ブラウザの「SSL証明書が無効」という警告、5割以上のユーザーが無視

ブラウザの「SSL証明書が無効」という警告、5割以上のユーザーが無視 80

ストーリー by hylom 2009年07月28日 15時56分
初期の啓蒙不足が尾を引く？部門より

あるAnonymous Coward 曰く、

Webブラウザが表示する「SSL証明書が無効」という旨の警告について、55％～100％のユーザーが無視しているという調査結果が明らかになった（ComputerWorld.jp）。
カーネギーメロン大の研究者らが執筆した報告書によると、400名以上のWeb利用者を対象にオンライン調査を行い、その後100名のユーザーをラボに招いてWebを閲覧する様子を調査したという。その結果、信頼できるサイトであれば多くのユーザーが警告メッセージを無視し、信頼できないサイトについては警告に対して慎重な姿勢を取る、というユーザー行動が検出されたそうだ。
また、Firefox 3では警告メッセージがより大きく表示されるようになったが、これによりユーザーが警告を無視してサイトを閲覧する割合は減ったとののこと。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索80コメント Log In/Create an Account

Firefox 3.5ではさらに改善されてる (スコア:4, 参考になる)

by Anonymous Coward on 2009年07月28日 16時09分 (#1613158)

信頼できるサイトであれば多くのユーザーが警告メッセージを無視し、信頼できないサイトについては警告に対して慎重な姿勢を取る

そもそも自分がその「信頼できるサイト」相手につないでいるかどうかが疑わしいということを理解していないからこういう行動を取ると思われるわけですが、このためかFirefox 3.5からは
信頼できない接続 (タイトルバーの表示)
接続の安全性を確認できません
www.example.com に安全に接続するように求められましたが、接続の安全性が確認できませんでした。

のように、サイトではなく接続に問題があるのだということをさらに強調するようなメッセージになりました。接続を続行しようとすると、ダメ押しに
ただし、たとえこのサイトが信頼できるサイトであっても、誰かが通信を改ざんしているからこのエラーが表示されている可能性があるので十分に注意してください。

とも表示されます(太字も原文ママ)。まあいくら警告しても読んでもらえなければ意味がないのですが。
ところでカーネギーメロン大学は関連ストーリー [srad.jp]にあるPerspectives [cmu.edu]を開発した大学ですね。ComputerWorlsの取材に「無効な証明書を使った攻撃だと判断した場合は、アクセスを強制的に遮断するようにすべきだ」と答えているのは、やはりPerspectivesを念頭に置いているのでしょうか。
- Re:Firefox 3.5ではさらに改善されてる (スコア:5, すばらしい洞察)
  
  by Anonymous Coward on 2009年07月28日 16時34分 (#1613178)
  
  うーん、それでもまだ長くて読めない、という人もいそうですから、
  「改竄の『可能性があります』」じゃなくて「『たぶん』盗聴されてます」
  ぐらいにしたほうが良いのかもしれません。
  「銀行だから大丈夫だろう」っていうのだから、
  「銀行やお店などで、この警告が出るのは《異常事態》です」
  と知らせる必要がありますね。
  
  シェア
  
  親コメント
  - Re:Firefox 3.5ではさらに改善されてる (スコア:2, 参考になる)
    
    by rin_penguin (9144) on 2009年07月29日 10時42分 (#1613674)
    
    ちなみにFxでは、冒頭の警告を無視してその怪しい証明書を受け入れようとすると、
    -----------------------------------------------------------------------------
    例外的に信頼する証明書としてこのサイトの証明書を登録しようとしています。
    本物の銀行、通信販売、その他の公開サイトがこの操作を求めることはありません。
    -----------------------------------------------------------------------------
    という警告(bold含めて原文ママ)が出てきます。
    # よくぞそこまで言い切った、と高木センセが褒めていた気がする。
    その上で[証明書を取得]→[セキュリティ例外を承認]と操作しないとアクセスできません。
    欲を言えば、「次回以降にもこの例外を有効にする」のチェックはデフォルトでは外して
    おいてほしかった。
    
