アカウント名:
パスワード:
違います。それはHTTPがセキュアでないことを葉書の例で説明している部分を取り出しているだけです。最後まで読むと、ウェブ全体がHTTPSを使わないのはなぜかと問いかけています。
But if HTTPS is more secure, why doesn't the entire Web use it? [arstechnica.com]
さらに、このリンク先の記事を見れば、
So the Web is clearly moving toward more HTTPS connections; why not just make everything HTTPS?
と問いかけていて、ログインに限った話ではないことは明らかですね。
大事な前提: reo
これは、サーバも通信もセキュアにしても書かれている内容はセキュアじゃないかも、という深淵なメッセージが秘められていたに違いない(キリッ
IPSやWAF、UTMに積んでいるAnti-Virusといった機能は、HTTP(クリアテキスト)のトラフィックを監視して、SQL InjectionやHTTPでダウンロードされるマルウェアの感染を遮断してくれてるわけですが、HTTPSになるとこれらの機能が使えなくなります。(サーバサイドはSSLアクセラレータの後ろに設置すれば良いかもだけど、クライアント側は無理)。会社から特定SNSへの書き込みを禁止するといった製品も、原理的に同じ事をしてるはずです。
すべてがHTTPSになると、むしろ危険になるような面もあるかも。
そのうちUTMがクライアントに渡すアドレスを書き換え始めて、ファイアウォールの中は全部平文で流れるように…
# 字義通りのワイヤタッピングの復権!
/.は?
https://slashdot.org/ [slashdot.org]httpに飛ばされる
https://srad.jp/ [srad.jp]「正常に接続できませんでした slashdot.jp のサーバへの接続を確立できませんでした。」
by Firefox 3.6.x
ですよねー
ユーザー認証が必要な全てのWebサイトはHTTPSを導入してもいい気がする。
コストといえば普通、導入や運用の手間も含めます。オープンソースのコスト、という言い方をしますよね。1年無料のものを毎年更新して差し替えるより、5年50$とかを買ったほうがたぶんコストは低い。あとStartComは使えないブラウザがあったので(今はシラネ)「使えねー」というクレームに対応する手間も考える。更新自体が趣味や勉強なら別だが。
#高木氏のページがSSLエラーになったので「彼がオレオレ証明書って紺屋の白袴か?」と思ったらStartComだった
オレオレ証明書が氾濫するかも…そんなのは嫌だ!
おっと、既出でしたね。
M1で沈めて下さい…
#既出なのでACのmarute
>てか、このコメントをうめるために、さらにモデレート権を無駄にさせるつもりですか?
という、このコメントをうめるために、さらにモデレート権を無駄にさせるつもりですか?
アカウント保持者全員に一日一回モデ権を使えるとかじゃあだめなの?ACでも結構いいコメントが埋もれていてもったいない気がする。
仁科かわいいよACAC
手間やお金もかかるのもありますが、証明書を使う上でIPやドメインの紐付けが必要になりますが、共用だったりWebサーバーのバージョンによっては複数もてなかったりとか色々と制限があることも多いです。全部SSLにすればよりセキュアなのかもしれませんが、必要なところに必要に応じてセキュアにすればいいだけかと。
プライバシーに関連するデータの転送にはHTTPSを選択できるサービスが増えている印象があります。
けれどボタンを埋め込んだりしていると、twitterで一部のJavaScriptファイルがhttpsで取得できなかったり、GoogleでJavaScript中に埋め込まれているリンク等のアドレスがhttp固定で、ブラウザから警告された経験があります。
それ自体は安全性やプライバシーに問題がでるものではないですが、警告を無視する癖がつくのは良くないなぁと思っています。
Google Analyticsのトラッキングコードは、昔はhttpで外部スクリプトを読むだけだったのでhttpsページでは警告が出てましたが、現在は小さなスクリプトで現在の接続を見てhttpまたはhttpsで動的に読むようになっているので、httpのみのページをhttps対応にする際は見直しを#AdSenseはシラネ
AdSenseのコードはhttpで決め打ちですねぇ。SSL に対応した広告コードは提供されていますか。 [google.com]
ということはAdSenseを使用しているスラドもSSL対応すると警告が出まくると。
>現在の大規模なサーバではCPUで処理してるんでしょうかね?それともやはりSSL>アクセラレーターを使ってるんでしょうか。
場合によるよね。大規模な環境ではロードバランサを利用してるだろうからL7で制御したかったら、好き嫌いなくロードバランサでほどかないとできないってことで結果的にSSLアクセラレータを使ってるよ。
