アカウント名:
パスワード:
Googleがどっちをより意識しているかわからないけど、TLSとかの意味合いとしては、暗号化というよりもサイトの証明の方が重要なんじゃないかという気がしないでもない。
EV証明書 ではないですか。
性善説を前提としたドメインによる識別から,証明書による識別・暗号化へ。Webの転換が始まるのかもしれません。
なんだかんだ言われてても日本のネット環境は安全なほうですので、経路の暗号化の重要性は余り気にならないですが、外国だと暗黒の時代みたいなところもありますので。。
外国の旅行先のホテルのLANから会社のPOPにアクセスするとその後、その国のIPアドレスからのspamやアタックが増えたとかよく聞く話なので。
あと、無線の暗号は危殆化が早かった実績があるので、無線LANから気にせずにHTTPサイトにアクセスするのは注意が必要と思われます。
SPDY普及運動の一貫なのでは。組み込み系には高負荷になって困る気もするが
確かに改竄防止は暗号化に比べてはるかに重要でしょうねぇ。
どちらが、といえば、どちらも重要なんだけど、楽に出来るのは暗号化だから、まずは暗号化からやったらいいんじゃない?と思うけどね。実際、証明書が必要なサイトなんて、日頃見るサイトの1割とかだろうし。その他、ニュースサイトやらブログやらを見るだけなら証明書なんて不要だし、普通にhttpでいいけど、それならオレオレ証明書でも暗号化した方が、安全性は上がる。もちろん、接続先が本物かはわからないけど、それはhttpで見てるときは気にもしてないこと。
安全性は証明書付き暗号化 >> オレオレ証明書付き暗号化 > httpだし、httpを廃してオレオレを標準にするのもありだと思うな。まぁ、同じhttpsだから、一般の人が違いがわかりづらいという欠点はあるけど。現状オレオレの方はすごい警告がでるけどさ。これを廃してアクセスは許可させてアドレスバーなどで確実に(現状よりもっとわかりやすく)見分けられるようにするべき、と個人的に思う。もしくは、オレオレなサイトに新しく何かを入力する際に初めて警告を出すとかね。
「安全性」とかいう広い言葉を使うのをやめて、何を比較しようとしてるのかを明確に書くように。
銀行の偽サイトとか、コンピューターに障害が発生しています的なバナー広告に騙される人が掃いて捨てるほどいる中で中途半端なセキュリティレベルのアクセスを認知させるべきではありません。正当な証明書付きの安全なアクセスか、それ以外かの二つだけでいい。極端な話、httpでのアクセスも全部警告を出していいくらいです。
いいえ、むやみに警告を出しまくるのは無視する習慣がついて却って危険になるだけです。
同じ疑問を抱いてリンクにあるセキュリティブログを見ると、"encryption"と記載してありました。"certification"や"verification"ではなかったです。
そんだけ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
暗号化と信頼性 (スコア:0)
Googleがどっちをより意識しているかわからないけど、TLSとかの意味合いとしては、暗号化というよりもサイトの証明の方が重要なんじゃないかという気がしないでもない。
Re:暗号化と信頼性 (スコア:1)
EV証明書 ではないですか。
性善説を前提としたドメインによる識別から,証明書による識別・暗号化へ。
Webの転換が始まるのかもしれません。
Re:暗号化と信頼性 (スコア:1)
なんだかんだ言われてても日本のネット環境は安全なほうですので、
経路の暗号化の重要性は余り気にならないですが、
外国だと暗黒の時代みたいなところもありますので。。
外国の旅行先のホテルのLANから会社のPOPにアクセスすると
その後、その国のIPアドレスからのspamやアタックが増えたとかよく聞く話なので。
あと、無線の暗号は危殆化が早かった実績があるので、
無線LANから気にせずにHTTPサイトにアクセスするのは注意が必要と思われます。
[Q][W][E][R][T][Y]
Re: (スコア:0)
SPDY普及運動の一貫なのでは。組み込み系には高負荷になって困る気もするが
Re: (スコア:0)
確かに改竄防止は暗号化に比べてはるかに重要でしょうねぇ。
Re: (スコア:0)
どちらが、といえば、どちらも重要なんだけど、楽に出来るのは暗号化だから、まずは暗号化からやったらいいんじゃない?と思うけどね。
実際、証明書が必要なサイトなんて、日頃見るサイトの1割とかだろうし。その他、ニュースサイトやらブログやらを見るだけなら証明書なんて不要だし、普通にhttpでいいけど、それならオレオレ証明書でも暗号化した方が、安全性は上がる。
もちろん、接続先が本物かはわからないけど、それはhttpで見てるときは気にもしてないこと。
安全性は
証明書付き暗号化 >> オレオレ証明書付き暗号化 > http
だし、httpを廃してオレオレを標準にするのもありだと思うな。
まぁ、同じhttpsだから、一般の人が違いがわかりづらいという欠点はあるけど。
現状オレオレの方はすごい警告がでるけどさ。これを廃してアクセスは許可させてアドレスバーなどで確実に(現状よりもっとわかりやすく)見分けられるようにするべき、と個人的に思う。
もしくは、オレオレなサイトに新しく何かを入力する際に初めて警告を出すとかね。
Re: (スコア:0)
「安全性」とかいう広い言葉を使うのをやめて、何を比較しようとしてるのかを明確に書くように。
Re: (スコア:0)
銀行の偽サイトとか、コンピューターに障害が発生しています的なバナー広告に騙される人が掃いて捨てるほどいる中で中途半端なセキュリティレベルのアクセスを認知させるべきではありません。
正当な証明書付きの安全なアクセスか、それ以外かの二つだけでいい。
極端な話、httpでのアクセスも全部警告を出していいくらいです。
Re:暗号化と信頼性 (スコア:1)
いいえ、むやみに警告を出しまくるのは無視する習慣がついて却って危険になるだけです。
Re: (スコア:0)
同じ疑問を抱いてリンクにあるセキュリティブログを見ると、"encryption"と記載してありました。"certification"や"verification"ではなかったです。
そんだけ。