    シェア
    
    親コメント
    - Re:Firefox 3.5ではさらに改善されてる (スコア:2)
      
      by fcp (32783) on 2009年07月29日 12時41分 (#1613748) ホームページ日記
      
      欲を言えば、「次回以降にもこの例外を有効にする」のチェックはデフォルトでは外しておいてほしかった。
      
      なぜそうなっていないかについて、 Mozilla Corporation の Johnathan Nightingale さんの説明を #1613243 [srad.jp] の人が紹介してくれていますのでどうぞ。
      
      シェア
      
      親コメント
  - Re:Firefox 3.5ではさらに改善されてる (スコア:1, 興味深い)
    
    by Anonymous Coward on 2009年07月28日 16時44分 (#1613187)
    
    銀行サイトとかについては、中の部長とかのエライ人が「これは何だね?」「ユーザーが疑問に思って当行の信用に関わるんじゃ?」と疑問に思う状況を作れば「それは早急に修正しなさい」ってなるんじゃないかな?
    
    いままでは「良くわからなくても、とりあえず OK ボタン押せばいいんです」という説明でごまかせるような表示だったかもしれませんが、明らかに疑問を喚起する作りになっているのであればとりあえずの目的には合致していると言えるでしょう
    
    シェア
    
    親コメント
    - Re:Firefox 3.5ではさらに改善されてる (スコア:2, おもしろおかしい)
      
      by nox_dot (11614) on 2009年07月29日 9時29分 (#1613641) 日記
      
      その結果、「firefoxではhttpsでも盗聴されているらしいので、IEを使った方が良いよ。」と言われてしまったりして・・・。
      
      シェア
      
      親コメント
    - Re:Firefox 3.5ではさらに改善されてる (スコア:1, 興味深い)
      
      by Anonymous Coward on 2009年07月29日 7時02分 (#1613613)
      
      >当行の信用に関わるんじゃ?
      >それは早急に修正しなさい
      ダメな銀行だと
      「それ」は「サイト」ではなく「ブラウザ」のほうだ、
      と判断する人が権力握ってそうだ。
      つまり「そんなブラウザは当サイトのサポート対象から外せ！」と言われる…
      エラーメッセージは、より「穏当」であるほうが望ましい、と
      本気で思ってる顧客には
      しばしば出会います。
      どう説明したものやら…orz
      さすがに銀行ではそんなこと無い、と思いたいですが…
      ＃あとエラーは「悟りのお化け」だということを理解してない開発者/社もしばしば居ますし。
      ＃例外の扱いなんてのは、今自分がエラーをどう扱いたいか、ではなく、下からどれくらいの深刻度のエラーが挙がってしまったか、で決めないとならないんだがな。
      
      シェア
      
      親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      IE8も誤魔化しの効かない表示になって喜ばしい限りなのですが、
      
      社内の報告システムで使っていたサーバの証明書が期限切れになりました。orz
      
      自己署名証明書＋フィンガープリント紙配布でいいから、対応してくれよ。
      お客さんの目に触れないとは限らないものなので、信用を損ねないかとヒヤヒヤです。
      現状では全く言い訳のしようが無い。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        それは本当に社内サーバの問題ですか？
        
        悪意のある誰かが、期限切れの証明書を入手あるいは捏造して偽サーバを構築し、LANケーブルをこっそり差し替えるか何かで偽サーバに繋げさせてるのではないでしょうか。
        本当のサーバはきちんと証明書は更新されてるんじゃないですか流石に。
        
        Re:Firefox 3.5ではさらに改善されてる (スコア:2)
        
        by okome (1916) <okomeNO@SPAMsiisise.net> on 2009年07月28日 22時52分 (#1613475) ホームページ日記
        