でも、かなりピークの激しい証券さんがOSS利用の講演をしてくれた時に、最近のIAサーバではSSLアクセラレータが欲しい事はほぼ無いよって言ってたっけ。それにうちもASPのビジネスをやってるけど欲しいって思うシチュエーションが見当たらないよ。アプリとかミドルウェアの処理速度が先に問題になるし。
カスタマーの証明書に対する安全意識が麻痺するような気がする
発想の転換というか……、本家でも書かれていますが、オレオレhttps を https として扱うから安全意識うんぬんの話になるのであって、ダダモレ http と同じものとして扱えば大丈夫なのではありませんか? http://tech.slashdot.org/comments.pl?sid=2047006&cid=35558680 [slashdot.org]
アドレスバーの色も変えない、その代わり警告も出さない。
じゃあ http でええやん、ということになりますが、とりあえずその(誰だかわからない)証明書の持
>とりあえずその(誰だかわからない)証明書の持ち主との経路では暗号化されますし
ものすごく的確な故に誤解を誘う書き方だな。確かに「証明書の持ち主」という書き方であれば、暗号化通信は担保される。しかしオレオレの問題は「証明書の持ち主」=「オレオレサイトの持ち主」であることを検証できない点にあり、「どこの誰とも分からないオレオレサイト」と繋がってるかどうかすら保障できないということを、どれだけの人が理解できているだろうか。
>「どこの誰とも分からないオレオレサイト」と繋がってるかどうかすら保障できないということを、>どれだけの人が理解できているだろうか。
それは理解できなくていいものとしてオレオレ証明書をhttp扱いする、という提案なんです。普通のhttp だって、そこは担保されてないんですから。(ブラウザの使い始めは、google にクエリを出す時さえ警告されますよね、確か)
ブラウザの反応は現状:「おいおい httpsって言ってるのにルートねえよ、ヤベーって!」
ですが、httpsっていうだけで高い要求をせずに、「はいオレオレですね、クレカ番号は入れないでくださいねー」という(http と同じ)反応にしてもいいんじゃないかと。
それは理解できなくていいものとしてオレオレ証明書をhttp扱いする、という提案なんです。
それよりもブラウザに「オレオレ」と赤い文字で表示すればいいだけだと思う。 それが何を意味するのか知っている人は知っているなりにアクセス(する|しない)し、知らない人はどうせhttpと同じように何も考えずにアクセスするのだから。 そして「オレオレ」表示が出るのが嫌なサイトオーナーはそれが出ないように(考える|下請けに指示する)ようになるだろうし。
安全性が疑わしい状況で根拠もなく「安全です!安全です!」って言う奴は、そこいらの見知らぬ人より断然胡散臭く感じるんだが…
あー、他意はありません、念のため。
信頼できない認証局 [srad.jp]が発行した証明書よりも信頼できる方法で検証可能な第四種オレオレ証明書 [takagi-hiromitsu.jp]の方がずっとセキュアだと思うのですが…まぁ不特定多数に公開するには向かないのですが、企業内で使うグループウェアなどで用途はあります。オレオレ証明書は悪、認証局発行の証明書は善といった二元論にならないことが大事ですね。
1. 金がかかる。2. セットアップに多少手間がかかりめんどくさい。3. 1.と2.併せて定期的に更新する必要がある。4. 特に秘密にする必要もないし、所在についてもそんなに気にする必要がない、または外部DNSによりある程度は保証されている。5. IPSによるが、httpsだとIPSが攻撃コードを検知できない。
2048bit、3階層パータンが定着しつつあるが、元々が…(走召糸色木亥火暴)
え~し~は脳内補完でV
このストーリを読んで、下記の記事を思い出しました。http://takagi-hiromitsu.jp/diary/20080703.html [takagi-hiromitsu.jp]高木浩光@自宅の日記 - EV SSL導入に伴い生じ得る特有の脆弱性
閑話休題、https については、wikipedia の記述も参照すべきでしょう。http://ja.wikipedia.org/wiki/HTTPS [wikipedia.org]
実際にはHTTPSはWebブラウザとWebサーバの間の通信を暗号化して、盗聴を防いでいるに過ぎない
クライアントとサーバ間の盗聴が回避できるだけでも、安全性が高くなることは事実です。しかし、隠匿を要する通信ばかりでもないと思うのです。例えば、/.jp のような bbs サイトで、ログイン情報以外の、閲覧・コメント投稿などが盗聴されたが為に、激しく困るような事態は、想像し難い気がします。
何が何でも、全てのサイトに https を適用するという意見は、やや大げさであるように思えます。
// キャプションが「前妻との https の利用」と変換されて、// ぎょっとしたけどid
