パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Google、Chrome 94 以降で HTTPS 優先モードを導入する計画」記事へのコメント

  • 今どきフィッシングサイトもhttpsだし、DV証明書は相手の存在を全く保証しないので「安全の担保」には程遠い。
    あと企業NWみたいな所ではhttpsだろうが傍受されて中身は覗かれてるし、httpsの「経路は安全」ってのもかなり嘘。
    唯一httpsが有効に機能してる例は、悪意のある野良wi-fi経由で傍受されても大丈夫って所だけ。

    httpを過度に危険視することで「httpsは安全」という誤解を招いてる方が有害だと思う。

    • by Anonymous Coward

      安全策には必ずこういうアレルギー反応出るけどまあ恒例。

      ノーヘルを過度に危険視する事でヘルメットしてれば運転は安全という誤解を…

      みたいなもんだね。平文通信はありえない、これが最低限でしょ。

      • by Anonymous Coward

        安全策には必ずこういうアレルギー反応出るけどまあ恒例。

        ノーヘルを過度に危険視する事でヘルメットしてれば運転は安全という誤解を…

        みたいなもんだね。平文通信はありえない、これが最低限でしょ。

        インターネットの特性上、むしろ「平文でも構わない」って通信の方が多いよ。
        一方で「絶対に傍受されては困る」通信もある。
        その間ってものはない。

        ブラウザが実装すべきなのは「平文でも構わないものを強制暗号化」するより
        「傍受されている可能性」を検出して警告出すことだと思うよ。

        • by Anonymous Coward

          平文通信は、その「傍受されている可能性」が高いから警告出してるんでしょうに。

          • by Anonymous Coward on 2021年07月18日 22時04分 (#4073654)

            だったら傍受されてるSSLも警告出さないといけない。
            片手落ちなんだよ。

            親コメント
            • by Anonymous Coward

              少なくとも検出可能な傍受の可能性をまず警告することに問題はないでしょ。
              両手落ちてるよりは、片手だけでも凌ぐべき。
              傍受されるSSLの検出は困難な場合が多い。(傍受自体も困難だけれども)

              • by Anonymous Coward

                傍受されてるSSLの検出って技術的にはそれほど困難ではなくて、自己署名証明書がサイト証明書に使われてると100%ビンゴ。
                あと「ブラウザ開発元が信用したルート証明書以外」では、全て何らかの警告を出すこと(○○組織によって署名されています等)でも対応できる。
                傍受を検出したら強制終了させるサイトもあるよね。そういうところはデコード除外設定するしかないってのをNW運用してれば経験するはず。

                現実問題として傍受されてるSSLって100%ロギングされてるので、傍受されてるかされていないか不明なHTTP通信以上に危険な存在だよ。
                なので片手落ちって話。より危険なものを認知できる手段を用意しないのに、それよりは低い危険性をさも「最も危険な通信」みたいに煽るなと。

              • by Anonymous Coward on 2021年07月19日 1時13分 (#4073716)

                傍受検出で強制終了ではないけど、怪しい証明書を見かけたら報告するぞって仕組みは始まろうとしている。

                Opt-out SCT Auditing in Chrome [google.com]

                ただ、ウェブブラウザの証明書関係の機能、チェーンを辿るとプライベートなルート認証局だった場合はだいたい適用除外になる印象だよね。その点あまり期待できない。

                親コメント
              • by Anonymous Coward

                そんな簡単なものは検出と言うまでもないでしょ。
                難しいのは、正規のルート証明書を不正利用されたもので、過去にも何度か問題が起きている。

              • by Anonymous Coward

                それは次元の違う問題。DVもEVも見分けることが困難になった現在は些細な問題。

                あと正規ルートの証明書は傍受には使えない。
                傍受製品はオレオレ証明書を動的作成したりTLDが*とか絶対に正規発行されない奴を使う。

              • by Anonymous Coward

                ターゲットを動的に変えにくいだけで、なりすまして攻撃したい相手に対しては、暗号化なしのHTTPと同じくらい傍受は簡単でしょ。
                クライアントサイドの傍受とサーバーサイドの傍受を勘違いしていないか?

開いた括弧は必ず閉じる -- あるプログラマー

処理中...