        偽の証明書ではなく期限切れの証明書(の秘密鍵)が入手できるのなら、正規の証明書(の秘密鍵)も同じように入手できそうです。
        正規の証明書をつかった偽サーバのできあがり。
        
        --
        okome
        
        シェア
        
        親コメント
        
        Re:Firefox 3.5ではさらに改善されてる (スコア:1, 参考になる)
        
        by Anonymous Coward on 2009年07月29日 2時29分 (#1613588)
        
        期限切れだから即偽造できるというものでもないですよね。残念ながらSSLの証明書は階層化されてます。
        
        ちゃんと認証局の署名のついた期限切れ証明書が期限切れて即偽造できるんなら問題でしょうが、十分に時間をかけなければ期限が切れていようがいまいが認証局の証明がついているかいないかぐらい見分けることはできます。
        期限切れの証明書なんて作れるなら期限も偽装して作れるはずですが、作れた頃にはブラウザ内のルート証明書や中間証明書の期限が切れてます。中間証明書の期限切れかサーバ証明書の期限切れなのか見ることで偽物かただの期限切れなのかわかります。
        
        それが何年くらいもつのかは、技術の進歩具合によるんでしょう。ルート証明書の期限が目安でしょうか。
        サーバの1年更新程度の証明書が数日ぐらい期限超えたものがあっても、わかる人は目くじら立てずに多めに見てもいいんじゃないでしょうかって気分です。
        VeriSignの署名付きの偽期限切れ証明書、できそうなら作ってみてください。楽しみです。
        
        シェア
        
        親コメント
    - - Re: (スコア:0)
        
        by Anonymous Coward
        
        意味が変わらなくても、他の意味に解釈されるような表現となってしまっては困るわけですが、
        例えばどのような縮め方がありますでしょうか。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        http://guideline.livedoor.biz/archives/51254216.html
        LESSON：2 Kanako：すいません。 Ken：あ？（どうしたのですか？） Kanako：駅へ行くには、どう行けば良いのですか？ Ken：は？（この道をまっすぐ行くと花屋があります、そこを右に曲がってください。） Kanako：ありがとうございます。 Ken：舐めてんのかてめぇ（どういたしまして）
        
        こうですね、わかります。
  - Re:Firefox 3.5ではさらに改善されてる (スコア:1)
    
    by ko-zu (30390) on 2009年07月28日 17時26分 (#1613231) ホームページ日記
    
    可能性を述べるより、ちょっと長くなっても主体的な表現にすべき所ですね。
    ルート証明が最新であることを確認した上で、
    未知の管理者による、不正なウェブサイトに接続しようとしています。
    続行すると、たとえウェブサイトを目的の通信相手が管理していたとしても、
    悪意のある第三者があなたの通信を盗聴できます。
    ウェブサイトの管理者に連絡し、正しく設定されたウェブサイトを作成してもらうか、
    盗聴の危険性を考慮して、パスワードなどの重要な情報を送信しないように注意してください。
    とかどうでしょう
    
    シェア
    
    親コメント
  - Re:Firefox 3.5ではさらに改善されてる (スコア:1)
    
    by renja (12958) on 2009年07月29日 2時52分 (#1613594) 日記
    
    >「改竄の『可能性があります』」じゃなくて「『たぶん』盗聴されてます」
    >ぐらいにしたほうが良いのかもしれません。
    それは不正確で、誹謗中傷や名誉毀損、威力営業妨害になる可能性もあります。
    いまだに「証明書のエラーは無視してください」な企業も少なからず存在します。
    また、多くの素人は「SSL証明書の信頼性」よりも、「相手企業の一般的な信頼性」の方を重視します。
    なぜなら、「SSL証明書」がなんなのか？その信頼性をどこが保証しているのか？どういうシステムになっているのか？といった「SSL証明書を信頼する根拠になる知識」がないからです。
    根本的に啓蒙がたりないのですね。
    
