アカウント名:
パスワード:
混合コンテンツの完全ブロックはセンスの無い施策としか言いようがない。混合コンテンツの場合には、httpと同じで、南京錠を表示しなければ良いだけ。
現状でもGoogle Chromeは https://srad.jp/ [srad.jp] にアクセスしても、アドレスバーには 「srad.jp」としか表示されず(「https://」は省略される)、http なのか https なのかはクリックしないと分からないようになっている。そのため、混合コンテンツの場合に、アドレスバーに「https://」があるから画像等も改竄されていないはずだといった誤解を招く心配もない。基本的に普通のhttpと同じ表示にして、アドレスバーをクリックした場合に、画像が改竄されている恐れがある旨の警告を出せば良いだろう。
そもそも、混合コンテンツが生じる理由は、管理者が違う画像を表示したい場合などやむを得ない場合があるケースがあり、混合コンテンツになることを防ぐためにサイト全体を https から http に戻さなければならなくなったらかえって安全性が低下する。
いずれhttpを禁止するんじゃね?
たとえば阿部寛のサイトがhttpsである必要はないと思う
阿部寛のサイトは機密性の高い情報を扱う訳ではないので、httpsである必要はないというのはその通り。一方、有名人のサイトは中間者攻撃により「こちらから寄付をお願いします」等と攻撃者のサイトに誘導してお金を振り込ませたり、クリプトジャッキングで閲覧者に無断で暗号通貨を採掘させる手口も有効と考えられるので、https化すべきというのもその通り。ただ、https化すると証明書の更新やプロトコルの危殆化に伴う対応など、維持管理の手間が増える。一部の環境ではアクセスできなくなるだろう。コストやリスクが割に合うかどうかは疑問。
でも、今となってはLetsEncryptで誰でも無料で簡単にhttps化できるわけだから、httpで放置しとく必要もないと思うけどね。ウェブディベロッパーとして無能扱いされかねない。
阿部寛のサイト管理者って、ファンサイトを公式に昇格させてるし、Web開発者にはその高速性が話題になるし、無能扱いする奴はいなんじゃないかな。
もしhttps化してレスポンスが1%悪化したら、それを検知して無能呼ばわりしてくる奴はいるかもしれんけど。
誰でも簡単httpsの先には、普通に偽サイト/詐欺サイトも https化するだけの話で、ほんと意味あるのかな?と思ってしまう
今すでにもう「httpsだから本物」という認識はまずいと思うよ。ちゃんとドメインを確認しろ、というのは今も昔も変わらない。鍵あるなしを確認するならドメインまで確認してほしい。
今の風潮におけるhttpsの目的は通信経路の暗号化が最大の目的になってる感じだし。EVもその価値が大幅に低下した。
暗号演算コストも鍵管理コストもタダじゃねぇんだがな……演算コストは相対下がってるとはいえ、未だにくそ古暗号スイートなHTTPSサーバもいる辺り、ハードもソフトもろくすっぽ更新できん連中も居るだろうし。鍵管理コストに至ってはどうにもならんだろう。
偽サイトが作られてユーザーがその情報に騙される可能性があることを鑑みたらHTTPS化すべきHTTP/2やHTTP/3による速度向上も見込める
HTTPSにしたところで偽サイトが作られること(フィッシングサイト)は防げない。HTTPSで防げるのは通信経路途中のコンテンツ改竄や盗聴だけ。// この手の間違いよくあるけど、どこ由来なんだろうか
じゃあEVSSL証明書ってなんのためにあるの?