IPベースのバーチャルホストなら問題ありませんけど、Name-based Virtual Hostだと面倒じゃないですか。
昨日の偽証明書事件で、Microsoftにパッチ取りに行ったら、平のhttp、あるいはhttps/http混在ページからダウンロードするようになっていたのには驚きましたけど。
Windows XPが退場するまでは事実上不可能。暗号化周りはOSのコンポーネントなのでIEのバージョンじゃなくてWindowsのバージョンが影響するのよね。
現時点ではSNIよりSubject Alternative Nameによるマルチホストのほうが現実的かと
レンタルサーバとかで複数の利用者が相乗りする場合、Subject Alternative Name は使えませんね。一方のSNIも「XPのIEは対応していない」ので実用的には使えなかったりしますけど…
結局のところ、実用上は Name Based Virtual Host を諦めて IP Based にするしかないでしょう。
レンタルサーバで独自SSLをうたうところはSSL用のIPを1つくれるので、そのIPでSubject Alternative Nameを使えばいいと思います。公式には1ドメインしかサポートしていないかもしれませんが、.htaccessで振り分けるとかすれば
>昨日の偽証明書事件で、Microsoftにパッチ取りに行ったら、平のhttp、あるいはhttps/http混在ページからダウンロードするようになっていたのには驚きましたけど。
コードサイニング証明書があるのでどういう経路で入手しようが証明できます
何で手を上げて横断歩道を渡らないの?その方がセキュアなのに等と言われても信号機だけで充分安全でそれ以上は求められていない
なんで彼女つくらないの?とかなんで都心に済まないの?並にウゼー
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
タレコミがでたらめです。一体何やってんですか。 (スコア:4, すばらしい洞察)
答えも至極簡単ですよ。
すべてのサイトがセキュアである必要なんてないからです。
愚問もいいとこでしょう。
・・・と書いたところで、本家のストーリーも確認しました。
なんと、
> You wouldn't write your username and passwords on a postcard and mail it for the world to see, so why are you doing it online?
と書かれています。本家のストーリーでは、ログインが必要なWebサイトに限定して「なんでHTTPSを使わないの?」と問いかけているんですよ。
本家のストーリーを紹介するなら、ちゃんと紹介してください。
大事な前提をすっとばして、一体どんな議論を期待したのやら・・・。
今流行の「デマの拡散」でしょうか。
たれこんだACも、なんの疑問も持たずにそのまま掲載した編集者も猛省を促したいです。
Re:タレコミがでたらめです。一体何やってんですか。 (スコア:1, すばらしい洞察)
違います。それはHTTPがセキュアでないことを葉書の例で説明している部分を取り出しているだけです。
最後まで読むと、ウェブ全体がHTTPSを使わないのはなぜかと問いかけています。
さらに、このリンク先の記事を見れば、
と問いかけていて、ログインに限った話ではないことは明らかですね。
Re: (スコア:0)
大事な前提: reo
Re: (スコア:0)
これは、サーバも通信もセキュアにしても
書かれている内容はセキュアじゃないかも、という
深淵なメッセージが秘められていたに違いない(キリッ
セキュリティで問題になる場合も (スコア:3, 興味深い)
IPSやWAF、UTMに積んでいるAnti-Virusといった機能は、HTTP(クリアテキスト)のトラフィックを監視して、
SQL InjectionやHTTPでダウンロードされるマルウェアの感染を遮断してくれてるわけですが、HTTPSになると
これらの機能が使えなくなります。
(サーバサイドはSSLアクセラレータの後ろに設置すれば良いかもだけど、クライアント側は無理)。
会社から特定SNSへの書き込みを禁止するといった製品も、原理的に同じ事をしてるはずです。
すべてがHTTPSになると、むしろ危険になるような面もあるかも。
Re:セキュリティで問題になる場合も (スコア:2)
そのうちUTMがクライアントに渡すアドレスを書き換え始めて、ファイアウォールの中は全部平文で流れるように…
# 字義通りのワイヤタッピングの復権!
Re:セキュリティで問題になる場合も (スコア:2, おもしろおかしい)
> 会社から特定SNSへの書き込みを禁止するといった製品も、原理的に同じ事をしてるはずです。
http://www.daj.jp/bs/if7/option/ssladapter.php
こんなモノ売ってる人もいます。
まず隗より (スコア:2, おもしろおかしい)
/.は?