    --
    
    ψアレゲな事を真面目にやることこそアレゲだと思う。
    
    シェア
    
    親コメント
- Re:Firefox 3.5ではさらに改善されてる (スコア:4, すばらしい洞察)
  
  by Anonymous Coward on 2009年07月28日 17時03分 (#1613203)
  
  >まあいくら警告しても読んでもらえなければ意味がないのですが。
  というか、極言すると、なんぼ「警告」したって意味がない。
  ユーザーが知りたいのは「じゃあどうすればいいのか」なのであって。
  起こっていることを伝えるだけのメッセージでは、
  「そんなこといわれても俺はこのサイトを利用したいんだ! OK!」という人を止めることはできない。
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    もうね、分かりやすい表現がいいんじゃね。
    「盗聴されている恐れがあります。
    　ただちに切断しますか？」
    # この際正確性には目をつぶってもらおう。
    # 技術情報はクリックしたら確認出来るようにしておいてもらえばいいよ。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      「この通信は盗聴されています。接続を切断します。」
      でおk
      - そこで一言 (スコア:1)
        
        by vyama (6377) on 2009年07月28日 21時28分 (#1613426) ホームページ日記
        
        Firefox 「この通信な、盗聴されているんだ、盗聴。お前ら全員やばいんだぞ。」
        ユーザー「エディー!」
        # お約束
        
        --
        vyama 「バグ取れワンワン」
        
        シェア
        
        親コメント
      - 実際にある (スコア:0)
        
        by Anonymous Coward
        
        信頼できない証明書が使用されているため、接続できません。
        みたいなことを言ってくれる携帯電話やらが実際にいるという罠。
        そのサーバーは実機テスト用に立ててもらった信頼できないけど繋いでいいサーバーなんです、どうか何卒ご勘弁を・・・orz
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        やっぱり分かってないなぁ。
        #1613231の例文、
        未知の管理者による、不正なウェブサイトに接続しようとしています。
        続行すると、たとえウェブサイトを目的の通信相手が管理していたとしても、
        悪意のある第三者があなたの通信を盗聴できます。
        
        が正しいとすると、こういう警告を突破したいのは「善意の第三者に盗聴されてもしかたない」ケースなんだから、ダメったらダメいますぐ接続切って首つれとか言っても、それが受け入れられることはないよ。
        
        本番とテスト環境の区別が付いてない方が・・・ (スコア:0)
        
        by Anonymous Coward
        
        問題はそのサーバーが繋いでいいかどうかではありません。
        繋がっているのが本当にそのサーバーかどうかが証明できないのです。
        
        そんなのどーでもいーからテストさせてくれよー、と言いたい気持ちはわかりますけど、
        あなたが間違ったことを口走ってることは事実。
        事実ｗ何を馬鹿なことを。
        テストフェーズで使うSSL証明書は、テスト環境が本物であることを確認するために入れられるのではありません。
        本番環境が本物であることを確認させるために、そのSSLの環境に対応したアプリを開発するために使われるのです。
        別にテスト環境が本物であることを証明する必要はありま
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        問題はその テスト用 サーバーが繋いでいいかどうかではありません。
        繋がっているのが本当にその テスト用 サーバーかどうかが証明できないのです。
        こう書けばおバカさんにもわかるかな？
        
        Re:本番とテスト環境の区別が付いてない方が・・・ (スコア:1, 参考になる)
        
        by Anonymous Coward on 2009年07月28日 22時24分 (#1613455)
        
        ひょっとして、完全性や機密性がそれほど要求されないシチュエーションというのが理解できないのだろうか・・・？
        限られた関係者しか使わない状況下でもブラウザに完璧なセキュリティを要求されると困りますね、という話なんだが。
        誰がサーバーの完全性を保証してほしいなどと言ったのだ？
        それとも、1000円を保管するためでも必ず10万円もするような金庫が必要だというのか？
        リスクに見合った対策をするのは当たり前 [kogures.com]だぞ？
        