SSL業者が客によって値段を変えるだけのためにあるよ。
極論すれば無意味。だからEVSSL証明書不要論まである。でも証明書を売ってるセキュリティ企業は(それが飯のタネなので)口が裂けてもそんな提言できない。
実効性なんてどうでもいいんですよ。自分たちがセキュリティに気を使っている会社で、自分たちのプロダクトがセキュアだと素人に信じこませることができればいいんです。
正にその通り。ただ、Googleの天才様たちがそうした正論を認識していないはずがなく、確信犯な気がするのだが、どうだろうか。
A. 社内に暗号化接続推進派の急先鋒がいるB. 画像改竄などによる被害が多数出ているC. 暗号化接続を禁止、検閲する国への牽制D. 次世代プロトコルで優位に立つための仕込みE. 混在コンテンツな競合他社サービスを潰すため
確信犯警察ですこの用途であれば確信犯ではなく故意犯を使うべきです
同じく故意犯の語を推奨したいけど、これも正しい言葉ってわけでもないとか言われる事もありモヤモヤ。
それはともかく、「HTTPを絶滅させるのが正義でその為には手段を選ばずとも良い」という信条の元に暴挙と分かって踏み切ったのであれば、言葉通りに正しく確信犯であると言えるのではないでしょうか。
>比較的危険性が低いと考えられる画像や音声、動画これを前提としたいがために、おかしな事になってると思う。
今のセキュリティの時流なら
Not Secure表示でhttpだけとか、混在が出ることについても、それなりに理解されると思う。
# コンテンツの必要性からくる安全性というよりは、情報流通としての信頼できるEnd到達性の問題が重要かなあ# == httpとかで偽が検証できないこと、くらいの意味で
現状でもGoogle Chromeは https://srad.jp/ [srad.jp] [srad.jp] にアクセスしても、アドレスバーには 「srad.jp」としか表示されず(「https://」は省略される)、http なのか https なのかはクリックしないと分からないようになっている。
え?httpの時は「保護されていない通信」って出るでしょ?クリックしたらhttpだったなんてことある?
「保護されていない通信」は、http か https かを識別するためのものではなく、http でなくても証明書や暗号強度などに問題のある https でも出る。無論、http ならば必ず「保護されていない通信」になるけどね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
南京錠アイコン表示しなけりゃいいだけ (スコア:0)
混合コンテンツの完全ブロックはセンスの無い施策としか言いようがない。
混合コンテンツの場合には、httpと同じで、南京錠を表示しなければ良いだけ。
現状でもGoogle Chromeは https://srad.jp/ [srad.jp] にアクセスしても、アドレスバーには 「srad.jp」としか表示されず(「https://」は省略される)、http なのか https なのかはクリックしないと分からないようになっている。
そのため、混合コンテンツの場合に、アドレスバーに「https://」があるから画像等も改竄されていないはずだといった誤解を招く心配もない。
基本的に普通のhttpと同じ表示にして、アドレスバーをクリックした場合に、画像が改竄されている恐れがある旨の警告を出せば良いだろう。
そもそも、混合コンテンツが生じる理由は、管理者が違う画像を表示したい場合などやむを得ない場合があるケースがあり、混合コンテンツになることを防ぐためにサイト全体を https から http に戻さなければならなくなったらかえって安全性が低下する。
Re: (スコア:0)
いずれhttpを禁止するんじゃね?
Re:南京錠アイコン表示しなけりゃいいだけ (スコア:1)
たとえば阿部寛のサイトがhttpsである必要はないと思う
Re:南京錠アイコン表示しなけりゃいいだけ (スコア:1)
阿部寛のサイトは機密性の高い情報を扱う訳ではないので、httpsである必要はないというのはその通り。
一方、有名人のサイトは中間者攻撃により「こちらから寄付をお願いします」等と攻撃者のサイトに誘導してお金を振り込ませたり、クリプトジャッキングで閲覧者に無断で暗号通貨を採掘させる手口も有効と考えられるので、https化すべきというのもその通り。
ただ、https化すると証明書の更新やプロトコルの危殆化に伴う対応など、維持管理の手間が増える。一部の環境ではアクセスできなくなるだろう。コストやリスクが割に合うかどうかは疑問。
Re: (スコア:0)