https://slashdot.org/ [slashdot.org]
httpに飛ばされる
https://srad.jp/ [srad.jp]
「正常に接続できませんでした slashdot.jp のサーバへの接続を確立できませんでした。」
by Firefox 3.6.x
Re:まず隗より (スコア:2, すばらしい洞察)
ですよねー
ユーザー認証が必要な全てのWebサイトはHTTPSを導入してもいい気がする。
光の速さで歩けは無茶だ!せめて走らせろ!
Re:まず隗より (スコア:1, すばらしい洞察)
Re: (スコア:0)
無料ですが? (スコア:2, 参考になる)
Re:無料ですが? (スコア:1)
コストといえば普通、導入や運用の手間も含めます。
オープンソースのコスト、という言い方をしますよね。
1年無料のものを毎年更新して差し替えるより、5年50$とかを買ったほうがたぶんコストは低い。
あとStartComは使えないブラウザがあったので(今はシラネ)「使えねー」というクレームに対応する手間も考える。
更新自体が趣味や勉強なら別だが。
#高木氏のページがSSLエラーになったので「彼がオレオレ証明書って紺屋の白袴か?」と思ったらStartComだった
すべてのサーバがSSL証明出すようになると (スコア:2, すばらしい洞察)
オレオレ証明書が氾濫するかも…そんなのは嫌だ!
Re: (スコア:0)
おっと、既出でしたね。
M1で沈めて下さい…
#既出なのでACのmarute
Re: (スコア:0)
てか、このコメントをうめるために、さらにモデレート権を無駄にさせるつもりですか?
モデレータのみなさんは、こんな事で大事なモデレート権を無駄につかっちゃだめですよ。
Re: (スコア:0)
>てか、このコメントをうめるために、さらにモデレート権を無駄にさせるつもりですか?
という、このコメントをうめるために、さらにモデレート権を無駄にさせるつもりですか?
Re: (スコア:0)
そもそもモデ権ってなぜ少しの割当しかないの? (スコア:0)
アカウント保持者全員に一日一回モデ権を使えるとかじゃあだめなの?
ACでも結構いいコメントが埋もれていてもったいない気がする。
仁科かわいいよACAC
構成上難しい場合もある (スコア:2)
手間やお金もかかるのもありますが、証明書を使う上でIPやドメインの紐付けが必要になりますが、共用だったりWebサーバーのバージョンによっては複数もてなかったりとか色々と制限があることも多いです。
全部SSLにすればよりセキュアなのかもしれませんが、必要なところに必要に応じてセキュアにすればいいだけかと。
大手でも最低限のHTTPS対応だけ (スコア:2, 参考になる)
プライバシーに関連するデータの転送にはHTTPSを選択できるサービスが増えている印象があります。
けれどボタンを埋め込んだりしていると、twitterで一部のJavaScriptファイルがhttpsで取得できなかったり、GoogleでJavaScript中に埋め込まれているリンク等のアドレスがhttp固定で、ブラウザから警告された経験があります。
それ自体は安全性やプライバシーに問題がでるものではないですが、警告を無視する癖がつくのは良くないなぁと思っています。
YasuhiroABE
Re:大手でも最低限のHTTPS対応だけ (スコア:1)
Google Analyticsのトラッキングコードは、
昔はhttpで外部スクリプトを読むだけだったのでhttpsページでは警告が出てましたが、
現在は小さなスクリプトで現在の接続を見てhttpまたはhttpsで動的に読むようになっているので、
httpのみのページをhttps対応にする際は見直しを
#AdSenseはシラネ
Re:大手でも最低限のHTTPS対応だけ (スコア:2, 参考になる)
AdSenseのコードはhttpで決め打ちですねぇ。
SSL に対応した広告コードは提供されていますか。 [google.com]
ということはAdSenseを使用しているスラドもSSL対応すると警告が出まくると。
サーバ側のCPU負荷が高いんですよ (スコア:2, 興味深い)
httpとhttpsで最初のセッションを張るまでの時間が100倍違いました。
SSLのセッションでサーバ側で暗号鍵でのデコード処理に時間が掛かっていたような
記憶があります。ただしサーバのCPUクロックが200とか400Mhzとかで、ソフトウェア
ではなくハードウェアでSSLの処理を行うようにしたら10倍速くなったという話も
ありましたがソフトウェアのアルゴリズムを変更したらハードウェア処理より
早くなったとかいう時代ですw