        シェア
        
        親コメント
        
        Re:本番とテスト環境の区別が付いてない方が・・・ (スコア:1)
        
        by bero (5057) on 2009年07月29日 17時28分 (#1613965) 日記
        
        完全性や機密性がそれほど要求されないシチュエーションならhttpでいいのでは？
        man-in-the-middleで盗聴/改変される可能性がある環境では、httpも信頼できない証明書によるhttpsも完全性や機密性に差はありません。（ここ重要。httpと信頼できる証明書によるhttpsの中間と思ってる人がいるようですが）
        限られた関係者しか使わない状況下なら、関係者のブラウザにあらかじめ俺俺証明書を手動インストールして（関係者が）「信頼できる証明書」にしてしまえばいい。
        前述のテスト環境の話で言うなら、（携帯は知らないけど手動インスコできないなら）「完全性や機密性が要求される実環境で動くかどうかのテスト」でもあり、かつ「証明書は今3000円/年くらいから」なので許容できるコストだと思いますが
        
        シェア
        
        親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      > # 技術情報はクリックしたら確認出来るようにしておいてもらえばいいよ。
      Firefoxはまさにそうなってますけど。
      まあまだ前口上が長すぎるかもしれませんが「切断しますか?」と尋ねてクリック1回で続行できるような構造にはなっていません。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    去年、某有名企業が提供しているウェブメールにログインしようとしたら、
    複数の端末で「セキュリティ証明書に問題があります」と表示される
    ようになったので、その旨問い合わせたところ
    
    ・接続しているサーバが自己証明書を利用している場合、ユーザの
    パソコンに登録されている証明書の情報では証明書を確認できない
    ため、その表示が出る
    ・ユーザ側で対応の必要はない
    ・問題ないので安心してください
    
    という趣旨の返答がきました。
    
    「どうすればいいのか」という問いに対する正解は、「その企業ごと全部
    利用しない」ですか？
    
    ＃そういうわけにもいかない
    - Re:Firefox 3.5ではさらに改善されてる (スコア:1)
      
      by sakamoto (8009) on 2009年07月28日 20時58分 (#1613405) 日記
      
      ユーザー側で対処できることはないのだから、サーバー側に落ち度があるとはっきり表示しないとだめだな。
      
      「このサーバーは乗っ取られました」
      
      「このサーバーの設定は間違っているため、サービスを使用できません」
      
      「サーバー管理者のセキュリティ感覚が劣っています。問い合わせても正常な対処法は得られないかもしれません」
      
      とか表示するとか。
      
      --
      -- 哀れな日本人専用(sorry Japanese only) --
      
      シェア
      
      親コメント
    - - 直接行っても (スコア:2)
        
        by fcp (32783) on 2009年07月29日 9時37分 (#1613649) ホームページ日記
        
        その企業に直接行って、自己署名証明書の内容を確認してくる、というのもいいんじゃないでしようか。
        
        会社の所在地をその会社のウェブサイトで調べて、会社を訪問して証明書の内容を確認してきたのでさあ安心と思ったら、じつはウェブサイトに書かれていた所在地も改竄されていて、訪問した会社自体が巧妙に似せた偽物だった、とか。
        
        シェア
        
        親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    ユーザーが知りたいのは「じゃあどうすればいいのか」なのであって。
    
    それもズバリ表示されてます。
    どうすればよいのか？
    これまでこのサイトに問題なく接続できていた場合、このエラーが表示されるのは誰かがこのサイトになりすましている可能性があるということであり、接続すべきではありません。
    
    自ら詐欺にかかりたがっている奴に何言っても無駄だからって、振り込め詐欺の注意喚起そのものが無意味ということにはならないでしょう。
- Re:Firefox 3.5ではさらに改善されてる (スコア:1)
  
  by s02222 (20350) on 2009年07月28日 18時06分 (#1613269)
  