でも、今となってはLetsEncryptで誰でも無料で簡単にhttps化できるわけだから、
httpで放置しとく必要もないと思うけどね。
ウェブディベロッパーとして無能扱いされかねない。
Re: (スコア:0)
阿部寛のサイト管理者って、ファンサイトを公式に昇格させてるし、Web開発者にはその高速性が話題になるし、
無能扱いする奴はいなんじゃないかな。
もしhttps化してレスポンスが1%悪化したら、それを検知して無能呼ばわりしてくる奴はいるかもしれんけど。
Re: (スコア:0)
誰でも簡単httpsの先には、普通に偽サイト/詐欺サイトも https化するだけの話で、ほんと意味あるのかな?と思ってしまう
Re: (スコア:0)
今すでにもう「httpsだから本物」という認識はまずいと思うよ。
ちゃんとドメインを確認しろ、というのは今も昔も変わらない。
鍵あるなしを確認するならドメインまで確認してほしい。
今の風潮におけるhttpsの目的は通信経路の暗号化が最大の目的になってる感じだし。
EVもその価値が大幅に低下した。
Re: (スコア:0)
暗号演算コストも鍵管理コストもタダじゃねぇんだがな……
演算コストは相対下がってるとはいえ、
未だにくそ古暗号スイートなHTTPSサーバもいる辺り、
ハードもソフトもろくすっぽ更新できん連中も居るだろうし。
鍵管理コストに至ってはどうにもならんだろう。
Re: (スコア:0)
偽サイトが作られてユーザーがその情報に騙される可能性があることを鑑みたらHTTPS化すべき
HTTP/2やHTTP/3による速度向上も見込める
Re: (スコア:0)
HTTPSにしたところで偽サイトが作られること(フィッシングサイト)は防げない。
HTTPSで防げるのは通信経路途中のコンテンツ改竄や盗聴だけ。
// この手の間違いよくあるけど、どこ由来なんだろうか
Re: (スコア:0)
じゃあEVSSL証明書ってなんのためにあるの?
Re: (スコア:0)
SSL業者が客によって値段を変えるだけのためにあるよ。
Re: (スコア:0)
極論すれば無意味。だからEVSSL証明書不要論まである。
でも証明書を売ってるセキュリティ企業は(それが飯のタネなので)口が裂けてもそんな提言できない。
Re: (スコア:0)
実効性なんてどうでもいいんですよ。自分たちがセキュリティに気を使っている会社で、自分たちのプロダクトがセキュアだと素人に信じこませることができればいいんです。
Re: (スコア:0)
正にその通り。ただ、Googleの天才様たちがそうした正論を認識していないはずがなく、確信犯な気がするのだが、どうだろうか。
A. 社内に暗号化接続推進派の急先鋒がいる
B. 画像改竄などによる被害が多数出ている
C. 暗号化接続を禁止、検閲する国への牽制
D. 次世代プロトコルで優位に立つための仕込み
E. 混在コンテンツな競合他社サービスを潰すため
Re: (スコア:0)
確信犯警察です
この用途であれば確信犯ではなく故意犯を使うべきです
Re: (スコア:0)
同じく故意犯の語を推奨したいけど、これも正しい言葉ってわけでもないとか言われる事もありモヤモヤ。
それはともかく、
「HTTPを絶滅させるのが正義でその為には手段を選ばずとも良い」
という信条の元に暴挙と分かって踏み切ったのであれば、
言葉通りに正しく確信犯であると言えるのではないでしょうか。
Re: (スコア:0)
>比較的危険性が低いと考えられる画像や音声、動画
これを前提としたいがために、おかしな事になってると思う。
Re: (スコア:0)
今のセキュリティの時流なら
Not Secure表示でhttpだけとか、混在が出ることについても、それなりに理解されると思う。
# コンテンツの必要性からくる安全性というよりは、情報流通としての信頼できるEnd到達性の問題が重要かなあ
# == httpとかで偽が検証できないこと、くらいの意味で
Re: (スコア:0)
現状でもGoogle Chromeは https://srad.jp/ [srad.jp] [srad.jp] にアクセスしても、アドレスバーには 「srad.jp」としか表示されず(「https://」は省略される)、http なのか https なのかはクリックしないと分からないようになっている。
え?httpの時は「保護されていない通信」って出るでしょ?クリックしたらhttpだったなんてことある?
Re: (スコア:0)
「保護されていない通信」は、http か https かを識別するためのものではなく、http でなくても証明書や暗号強度などに問題のある https でも出る。
無論、http ならば必ず「保護されていない通信」になるけどね。