パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

みずほ銀行のWebサイト、HTTPSでのアクセスをブロックして話題に」記事へのコメント

  • ログインページとその後のページはSSLつけるのMUSTだと思うけど。
    ランディングページってSSLにしなきゃいけない理由ってあるんだっけ。

    • by Anonymous Coward

      掲載されてる内容が正規の確かなものであることが確認できる。
      信用を扱う銀行なら当然かと。ただでさえフィッシング詐欺のターゲットになってるのに。
      通常ならお客に「https以外でアクセスしないで」というべきものだよ。

      ただこれでもリテラシーの高くない人は、URLと証明書を確認しないから、証明書付きの偽サイトと区別つかなかったりするのは問題。
      こればかりはどうしようもないけど、httpsでない偽サイトは排除できるから有効。

      • by Anonymous Coward

        今回ログインページのSSLは外していないのでフィッシング関係ないと思うけど。
        ランディングページにそこまで機密性の高い情報載せるの?

        http と https ユーザーが選択できるべきっていうのはひとつだと思うけど、
        ユーザーが情報を送信するページ以外でSSLにすべき理由はないんじゃないの?
        ランディングページが https で閲覧できないからといって、何か攻撃手法につながるとは思えないだよね。

        • by Anonymous Coward
          httpページとhttpsページが混在していて、かつセッション制御でcookieを使うと、httpページに行くたびに保護されない経路でcookieをバンバン垂れ流すことになるんじゃね。一度ログインしたら、そっから先は全部「ユーザーが情報を送信するページ」になってしまう。cookie使い分けてもいいけど、そんな制御入れるよりは常時SSL化した方がデメリットなしでセキュアにできるよね。
          • by Anonymous Coward

            同じドメインだったら納得できるんだが、そもそもログインが必要なページのドメイン違うっぽいから問題なさそうだよ?

            • by Anonymous Coward

              問い合わせ先ページで、電話番号が改ざんされるとか、
              安全利用の注意喚起のページで、嘘の方法に改ざんされるとかね。

              • by Anonymous Coward

                そこまで疑うのならネットしないほうがいいのでは・・・?
                SSL関係ないよね?
                改ざんは防げるけど、その情報の真偽はリテラシーに依存するところが大きいよ。
                改ざんされていないとしても、元々の情報ですら誤ってる可能性はある。
                そもそもそういう話をしてもしょうがないと思うんだ。

              • 改ざんは防げるけど、その情報の真偽はリテラシーに依存するところが大きいよ。 改ざんされていないとしても、元々の情報ですら誤ってる可能性はある。 そもそもそういう話をしてもしょうがないと思うんだ。

                関心のフォーカスが違うんだと思う。https にすれば安心だ万全だなんて話をしているんじゃない。リテラシーに依存するところが大きいからって SSL では閲覧禁止にした方がいいって話にはならんでしょ。効果が低いとかいうならともかく、無意味なわけじゃない。わざわざ廃止する理由にはならない。

                --
                LIVE-GON(リベゴン)
              • by Anonymous Coward

                SSLでも閲覧可能になっていたほうがよいというのは同意する。
                けど、SSL禁止にしたところで何か問題あったんですか?っていう話をしている。
                そもそもの話、SSLいらない範囲でのSSL閲覧不可の対処でしょ?
                改ざん自体が極論な気もしなくはないんだよね。改ざんが可能な環境なら、認証局の偽装も可能じゃないの?