  >とも表示されます
  
  敵の次の一手は、「ただし、たとえこのサイトが(中略)注意してください。」で検索すると、「このエラーで困ったときはこのパッチ当てればOK」と懇切丁寧に手順まで書いてあるサイトが検索の上位に来るようがんばることでしょうか。
  
  # パッチと言わずキーロガーでもインストールさせりゃ、とも思ったけど、
  # それじゃ明らかに犯罪になっちゃうので、配布サイトは法的手段で潰されやすい。
  # 一方、危険改造版FireFoxは改悪が比較的簡単だし、改造・配布してもなお合法。
  ## だから、オープンソースじゃないブラウザの方が安全なんだよ!! ・・・というキャンペーンが起こらないことを祈る
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    # 一方、危険改造版FireFoxは改悪が比較的簡単だし、改造・配布してもなお合法。
    Firefoxを名乗るのにはそれなりの条件 [mozilla-japan.org]を満さないと違法ですが。
    - Re:Firefox 3.5ではさらに改善されてる (スコア:1)
      
      by s02222 (20350) on 2009年07月28日 21時16分 (#1613420)
      
      なるほど。
      
      >さらに、変更されたソフトウェアのユーザが正規の Mozilla 製品を使っていると勘違いしないようにするため、実行ファイルの名称も変更しなればなりません。
      
      とか、この程度の悪巧みはすでに対策済みなんですね。
      
      シェア
      
      親コメント
- Re:Firefox 3.5ではさらに改善されてる (スコア:1)
  
  by narunaru (30931) <{mikahosi} {at} {abox9.so-net.ne.jp}> on 2009年07月28日 19時02分 (#1613325)
  
  その点、OutlookなどのMUAの電子署名に関する警告は良く考えて作られていますよね。WEBブラウザもスピードとか、ユーザビリティとか、かっこよっさとかの前に、基本に立ち返って警告メッセージのあり方を考えるべきだと思います。
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  こういう話もありますね。
  http://blog.johnath.com/2008/11/06/ssl-error-pages-in-firefox-31/
  We still default to permanent exceptions. Sometimes people ask why we don’t do temporary exceptions which, being a lesser amount of trust, ought to be a safer default. The problem is, defaulting to temporary means that users see these error pages more often, which teaches them to ignore them. It also eliminates the modicum of protection we build up by being able to detect when a trusted self-signed cert changes. Ad
- Re: (スコア:0)
  
  by Anonymous Coward
  
  接続できる仕様にしておいて接続したら危機管理がなってないって言うぐらいなら最初から接続できなくすりゃいいのに。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  Firefox3.5の警告が大きく出て、接続するために数クリック必要なデザインはいいと思うのですが
  危険性を分かった上で接続するときの設定に不満があります
  警告画面で例外を追加→証明書を取得→セキュリティ例外を承認とクリックしていくときに
  「次回以降にもこの例外を有効にする」というチェックボックスがデフォルトで有効になっていて
  いちいちこのチェックボックスを外すのが面倒です
  何故、このような設定になっているのでしょうか。
日本国政府での例 (スコア:3, 参考になる)

by Canadian (31348) on 2009年07月29日 0時52分 (#1613544)

既に一部ではよく知られる例ではありますが，Firefox , Safari で（たぶん Operaでも）政府認証基盤 [gpki.go.jp]にアクセスしてみると「信頼できない接続」扱いされます。
https を使う政府の電子申請などで政府認証基盤の証明書が利用されていますが，そこで同じ目にあったため，大元の「政府認証基盤の証明書が正しいのかどうか」を探しに来たらこんな目に遭ってしまうのでは，ユーザとしては警告を無視してでも「とりあえず見てみる」という選択肢はあり得るのではないでしょうか。

