者による盗聴が問題になるようなケースで使用しているならひどいと思いますが、改竄が問題なケースで使用しているのであれば別に問題があると思いません。
盗聴されても構わないが改竄されては困るというのはかなり限定された状況ではあると思うんで、素人が混乱しないように常に暗号化しとけって噛みつきたくなる気持ちもわからんではないですが。
たいていのまともなブラウザはそんなCipherSuite許可していないので気にする必要ない
標準設定の近代的なブラウザは全て、↑と設定されたwebサーバと接続しようとすると、デフォルトではエラーが表示されて接続できません。
気にしなくて良いです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
SSLでも平文通信 (スコア:1)
http://d.hatena.ne.jp/giugno/20081017/1224233294 [hatena.ne.jp]
にあるように、SSLでも平文通信というのが可能なようです。
これを利用者側から見分ける方法というのはあるのでしょうか?
ある意味、オレオレ証明書よりもひどいと思うのですが。
Re: (スコア:0)
暗号化なしだけを有効にした HTTPS サーバを立てて通信を試みてみました。
Chrome (18) では、
となり接続できませんでした。
IE 9 (Win7) では、
Re: (スコア:0)
> これを利用者側から見分ける方法というのはあるのでしょうか?
っsniffing
WireSharkでパケット眺めるとか :-)
> ある意味、オレオレ証明書よりもひどいと思うのですが。
やり取りする内容次第ですね。
中間者による盗聴が問題になるようなケースで使用しているならひどいと思いますが、
改竄が問題なケースで使用しているのであれば別に問題があると思いません。
盗聴されても構わないが改竄されては困るというのはかなり限定された状況ではあると思うんで、
素人が混乱しないように常に暗号化しとけって噛みつきたくなる気持ちもわからんではないですが。
Re: (スコア:0)
たいていのまともなブラウザはそんなCipherSuite許可していないので気にする必要ない
Re: (スコア:0)
標準設定の近代的なブラウザは全て、
↑と設定されたwebサーバと接続しようとすると、
デフォルトではエラーが表示されて接続できません。
気にしなくて良いです。