パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Chrome 45のセキュリティ改善により、開けないサイトが現れる(更新)」記事へのコメント

  • たとえ、脆弱な SSL/TLS 通信であっても HTTP(平文)よりは安全な場合には、アクセス不可にしたり、警告メッセージを表示したりする必要はないでしょう。こういったことがあると、HTTPS から HTTP への移行 [security.srad.jp]が行われるようになり、かえってセキュリティレベルを悪化させます。

    どうすれば良いかというと、ブラウザは、脆弱な SSL/TLS に対して鍵マークを表示したりアドレスバーの色を平文通信と変えたりせずに、http(平文)のサイトと全く同じようにユーザーに見せれば良いでしょう。最近のブラウザはアドレスバーをクリックしない限り「http://」を表示しないので、脆弱な

    • by Anonymous Coward

      クライアント側でのフォールバックを許すと、中間者攻撃にかなり弱くなりますよ。新しいプロトコルのパケットを妨害することで、強制的に古いプロトコルにフォールバックを起こさせることが可能になるので。

      • クライアント側でのフォールバックを許すと、中間者攻撃にかなり弱くなりますよ。新しいプロトコルのパケットを妨害することで、強制的に古いプロトコルにフォールバックを起こさせることが可能になるので。

        確かに、クライアント側でのフォールバックを許すと、中間者攻撃に対して脆弱です。

        しかし、「HTTP(平文)」より危険という訳ではないので、HTTP(平文)で表示されない警告を出したり、接続を拒絶したりする必要はないのでは?

        「クライアントサイドでのTLS 1.0へのフォールバックを廃止」して当該サイトへの接続を不可にするのではなく、クライアン

        • by Anonymous Coward on 2015年09月06日 22時02分 (#2877629)

          いや、それではダメです。セッションの途中でTLS 1.0にフォールバックさせられた場合、GETやPOSTのパラメータが予期せず弱いプロトコルで流れてしまいます。やっぱり接続不可は正しいと思いますよ。

          親コメント
          • by Anonymous Coward

            HTTPSページからHTTPページにPOST飛ばす時と同じ挙動にすりゃいいだけじゃねぇか。
            昔IEでは一々警告出てたアレ。HTTPよりは安全だしアレ並にする必要もなさ気だが。

            > セッションの途中でTLS 1.0にフォールバックさせられた場合
            フォールバック先で認証も改竄できるならその懸念も判るけど、
            そうでなければどこかしら矛盾が出るから検出できるんでない?

            • by Anonymous Coward

              そんなことするぐらいなら、現在Firefoxが行っているホワイトリストによる対応の方がはるかにマシですよ。

アレゲは一日にしてならず -- アレゲ見習い

処理中...