一応，この場合，政府認証基盤の自己証明書フィンガープリント [gpki.go.jp]が平成20年2月25日の官報で公示 [gpki.go.jp]されていることが示されていますので，この証明書の正当性を検証する方法はあります。面倒ですが。
＃手元の MSIE8 on Windows XP はこの証明書を持っていました。政府関連の手続きは最新版の Internet Explorer を推奨ブラウザとしておけば問題ないのかもしれません。
Operaの場合 (スコア:2, 興味深い)

by funakichi (28497) on 2009年07月29日 0時05分 (#1613516)

神経質すぎ [hatena.ne.jp]かしらん？
ブラウザ云々より (スコア:2, すばらしい洞察)

by Anonymous Coward on 2009年07月29日 0時51分 (#1613542)

警告が出てしまうようなところが多すぎるんじゃないですかね(´･ω･`)
- Re:ブラウザ云々より (スコア:2)
  
  by snd (14690) on 2009年07月29日 10時46分 (#1613677)
  
  うん。
  そもそも、警告を無視するひとが多い原因は、これだと思います。
  警告が出るサイトのうちで、危険なサイトの割合がもっと上がっていけば、状況は多少変化するかも。
  
  シェア
  
  親コメント
いっぽうスラドは (スコア:0)

by Anonymous Coward on 2009年07月28日 16時06分 (#1613154)

鉛筆を使った．
- Re:いっぽうスラドは (スコア:1)
  
  by kicchy (4711) on 2009年07月28日 16時21分 (#1613172)
  
  httpを使った、だろ
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    いっぽう、俺は、
    スラドにアカウントを作らなかった。
- 一方ロシアでは (スコア:0)
  
  by Anonymous Coward
  
  コップに氷を入れなくてもチェスが終わるまでワインは冷たいままということを知った
ぶっちゃけ自分は無視することが多い (スコア:0)

by Anonymous Coward on 2009年07月28日 21時40分 (#1613432)

とくに重要な情報をやりとりしない場合はかなりの頻度で無視。
だって素のhttpでつながるのとリスクは変わらないもの。
証明書の管理ができないならSSLなんて使うなよとは思うけど、
実際のところその程度で目くじら立ててたら疲れて仕方ない。

もちろん、個人情報を送信させるようなページで証明書が
切れてたらかなり問題だけど、期限切れの証明書自体を
撲滅する勢いで糾弾するのは、人並みはずれたバイタリティの
持ち主か、利害関係者でもないと現実的じゃないと思う。
- - Re:ぶっちゃけ自分は無視することが多い (スコア:1)
    
    by njt (4968) on 2009年07月29日 12時12分 (#1613713) 日記
    
    必ずしもそうでもないと思います。ブラウザの実装依存の問題でもありますが、「問題なさそうなときは押していい」という習慣をつけるのはハイリスクです。
    それほどセンシティブでない個人情報、例えばメールアドレスを保護するために、そういういい加減なSSLサイトを立ててたとして、そのときは「プレゼント応募のためのメールアドレスとアンケート内容くらい、偽サイトだったとしてもまあいいや」でOk押したとします。
    その後、その会社がオンラインショッピングを始めたとき、もしかするとそのサイト証明書は「Ok」な
    リストに入っていて、ダイアログは出ないかもしれません。
    つまり、その場合には「個人情報を送信させるようなページ」だけではなく「個人情報を送信させることになるかもしれないサイト」について判断しなければなりません。これはブラウザの実装が良くないと言えますが、そもそも「警告出たらOk押さない」という単純なルールを守っていれば問題になりません。
    あなたの証明書ストアには信頼していいサイトの証明書だけが入っていると確信していますか？
    