現在の大規模なサーバではCPUで処理してるんでしょうかね?それともやはりSSL
アクセラレーターを使ってるんでしょうか。
Re:サーバ側のCPU負荷が高いんですよ (スコア:2, 参考になる)
>現在の大規模なサーバではCPUで処理してるんでしょうかね?それともやはりSSL
>アクセラレーターを使ってるんでしょうか。
場合によるよね。
大規模な環境ではロードバランサを利用してるだろうから
L7で制御したかったら、好き嫌いなくロードバランサでほどかないとできないってことで
結果的にSSLアクセラレータを使ってるよ。
でも、かなりピークの激しい証券さんがOSS利用の講演をしてくれた時に、
最近のIAサーバではSSLアクセラレータが欲しい事はほぼ無いよって言ってたっけ。
それにうちもASPのビジネスをやってるけど欲しいって思うシチュエーションが
見当たらないよ。
アプリとかミドルウェアの処理速度が先に問題になるし。
オレオレ証明書で作るhttpsサイトが増えると (スコア:1)
カスタマーの証明書に対する安全意識が麻痺するような気がする
Re: (スコア:0)
発想の転換というか……、本家でも書かれていますが、
オレオレhttps を https として扱うから安全意識うんぬんの話になるのであって、
ダダモレ http と同じものとして扱えば大丈夫なのではありませんか?
http://tech.slashdot.org/comments.pl?sid=2047006&cid=35558680 [slashdot.org]
アドレスバーの色も変えない、その代わり警告も出さない。
じゃあ http でええやん、ということになりますが、
とりあえずその(誰だかわからない)証明書の持
Re: (スコア:0)
>とりあえずその(誰だかわからない)証明書の持ち主との経路では暗号化されますし
ものすごく的確な故に誤解を誘う書き方だな。
確かに「証明書の持ち主」という書き方であれば、暗号化通信は担保される。
しかしオレオレの問題は「証明書の持ち主」=「オレオレサイトの持ち主」であることを検証できない点にあり、
「どこの誰とも分からないオレオレサイト」と繋がってるかどうかすら保障できないということを、
どれだけの人が理解できているだろうか。
Re: (スコア:0)
>「どこの誰とも分からないオレオレサイト」と繋がってるかどうかすら保障できないということを、
>どれだけの人が理解できているだろうか。
それは理解できなくていいものとしてオレオレ証明書をhttp扱いする、という提案なんです。
普通のhttp だって、そこは担保されてないんですから。
(ブラウザの使い始めは、google にクエリを出す時さえ警告されますよね、確か)
ブラウザの反応は
現状:「おいおい httpsって言ってるのにルートねえよ、ヤベーって!」
ですが、httpsっていうだけで高い要求をせずに、
「はいオレオレですね、クレカ番号は入れないでくださいねー」
という(http と同じ)反応にしてもいいんじゃないかと。
Re:オレオレ証明書で作るhttpsサイトが増えると (スコア:2)
それよりもブラウザに「オレオレ」と赤い文字で表示すればいいだけだと思う。
それが何を意味するのか知っている人は知っているなりにアクセス(する|しない)し、知らない人はどうせhttpと同じように何も考えずにアクセスするのだから。
そして「オレオレ」表示が出るのが嫌なサイトオーナーはそれが出ないように(考える|下請けに指示する)ようになるだろうし。
Re:オレオレ証明書で作るhttpsサイトが増えると (スコア:1)
安全性が疑わしい状況で根拠もなく「安全です!安全です!」って言う奴は、そこいらの見知らぬ人より断然胡散臭く感じるんだが…
あー、他意はありません、念のため。
Re: (スコア:0)
信頼できない認証局 [srad.jp]が発行した証明書よりも信頼できる方法で検証可能な第四種オレオレ証明書 [takagi-hiromitsu.jp]の方がずっとセキュアだと思うのですが…
まぁ不特定多数に公開するには向かないのですが、企業内で使うグループウェアなどで用途はあります。
オレオレ証明書は悪、認証局発行の証明書は善といった二元論にならないことが大事ですね。
理由 (スコア:1, すばらしい洞察)
1. 金がかかる。
2. セットアップに多少手間がかかりめんどくさい。
3. 1.と2.併せて定期的に更新する必要がある。
4. 特に秘密にする必要もないし、所在についてもそんなに気にする必要がない、または外部DNSにより
ある程度は保証されている。
5. IPSによるが、httpsだとIPSが攻撃コードを検知できない。
