アカウント名:
パスワード:
> HTTPではセキュリティ的な対策が行われていない
行う必要がないって考えもある。
セキュリティ的な対策を行われていなければいけないときに警告すればいいのでは?
暗号化通信が必要なサイトはすでにやってると思うんだよね。もちろん、一部に「あるべきところで使われてない」というのはあるだろうけど、そういうサイトを使うかどうかはユーザーが判断すればいいと思う。スラドのログイン画面もSSLないらしいし。そこに必要かどうかはユーザーが評価すればいい。自分はスラドくらいならいらないと思ってる。
それより、最近ネタにもなったhttpsなのにcookieにsecure属性つけてないとか、SQLインジェクションとかXSSとか、他の脆弱性をなくす努力の方が重要な気がする。ページ内のすべての要素が正しくhttpsだったら安全と表記されるんだろうけど、悪意のあるホストからhttpsでjavascript読み込んでも安全と出ちゃうよね。Content Security Policyとか他にもやるべきことあるし、httpsは一つの要素でしかない。スレ主の言うように必要無いサイトもあるし。でも、必要なくても前述したような暗号化以外のセキュリティ対策は必要だし。
# もし本当にGoogleがこれ実装したら、Chromeユーザーは混乱するだろうなぁ。
> SSLを使ったとしても、パスワードの使い回しの問題は軽減されませんよ。
SSLによって、パスワードの使い回しの問題が軽減されるとは書いてないじゃん。パスワードの使い回しの問題があるから、ログインページはSSLを使ってほしいというだけで。
#ところでいつまでSSLと言い続けるの?
逆に考えるんだ。いつものIDやパスワードがフォームに入力されたら、SSLでない場合には警告を出すんだ。
ちょっとした会員サイト作って、メールアドレスとパスワードのセットを入手して、大手のメールサービスにログイン試してみたらそこそこ情報収集できるんじゃないかなーとか思う。バレにくそうだし。
>ユーザーが判断すればいいと思う。
これが出来るなら現状でも問題にならいのでは?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
行う必要がないって考えもある。 (スコア:2)
> HTTPではセキュリティ的な対策が行われていない
行う必要がないって考えもある。
セキュリティ的な対策を行われていなければいけないときに警告すればいいのでは?
Re:行う必要がないって考えもある。 (スコア:1)
暗号化通信が必要なサイトはすでにやってると思うんだよね。
もちろん、一部に「あるべきところで使われてない」というのはあるだろうけど、そういうサイトを使うかどうかはユーザーが判断すればいいと思う。
スラドのログイン画面もSSLないらしいし。そこに必要かどうかはユーザーが評価すればいい。自分はスラドくらいならいらないと思ってる。
それより、最近ネタにもなったhttpsなのにcookieにsecure属性つけてないとか、SQLインジェクションとかXSSとか、他の脆弱性をなくす努力の方が重要な気がする。
ページ内のすべての要素が正しくhttpsだったら安全と表記されるんだろうけど、悪意のあるホストからhttpsでjavascript読み込んでも安全と出ちゃうよね。Content Security Policyとか他にもやるべきことあるし、httpsは一つの要素でしかない。
スレ主の言うように必要無いサイトもあるし。でも、必要なくても前述したような暗号化以外のセキュリティ対策は必要だし。
# もし本当にGoogleがこれ実装したら、Chromeユーザーは混乱するだろうなぁ。
Re:行う必要がないって考えもある。 (スコア:1)
どこのログインページも SSL つけたらいいのになとは思うわ。
Re: (スコア:0)
Re: (スコア:0)
> SSLを使ったとしても、パスワードの使い回しの問題は軽減されませんよ。
SSLによって、パスワードの使い回しの問題が軽減されるとは書いてないじゃん。
パスワードの使い回しの問題があるから、ログインページはSSLを使ってほしいというだけで。
#ところでいつまでSSLと言い続けるの?
Re: (スコア:0)
逆に考えるんだ。
いつものIDやパスワードがフォームに入力されたら、SSLでない場合には警告を出すんだ。
Re: (スコア:0)
ちょっとした会員サイト作って、メールアドレスとパスワードのセットを入手して、
大手のメールサービスにログイン試してみたらそこそこ情報収集できるんじゃないかなーとか思う。
バレにくそうだし。
Re:行う必要がないって考えもある。 (スコア:1)
>ユーザーが判断すればいいと思う。
これが出来るなら現状でも問題にならいのでは?