あるAnonymous Coward 曰く、

SIMPLE*SIMPLE ～ ウェブ職人のための小粋なネタ帳 ～の03月27日のエントリが一部で話題になっています。 それによると、なんでも「現在セキュアな通信をしています」と明示的に表示するインターフェースの紹介らしいのです。 少なくともブラウザサイドのプラグインか何かだと思ったのですが、コンテンツサイドで自己申告するという方法の紹介でした。

セキュアな通信をしていますと言うからには、httpsであることを主張したいのでしょう。 それなら購入ページの最初などで、「サイトのコンテンツを問わず通用する確認の仕方」を説明すれば良いだけでしょう。 記事中にあるように、一目瞭然なインターフェイスとしてはアドレスバーに色がついたり鍵マークがつくなど、コンテンツとは別の手段で確認できるし、そうするしかないはずです。 携帯電話のブラウザでは「HTTPS通信が開始されます」とダイアログを出してからページ遷移するものがありますが、これもブラウザが提供している機能だから意味があるものです。 「詳しくない人にはよくわからないかもしれない」からといってブラウザの機能ではない「そのサイトでしか通用しない確認方法」を定着させたところで、 悪意がある使い方を普及させたい人間しか喜ばず、長期的に見て「買い物が進む」ことが無くなるのではないでしょうか？

これが論外な方法である事は、方法が自己申告に頼ったガイドラインである事から記事を書いた本人以外、殆どの人には一目瞭然のようです。 しかし、これがツール紹介のマイコミジャーナル2007年01月11日の「JavaScript ASPでセキュア通信を — パスワード盗聴対策に"aSSL"はいかが?」位の記事になると、 JavaScriptだけで「HTTPSを使うことなくSSLと類似した仕組みを使ってセキュア通信を実現してくれる」と勘違いしてしまう人も少なくないようです。 これは、一見似たようなマイコミジャーナル2008年07月08日の「Host-Proof Hostingって何? — Passpack Ajaxライブラリ公開」で書かれているような 「データの暗号化や復号化をクライアントサイドで実施し、サーバには暗号化されたデータしか保持しない」方法論とは全く目的が異なっていて危険な記事です。 証明書を確認せず暗号化するだけのものを「SSLに似た」と書いたり、「SSL」と名乗るのはプロトコル詐称技術と呼べるものでしょう。

こういうマークアップエンジニアが撒き散らすデタラメ記事に、脆弱性認定する事は出来ないものでしょうか？ マイナー個人サイトで結果として出来上がったデタラメTips記事ならまだしも、一定の組織が運営している権威あるサイトで、 こうした勘違いが長期にわたって掲載されるのは長期的に見て極めて有害な影響を及ぼすと思うのですが。