    シェア
    
    親コメント
    - - Re:ぶっちゃけ自分は無視することが多い (スコア:1)
        
        by njt (4968) on 2009年07月29日 13時20分 (#1613796) 日記
        
        「１回アクセスするだけ≠恒久的なリストに加える」と思っているのはあぶないと思いますよ。Firefox 3 では、「１回アクセスするだけ＝恒久的なリストに加える」 [takagi-hiromitsu.jp]だったかと思います（やらないことにしているので自分では未確認ですけど）。これもブラウザの実装として一つの選択肢ということなので、同様の方針で実装されているブラウザはFirefox3だけではないかもしれません。この日記では、恒久的なリストに加えなかったとしても、立ち上げっぱなしのブラウザだと一時的にOkした状態が何週間も続くので危険だという点についても考察されていました。
        
        シェア
        
        親コメント
UACの憂鬱 (スコア:0)

by Anonymous Coward on 2009年07月28日 21時53分 (#1613440)

大きなダイアログでしつこく警告を出す、のをほめる人は、
UACをほめてあげてください。
間違っても、FirefoxはほめてUACはけなすようなマネには走らないでください。
それは病気です。
- Re:SSLは知ってる！暗号化して盗聴を防ぐやつでしょ(ｷﾘｯ! (スコア:1)
  
  by rbinro (36658) on 2009年07月30日 11時42分 (#1614296) 日記
  
  開発者ってこの辺り気にしない人が多いですよね。
  知らないってのが正しいのかな。
  オレオレ証明書を承認するようなページはだいぶ減ったのでしょうか。
  
  シェア
  
  親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Firefox 3.5ではさらに改善されてる (スコア:4, 参考になる)

Re:Firefox 3.5ではさらに改善されてる (スコア:5, すばらしい洞察)

Re:Firefox 3.5ではさらに改善されてる (スコア:2, 参考になる)

Re:Firefox 3.5ではさらに改善されてる (スコア:2)

Re:Firefox 3.5ではさらに改善されてる (スコア:1, 興味深い)

Re:Firefox 3.5ではさらに改善されてる (スコア:2, おもしろおかしい)

Re:Firefox 3.5ではさらに改善されてる (スコア:1, 興味深い)

Re: (スコア:0)

Re: (スコア:0)

Re:Firefox 3.5ではさらに改善されてる (スコア:2)

Re:Firefox 3.5ではさらに改善されてる (スコア:1, 参考になる)

Re: (スコア:0)

Re: (スコア:0)

Re:Firefox 3.5ではさらに改善されてる (スコア:1)

Re:Firefox 3.5ではさらに改善されてる (スコア:1)

Re:Firefox 3.5ではさらに改善されてる (スコア:4, すばらしい洞察)

Re: (スコア:0)

Re: (スコア:0)

そこで一言 (スコア:1)

実際にある (スコア:0)

Re: (スコア:0)

本番とテスト環境の区別が付いてない方が・・・ (スコア:0)

Re: (スコア:0)

Re:本番とテスト環境の区別が付いてない方が・・・ (スコア:1, 参考になる)

Re:本番とテスト環境の区別が付いてない方が・・・ (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re:Firefox 3.5ではさらに改善されてる (スコア:1)

直接行っても (スコア:2)

Re: (スコア:0)

Re:Firefox 3.5ではさらに改善されてる (スコア:1)

Re: (スコア:0)

Re:Firefox 3.5ではさらに改善されてる (スコア:1)

Re:Firefox 3.5ではさらに改善されてる (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

日本国政府での例 (スコア:3, 参考になる)

Operaの場合 (スコア:2, 興味深い)

ブラウザ云々より (スコア:2, すばらしい洞察)

Re:ブラウザ云々より (スコア:2)

いっぽうスラドは (スコア:0)

Re:いっぽうスラドは (スコア:1)

Re: (スコア:0)

一方ロシアでは (スコア:0)

ぶっちゃけ自分は無視することが多い (スコア:0)

Re:ぶっちゃけ自分は無視することが多い (スコア:1)

Re:ぶっちゃけ自分は無視することが多い (スコア:1)

UACの憂鬱 (スコア:0)

Re:SSLは知ってる！暗号化して盗聴を防ぐやつでしょ(ｷﾘｯ! (スコア:1)