アカウント名:
パスワード:
怪しい証明書のhttpsではしつこいくらいの警告を出したりするのにhttpでは大したことしない、というブラウザはポリシーがよく分からない。
ですね。HTTPSだけですと、HSTSを使っても初回訪問時にHTTPで中間者攻撃ができてしまいます。それを防ぐ方法として下のようなPreloaded HSTSへ登録するという手法がありますが、あまり普及していませんし、スケールしないので普及できるものでもないです。この問題を防ぐには、HTTPに警告を出すしか無いでしょう。
cybozu.com を真に常時 SSL にする話http://developer.cybozu.co.jp/tech/?p=6096 [cybozu.co.jp]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
まあ確かに (スコア:0)
怪しい証明書のhttpsではしつこいくらいの警告を出したりするのに
httpでは大したことしない、というブラウザはポリシーがよく分からない。
Re:まあ確かに (スコア:1)
ですね。HTTPSだけですと、HSTSを使っても初回訪問時にHTTPで中間者攻撃ができてしまいます。
それを防ぐ方法として下のようなPreloaded HSTSへ登録するという手法がありますが、
あまり普及していませんし、スケールしないので普及できるものでもないです。
この問題を防ぐには、HTTPに警告を出すしか無いでしょう。
cybozu.com を真に常時 SSL にする話
http://developer.cybozu.co.jp/tech/?p=6096 [cybozu.co.jp]