アカウント名:
パスワード:
怪しい証明書のhttpsではしつこいくらいの警告を出したりするのにhttpでは大したことしない、というブラウザはポリシーがよく分からない。
いや別にそこは問題にすべきところじゃないと思う。httpsだと、普通は「暗号化」に加え「正しいホストだと確認」することを期待してる。怪しい証明書の場合、httpsだから一見安全そうだけどホストが本物かどうかわからないから警告する。httpは何も気にしないモードだから警告もクソもない。
たぶん、証明書まで検証するかどうかで分けられればいいんだろうなぁ。httpssで検証付きみたいな。検証モードで、証明書まで検証してダメなら警告出せばいいし。とりあえず暗号化されてればいいか、ってサイトもあるし(某掲示板とか)、そこは証明書検証なしでいいし。
httpss 証明書検証付き暗号化https 暗号化のみhttp なにもなし
みたいになれば。
もっと信頼チェーンや中間者攻撃を勉強しましょう。# 検証なしで暗号化は全く無意味
全く無意味です。鍵交換を安全にできないなら暗号化する意味がない。
盗聴できるけど改ざんできない(しにくい)状況では意味を持ちます。そしてそういう状況は現実に割と多いです。
そのような状況でも全く無意味ですね。
JavascriptでOff-the-Record Messaging Protocol (OTR)あたりを使えば、意味がないことは無いかもしれませんが…
Off-the-Record Messaging Protocol implemented in JavaScripthttps://github.com/arlolra/otr [github.com]
でも、悪意ある無線LANや経路ハイジャックを考えると、やっぱりHTTPSが欲しいと思いますね。
おいおい。冗談だろ。無意味だよ。まさか本気で...
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
まあ確かに (スコア:0)
怪しい証明書のhttpsではしつこいくらいの警告を出したりするのに
httpでは大したことしない、というブラウザはポリシーがよく分からない。
Re: (スコア:0)
いや別にそこは問題にすべきところじゃないと思う。
httpsだと、普通は「暗号化」に加え「正しいホストだと確認」することを期待してる。
怪しい証明書の場合、httpsだから一見安全そうだけどホストが本物かどうかわからないから警告する。
httpは何も気にしないモードだから警告もクソもない。
たぶん、証明書まで検証するかどうかで分けられればいいんだろうなぁ。httpssで検証付きみたいな。
検証モードで、証明書まで検証してダメなら警告出せばいいし。
とりあえず暗号化されてればいいか、ってサイトもあるし(某掲示板とか)、そこは証明書検証なしでいいし。
httpss 証明書検証付き暗号化
https 暗号化のみ
http なにもなし
みたいになれば。
Re: (スコア:1)
もっと信頼チェーンや中間者攻撃を勉強しましょう。# 検証なしで暗号化は全く無意味
Re:まあ確かに (スコア:0)
Re:まあ確かに (スコア:1)
全く無意味です。
鍵交換を安全にできないなら暗号化する意味がない。
Re: (スコア:0)
盗聴できるけど改ざんできない(しにくい)状況では意味を持ちます。
そしてそういう状況は現実に割と多いです。
Re: (スコア:0)
そのような状況でも全く無意味ですね。
Re: (スコア:0)
JavascriptでOff-the-Record Messaging Protocol (OTR)あたりを使えば、意味がないことは無いかもしれませんが…
Off-the-Record Messaging Protocol implemented in JavaScript
https://github.com/arlolra/otr [github.com]
でも、悪意ある無線LANや経路ハイジャックを考えると、やっぱりHTTPSが欲しいと思いますね。
Re: (スコア:0)
おいおい。冗談だろ。
無意味だよ。まさか本気で...