アカウント名:
パスワード:
> HTTPではセキュリティ的な対策が行われていない
行う必要がないって考えもある。
セキュリティ的な対策を行われていなければいけないときに警告すればいいのでは?
暗号化通信が必要なサイトはすでにやってると思うんだよね。もちろん、一部に「あるべきところで使われてない」というのはあるだろうけど、そういうサイトを使うかどうかはユーザーが判断すればいいと思う。スラドのログイン画面もSSLないらしいし。そこに必要かどうかはユーザーが評価すればいい。自分はスラドくらいならいらないと思ってる。
それより、最近ネタにもなったhttpsなのにcookieにsecure属性つけてないとか、SQLインジェクションとかXSSとか、他の脆弱性をなくす努力の方が重要な気がする。ページ内のすべての要素が正しく
> SSLを使ったとしても、パスワードの使い回しの問題は軽減されませんよ。
SSLによって、パスワードの使い回しの問題が軽減されるとは書いてないじゃん。パスワードの使い回しの問題があるから、ログインページはSSLを使ってほしいというだけで。
#ところでいつまでSSLと言い続けるの?
逆に考えるんだ。いつものIDやパスワードがフォームに入力されたら、SSLでない場合には警告を出すんだ。
ちょっとした会員サイト作って、メールアドレスとパスワードのセットを入手して、大手のメールサービスにログイン試してみたらそこそこ情報収集できるんじゃないかなーとか思う。バレにくそうだし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
行う必要がないって考えもある。 (スコア:2)
> HTTPではセキュリティ的な対策が行われていない
行う必要がないって考えもある。
セキュリティ的な対策を行われていなければいけないときに警告すればいいのでは?
Re: (スコア:1)
暗号化通信が必要なサイトはすでにやってると思うんだよね。
もちろん、一部に「あるべきところで使われてない」というのはあるだろうけど、そういうサイトを使うかどうかはユーザーが判断すればいいと思う。
スラドのログイン画面もSSLないらしいし。そこに必要かどうかはユーザーが評価すればいい。自分はスラドくらいならいらないと思ってる。
それより、最近ネタにもなったhttpsなのにcookieにsecure属性つけてないとか、SQLインジェクションとかXSSとか、他の脆弱性をなくす努力の方が重要な気がする。
ページ内のすべての要素が正しく
Re:行う必要がないって考えもある。 (スコア:1)
どこのログインページも SSL つけたらいいのになとは思うわ。
Re: (スコア:0)
Re: (スコア:0)
> SSLを使ったとしても、パスワードの使い回しの問題は軽減されませんよ。
SSLによって、パスワードの使い回しの問題が軽減されるとは書いてないじゃん。
パスワードの使い回しの問題があるから、ログインページはSSLを使ってほしいというだけで。
#ところでいつまでSSLと言い続けるの?
Re: (スコア:0)
逆に考えるんだ。
いつものIDやパスワードがフォームに入力されたら、SSLでない場合には警告を出すんだ。
Re: (スコア:0)
ちょっとした会員サイト作って、メールアドレスとパスワードのセットを入手して、
大手のメールサービスにログイン試してみたらそこそこ情報収集できるんじゃないかなーとか思う。
バレにくそうだし。