アカウント名:
パスワード:
カスタマーの証明書に対する安全意識が麻痺するような気がする
発想の転換というか……、本家でも書かれていますが、オレオレhttps を https として扱うから安全意識うんぬんの話になるのであって、ダダモレ http と同じものとして扱えば大丈夫なのではありませんか? http://tech.slashdot.org/comments.pl?sid=2047006&cid=35558680 [slashdot.org]
アドレスバーの色も変えない、その代わり警告も出さない。
じゃあ http でええやん、ということになりますが、とりあえずその(誰だかわからない)証明書の持
>とりあえずその(誰だかわからない)証明書の持ち主との経路では暗号化されますし
ものすごく的確な故に誤解を誘う書き方だな。確かに「証明書の持ち主」という書き方であれば、暗号化通信は担保される。しかしオレオレの問題は「証明書の持ち主」=「オレオレサイトの持ち主」であることを検証できない点にあり、「どこの誰とも分からないオレオレサイト」と繋がってるかどうかすら保障できないということを、どれだけの人が理解できているだろうか。
>「どこの誰とも分からないオレオレサイト」と繋がってるかどうかすら保障できないということを、>どれだけの人が理解できているだろうか。
それは理解できなくていいものとしてオレオレ証明書をhttp扱いする、という提案なんです。普通のhttp だって、そこは担保されてないんですから。(ブラウザの使い始めは、google にクエリを出す時さえ警告されますよね、確か)
ブラウザの反応は現状:「おいおい httpsって言ってるのにルートねえよ、ヤベーって!」
ですが、httpsっていうだけで高い要求をせずに、「はいオレオレですね、クレカ番号は入れないでくださいねー」という(http と同じ)反応にしてもいいんじゃないかと。
それは理解できなくていいものとしてオレオレ証明書をhttp扱いする、という提案なんです。
それよりもブラウザに「オレオレ」と赤い文字で表示すればいいだけだと思う。 それが何を意味するのか知っている人は知っているなりにアクセス(する|しない)し、知らない人はどうせhttpと同じように何も考えずにアクセスするのだから。 そして「オレオレ」表示が出るのが嫌なサイトオーナーはそれが出ないように(考える|下請けに指示する)ようになるだろうし。
安全性が疑わしい状況で根拠もなく「安全です!安全です!」って言う奴は、そこいらの見知らぬ人より断然胡散臭く感じるんだが…
あー、他意はありません、念のため。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
オレオレ証明書で作るhttpsサイトが増えると (スコア:1)
カスタマーの証明書に対する安全意識が麻痺するような気がする
Re: (スコア:0)
発想の転換というか……、本家でも書かれていますが、
オレオレhttps を https として扱うから安全意識うんぬんの話になるのであって、
ダダモレ http と同じものとして扱えば大丈夫なのではありませんか?
http://tech.slashdot.org/comments.pl?sid=2047006&cid=35558680 [slashdot.org]
アドレスバーの色も変えない、その代わり警告も出さない。
じゃあ http でええやん、ということになりますが、
とりあえずその(誰だかわからない)証明書の持
Re:オレオレ証明書で作るhttpsサイトが増えると (スコア:0)
>とりあえずその(誰だかわからない)証明書の持ち主との経路では暗号化されますし
ものすごく的確な故に誤解を誘う書き方だな。
確かに「証明書の持ち主」という書き方であれば、暗号化通信は担保される。
しかしオレオレの問題は「証明書の持ち主」=「オレオレサイトの持ち主」であることを検証できない点にあり、
「どこの誰とも分からないオレオレサイト」と繋がってるかどうかすら保障できないということを、
どれだけの人が理解できているだろうか。
Re: (スコア:0)
>「どこの誰とも分からないオレオレサイト」と繋がってるかどうかすら保障できないということを、
>どれだけの人が理解できているだろうか。
それは理解できなくていいものとしてオレオレ証明書をhttp扱いする、という提案なんです。
普通のhttp だって、そこは担保されてないんですから。
(ブラウザの使い始めは、google にクエリを出す時さえ警告されますよね、確か)
ブラウザの反応は
現状:「おいおい httpsって言ってるのにルートねえよ、ヤベーって!」
ですが、httpsっていうだけで高い要求をせずに、
「はいオレオレですね、クレカ番号は入れないでくださいねー」
という(http と同じ)反応にしてもいいんじゃないかと。
Re:オレオレ証明書で作るhttpsサイトが増えると (スコア:2)
それよりもブラウザに「オレオレ」と赤い文字で表示すればいいだけだと思う。
それが何を意味するのか知っている人は知っているなりにアクセス(する|しない)し、知らない人はどうせhttpと同じように何も考えずにアクセスするのだから。
そして「オレオレ」表示が出るのが嫌なサイトオーナーはそれが出ないように(考える|下請けに指示する)ようになるだろうし。
Re:オレオレ証明書で作るhttpsサイトが増えると (スコア:1)
安全性が疑わしい状況で根拠もなく「安全です!安全です!」って言う奴は、そこいらの見知らぬ人より断然胡散臭く感じるんだが…
あー、他意はありません、念のため。