アカウント名:
パスワード:
*.srad.jpの証明書は有効。HTTPSでの閲覧ができる。スマホ版サイトのm.srad.jpだとHTTPSにリダイレクトされるが、従来のアドレスではリダイレクトされず、HTTPでアクセスしたらHTTPのまま。HSTSヘッダーはm.srad.jpだと付いてきて Strict-Transport-Security: max-age=31536000 なので加点+10。
と言うことで、ここの採点基準だとスラドはPC版(srad.jp)が「C」、スマホ版(m.srad.jp)が「A-」判定になる。
# https://securethe.news/methodology-and-metrics/ [securethe.news] で公開されている仕様ではB+とA-とA+の境界が不明瞭であるが、https://securethe.news/sites/ で公表されている実際のグレードから、80点はA-になるものと結論した。# なお前述のページからリンクされているGitHubページは404だった…。
# スラドはm.srad.jpから徐々にセキュアにしていく方針である様子。# HSTSプリロードは(残念ながら)サブドメインでは受理されないことになっているので、srad.jpが対応しない限りm.srad.jpのHSTSプリロードも来ないことになる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
この基準だとsrad.jpは「C」、m.srad.jpは「A-」 (スコア:5, 参考になる)
*.srad.jpの証明書は有効。HTTPSでの閲覧ができる。
スマホ版サイトのm.srad.jpだとHTTPSにリダイレクトされるが、従来のアドレスではリダイレクトされず、HTTPでアクセスしたらHTTPのまま。
HSTSヘッダーはm.srad.jpだと付いてきて Strict-Transport-Security: max-age=31536000 なので加点+10。
と言うことで、ここの採点基準だとスラドはPC版(srad.jp)が「C」、スマホ版(m.srad.jp)が「A-」判定になる。
# https://securethe.news/methodology-and-metrics/ [securethe.news] で公開されている仕様ではB+とA-とA+の境界が不明瞭であるが、https://securethe.news/sites/ で公表されている実際のグレードから、80点はA-になるものと結論した。
# なお前述のページからリンクされているGitHubページは404だった…。
# スラドはm.srad.jpから徐々にセキュアにしていく方針である様子。
# HSTSプリロードは(残念ながら)サブドメインでは受理されないことになっているので、srad.jpが対応しない限りm.srad.jpのHSTSプリロードも来ないことになる。