パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ブラウザの「SSL証明書が無効」という警告、5割以上のユーザーが無視」記事へのコメント

  • by Anonymous Coward

    信頼できるサイトであれば多くのユーザーが警告メッセージを無視し、信頼できないサイトについては警告に対して慎重な姿勢を取る

    そもそも自分がその「信頼できるサイト」相手につないでいるかどうかが疑わしいということを理解していないからこういう行動を取ると思われるわけですが、このためかFirefox 3.5からは

    信頼できない接続 (タイトルバーの表示)
    接続の安全性を確認できません
    www.example.com に安全に接続するように求められましたが、接続の安全性が確認できませんでした。

    のように、サイトではなく接続に問題があるのだということをさらに強調するようなメッセージになりました。接続を続行しようとすると、ダメ押しに

    ただし、たとえこのサイトが信頼できるサイトであっても、誰かが通信を改ざんしているからこのエラー

    • Re: (スコア:4, すばらしい洞察)

      by Anonymous Coward

      >まあいくら警告しても読んでもらえなければ意味がないのですが。

      というか、極言すると、なんぼ「警告」したって意味がない。
      ユーザーが知りたいのは「じゃあどうすればいいのか」なのであって。

      起こっていることを伝えるだけのメッセージでは、
      「そんなこといわれても俺はこのサイトを利用したいんだ! OK!」という人を止めることはできない。

      • by Anonymous Coward

        もうね、分かりやすい表現がいいんじゃね。

        「盗聴されている恐れがあります。
         ただちに切断しますか?」

        # この際正確性には目をつぶってもらおう。
        # 技術情報はクリックしたら確認出来るようにしておいてもらえばいいよ。

        • by Anonymous Coward

          「この通信は盗聴されています。接続を切断します。」

          でおk

          • by Anonymous Coward

            信頼できない証明書が使用されているため、接続できません。

            みたいなことを言ってくれる携帯電話やらが実際にいるという罠。
            そのサーバーは実機テスト用に立ててもらった信頼できないけど繋いでいいサーバーなんです、どうか何卒ご勘弁を・・・orz

            • Re: (スコア:-1, フレームのもと)

              by Anonymous Coward

              ここにもまたわかってない人が
              問題はそのサーバーが繋いでいいかどうかではありません。
              繋がっているのが本当にそのサーバーかどうかが証明できないのです。

              そんなのどーでもいーからテストさせてくれよー、と言いたい気持ちはわかりますけど、
              あなたが間違ったことを口走ってることは事実。

              • 問題はそのサーバーが繋いでいいかどうかではありません。
                繋がっているのが本当にそのサーバーかどうかが証明できないのです。

                そんなのどーでもいーからテストさせてくれよー、と言いたい気持ちはわかりますけど、
                あなたが間違ったことを口走ってることは事実。

                事実w 何を馬鹿なことを。
                テストフェーズで使うSSL証明書は、テスト環境が本物であることを確認するために入れられるのではありません。
                本番環境が本物であることを確認させるために、そのSSLの環境に対応したアプリを開発するために使われるのです。
                別にテスト環境が本物であることを証明する必要はありま

              • by Anonymous Coward

                問題はその テスト用 サーバーが繋いでいいかどうかではありません。
                繋がっているのが本当にその テスト用 サーバーかどうかが証明できないのです。

                こう書けばおバカさんにもわかるかな?

              • Re: (スコア:1, 参考になる)

                by Anonymous Coward

                ひょっとして、完全性や機密性がそれほど要求されないシチュエーションというのが理解できないのだろうか・・・?
                限られた関係者しか使わない状況下でもブラウザに完璧なセキュリティを要求されると困りますね、という話なんだが。
                誰がサーバーの完全性を保証してほしいなどと言ったのだ?

                それとも、1000円を保管するためでも必ず10万円もするような金庫が必要だというのか?
                リスクに見合った対策をするのは当たり前 [kogures.com]だぞ?

              • 完全性や機密性がそれほど要求されないシチュエーションならhttpでいいのでは?
                man-in-the-middleで盗聴/改変される可能性がある環境では、httpも信頼できない証明書によるhttpsも完全性や機密性に差はありません。(ここ重要。httpと信頼できる証明書によるhttpsの中間と思ってる人がいるようですが)

                限られた関係者しか使わない状況下なら、関係者のブラウザにあらかじめ俺俺証明書を手動インストールして(関係者が)「信頼できる証明書」にしてしまえばいい。

                前述のテスト環境の話で言うなら、(携帯は知らないけど手動インスコできないなら)「完全性や機密性が要求される実環境で動くかどうかのテスト」でもあり、かつ「証明書は今3000円/年くらいから」なので許容できるコストだと思いますが

                親コメント
              • by Anonymous Coward
                > 機密性に差はありません。
                あります。なぜかないことにしたい人が多いようですが。
              • 前述のテスト環境の話で言うなら、(携帯は知らないけど手動インスコできないなら)「完全性や機密性が要求される実環境で動くかどうかのテスト」でもあり、かつ「証明書は今3000円/年くらいから」なので許容できるコストだと思いますが

                何故にそういう結論になる? 実機で画面デザインを見たいとか使用感を試したいとかいくらでも試験ケースは考えられるでしょ?
                SSLを使う=安全な通信がしたい、というわけではないのですよ。

                後、盗聴だの改竄だのの書き込みが絶えないけど、テスト太郎だのの個人情報が漏れて何か困るの?
                むしろ問題点は、開発中のシステムが盗聴・改竄できるほど漏洩していることじゃないの?
                セキュリティ対策の優先度が違うでしょ?

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...