パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

国連 vs. クラッカー」記事へのコメント

  • by Anonymous Coward
    米国海軍のドメイン配下の某サイトなんだけど、ぱっと見ただけで
    • indexが丸見え
    • オレオレ証明書を使用
    • httpsのページがhttpでも閲覧できる
    なんてのがある。
    一応は直接的には軍事には直結してはいないサイトなんだけど、ちょっと手抜き過ぎでないか。
    • by Anonymous Coward
      > * indexが丸見え

      別に問題ないですね。

      > * httpsのページがhttpでも閲覧できる

      別に問題ないですね。
      • by Anonymous Coward
        >> * indexが丸見え
        >別に問題ないですね。

        それがcgiフォルダのような特別な場所であってり下位に公開すべきでない情報が、
        認証無しで保存されてなければという前提の上ですね。
        案外、その当たり前の前提が出来ていないことがあって、あるサイトでは全文検索に
        パスワードと入れるとコンテンツ管理システムのログイン情報が出てきました。

        >> * httpsのページがhttpでも閲覧できる
        >別に問題ないですね。

        確かに。
        オレオレ証明書で作られたhttpsでは、逆説的に皮肉をこめて「問題ない」かもしれない。
        ただ、そうでなくhttpsを用意するような用途なら、もうhttps限定にしてもいいんじゃないかと。
        今でも、httpsはコチラと選択式になってる事があるけどSSL非対応ブラウザなどに配慮してなのか、
        単に他がやってるからウチも同じにしておこうという事なのかで仕様の評価が分かれる所。
        • by Anonymous Coward
          > > > * indexが丸見え
          > > 別に問題ないですね。
          >
          > それがcgiフォルダのような特別な場所であってり下位に公開すべきでない情報が、
          > 認証無しで保存されてなければという前提の上ですね。

          公開すべきでないファイルがそこに置かれていないことは必須であって当然。
          公開すべきファイルが置かれているがindex丸見えでなきゃいいとか言うの?
          そんなわけない。だから、indexが丸見えなのは別段問題ない。
          むしろ、ちゃんとまずいファイルはありませんよ、という情報公開の精神だろ。

          > ただ、そうでなくhttpsを用意するような用途なら、もうhttps限定にしてもいいんじゃないかと。

          そんなことしても何の意味もありませんよ。
          • by Anonymous Coward on 2007年08月15日 9時23分 (#1205250)
            >> ただ、そうでなくhttpsを用意するような用途なら、もうhttps限定にしてもいいんじゃないかと。
            >そんなことしても何の意味もありませんよ。

            パケットを盗み見できる攻撃者がhttpな所へ誘導することでhttpsで暗号化したかった情報を盗み見できますよ。
            ちゃんとSSLになってるか確認する慎重な人ばかりではないでしょうしね。
            親コメント

Stableって古いって意味だっけ? -- Debian初級

処理中...