CA自体が… (スコア:1, おもしろおかしい)
2048bit、3階層パータンが定着しつつあるが、
元々が…(走召糸色木亥火暴)
え~し~は脳内補完でV
"castigat ridendo mores" "Saxum volutum non obducitur musco"
「全サイトの https の利用」に直接関連する話ではないですが (スコア:1)
このストーリを読んで、下記の記事を思い出しました。
http://takagi-hiromitsu.jp/diary/20080703.html [takagi-hiromitsu.jp]
高木浩光@自宅の日記 - EV SSL導入に伴い生じ得る特有の脆弱性
閑話休題、
https については、wikipedia の記述も参照すべきでしょう。
http://ja.wikipedia.org/wiki/HTTPS [wikipedia.org]
クライアントとサーバ間の盗聴が回避できるだけでも、
安全性が高くなることは事実です。
しかし、隠匿を要する通信ばかりでもないと思うのです。
例えば、/.jp のような bbs サイトで、ログイン情報以外の、
閲覧・コメント投稿などが盗聴されたが為に、
激しく困るような事態は、想像し難い気がします。
何が何でも、全てのサイトに https を適用するという意見は、
やや大げさであるように思えます。
// キャプションが「前妻との https の利用」と変換されて、
// ぎょっとしたけどid
Re: (スコア:0)
まあ原理主義者はうざいっすよ
仮想ホストが使いにくいじゃないか (スコア:1)
IPベースのバーチャルホストなら問題ありませんけど、Name-based Virtual Hostだと面倒じゃないですか。
昨日の偽証明書事件で、Microsoftにパッチ取りに行ったら、平のhttp、あるいはhttps/http混在ページからダウンロードするようになっていたのには驚きましたけど。
Re:仮想ホストが使いにくいじゃないか (スコア:2, 参考になる)
Apacheの設定を変更し、単一IPアドレス上で複数のSSLサイトを運用する [zdnet.com]
Re:仮想ホストが使いにくいじゃないか (スコア:2, 参考になる)
Windows XPが退場するまでは事実上不可能。
暗号化周りはOSのコンポーネントなのでIEのバージョンじゃなくてWindowsのバージョンが影響するのよね。
Re:仮想ホストが使いにくいじゃないか (スコア:1)
現時点ではSNIよりSubject Alternative Nameによるマルチホストのほうが現実的かと
Re:仮想ホストが使いにくいじゃないか (スコア:1)
レンタルサーバとかで複数の利用者が相乗りする場合、Subject Alternative Name は使えませんね。
一方のSNIも「XPのIEは対応していない」ので実用的には使えなかったりしますけど…
結局のところ、実用上は Name Based Virtual Host を諦めて IP Based にするしかないでしょう。
Re:仮想ホストが使いにくいじゃないか (スコア:1)
レンタルサーバで独自SSLをうたうところはSSL用のIPを1つくれるので、そのIPでSubject Alternative Nameを使えばいいと思います。公式には1ドメインしかサポートしていないかもしれませんが、.htaccessで振り分けるとかすれば
Re:仮想ホストが使いにくいじゃないか (スコア:1)
>昨日の偽証明書事件で、Microsoftにパッチ取りに行ったら、平のhttp、あるいはhttps/http混在ページからダウンロードするようになっていたのには驚きましたけど。
コードサイニング証明書があるのでどういう経路で入手しようが証明できます
需要が無い (スコア:0)
何で手を上げて横断歩道を渡らないの?その方がセキュアなのに
等と言われても信号機だけで充分安全でそれ以上は求められていない
会社から悪い事をする奴が増えるからだろJK (スコア:0)
なぜすべての通信を暗号化しないのか? (スコア:0)
汎化 (スコア:0)
なぜすべてのエディタは(vi|Emacs|ed)にならないのか?
なぜすべてのデスクトップOSは(Linux|Hurd|BSD|Windows|OS/2)にならないのか?
なぜすべてのソフトウェアライセンスはGPLにならないのか?
Re: (スコア:0)
…だったらすごいんだけど(何が)。
うざい (スコア:0)
なんで彼女つくらないの?
とか
なんで都心に済まないの?
並にウゼー
じゃあなんでhttpなんて作ったの? (スコア:0)