              • SSLでも閲覧可能になっていたほうがよいというのは同意する。

                その同意はありがたい。一歩進んで、わざわざ禁止しないほうがよいという点についてはどうだろうか? みずほがそれをやめたのを「おいおい、なんでだよ」とツッコミを入れる反応についても理解はできると思うのだが。

                SSL禁止にしたところで何か問題あったんですか?っていう話をしている。

                いままでSSLを可にしてたことで何か問題あったんですか?っていう話もしたいですな。

                --
                LIVE-GON(リベゴン)
                親コメント
              • by Anonymous Coward

                いままでSSLを可にしてたことで何か問題あったんですか?っていう話もしたいですな。

                こいつアホだな。論点ずらすことしかやってねぇ。
                SSL可で問題ないのはわかってんだよ。その話はひとつも進んでないしむしろ後退してんじゃねぇか。
                おまえらがサワイでるSSLオフにして何か問題あったのかっていう話だよ。

              • いままでSSLを可にしてたことで何か問題あったんですか?っていう話もしたいですな。

                こいつアホだな。論点ずらすことしかやってねぇ。

                その手の挑発に乗っても、他のスレッドにあるように、また十分条件必要条件の説明ループに戻るのが目に見えてるもん。説明しても、二言目には「それで万全になるわけではない」「そんなことをする必要はない」「無視できるほど影響は少ない」とかその手の問答に戻るじゃん。

                SSL可で問題ないのはわかってんだよ。その話はひとつも進んでないしむしろ後退してんじゃねぇか。おまえらがサワイでるSSLオフにして何か問題あったのかっていう話だよ。

                SSLオフにすることで安全性が向上するわけじゃないでしょ。オフにするメリットの方だって(証明書のコストくらいしか)提示できてないじゃん。関連ストーリーにもある通り、これは、基本的には全部SSLでよくて――とくに銀行だの政府機関だのといったサイトは――積極的にそれをオフにする理由はなかろうって話に関連してると思うよ。全部SSLにしてしまえって話は極論だろうってコメントはあちこちに付いてるけどさ。

                --
                LIVE-GON(リベゴン)
                親コメント
              • by Anonymous Coward

                言いたいことがわかってないようだけど、常にSSLが付いてるにこしたことはないとはずっと言ってる通り。
                SSLがなくても平気な箇所でSSLきったことがとんでもない所業をしたと騒ぎ立てるのがただのFUD煽っているだけにしかみえないのだよ。
                とくに問題はないのだろう?

                銀行だから信用がガタ落ちだというのも同意するし、元々SSLついていたのをわざわざオフにする理由もない。それも理解できる。
                そうじゃなくて、ここで問いたいのはこの対応自体が問題あったのか?
                SSLつけるべきところについているのに過剰な反応しすぎじゃないか?
                という話。

              • 言いたいことがわかってないようだけど、常にSSLが付いてるにこしたことはないとはずっと言ってる通り。

                そのこしたことがないのをみずほがやめたのがこのストーリー。こしたことがないのをやめるのは問題でしょう。何が問題なのか分からないというなら、なぜこしたことはないのかも分かってないのでは?

                --
                LIVE-GON(リベゴン)
                親コメント
              • by Anonymous Coward

                はぁ・・・こいつほんとバカだな。そこに疑問はないっての。
                問題ない箇所のSSL外してなんか問題あったのかって言ってんだろが。
                SSL外して問題がある内容を納得いくように示してくださいよ。

              • はぁ・・・こいつほんとバカだな。そこに疑問はないっての。

                申し訳ない。「SSLであるにこしたことないのは分かっている。SSLをやめたことに問題があるかは分からない」というのが意味不明で、私にはとても説明できるように思えない。何が分からないのか分からないので説明のしようがない。できれば疑問に答えてあげたいのだけど、疑問の内容が分からない以上、これ以上説明ができない。このストーリーに付いた他のコメントや関連ストーリーなどを読んで、何が問題なのか私以外の力を借りて理解して欲しい。お力になれず申し訳ない。

                --
                LIVE-GON(リベゴン)
                親コメント
              • 書き込んだあとにふと思ったけど「SSLをやめることの問題のほかに、SSLをやめることに問題があるか?」って聞いてるんじゃないよね? さすがに違うと思うんだけど。

                # 私は君のことをバカだとは思ってないのだけど、一応、確認のため。

                --
                LIVE-GON(リベゴン)
                親コメント

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...