アカウント名:
パスワード:
あまり詳しくないんだけどSSL3?で脆弱性見つかってやれブラウザの設定から無効にしろとか、散々言われてたりSSLのライブラリ?にもバグがあってとかあるのに、非SSLのサイトを見ようとすると暗号化されていないだとかケチ付けられるようになって、どうしてくだらないクソサイト(自分のホームページとか他の人のポエムサイト)を見るのにもSSLでなきゃダメみたいな風潮になってるの?
弊社のホームページ作れって言われて作ったけどSSLは問い合わせフォームだけにしたそしたら自分は電話取ってないんだけど話してる感じから、どうやらホームページ作成系の営業電話で暗号化されていないことに関して聞かれてたみたいだった弊社は特に更新頻度が多くなきゃ困るようなものでもないし、問い合わせフォームもまあ一応作っておくかみたいな感じで付けたわけだけど、なんでID登録とか買い物とかそうでないもの含めて全部SSL化にこだわるようになったの?
#今まで5日仕事始めだったのがいつの間にか世間全体が4日仕事始めに統一された時みたいですごく気持ち悪い#いつの間にか世界線を越えてしまったのだろうか?
Googleの検索結果からhttpが冷遇されるようになったのでその手の案件はSEO的な観点からhttpsにしなければなりません
上の方にもあるけどhttpsは暗号化だけじゃない。DNSに細工されて変なサイトに飛ばされてないという証明にもなる。
現在の最低ラインはTLS1.2なのでSSLがどうこうというのは的外れ。問題起きたら廃止してもっと厳しいの使えってなってるし。全部SSL(HTTPS)化になったのは途中でHTTPが挟まるとそこ経由で突破される可能性があるからだね。HTTP/HTTPS混在コンテンツ(HTTPメイン)前提ならHTTP側からHTTPS側の情報を取得できるようになってるだろうし。
HTTPだと仕事中にくだらないサイトみてるとき会社のフィルタシステムに検知されちゃうじゃん?
HTTPSでも接続先はバレるやろw
脆弱性について規格と実装の話がごっちゃになってるっぽいし、SSLとTLSの区別もごっちゃになってるね。
実装の脆弱性で有名なのはHeartbleed(ハートブリード)とかだけど、実装の脆弱性はそのソフトウェアの問題であってSSL/TLSを使うべきかどうかとは直接関係しない。対処するまで当該ソフト使ってるとこは一旦使うな程度の話。
規格の脆弱性は古い規格は弱い暗号を許容してたり手順に問題があって、最終的には暗号が弱くなって意味を成さなくなるとかそういうの。暗号化無しでやられうる事が起こるのが基本なんで言うてそこまでだね。
SSLとTLSは概ね地続きの規格が途中で名前変わった程度の話が拗れただけ。SSLだった頃のは全部古すぎて「SSL」は使うなと言う話と、TLSを指して「SSL使え」と言っちゃう話が混ざっただけだろね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
前から不思議だったんだがなぜ世の中はSSLに移行したの? (スコア:0)
あまり詳しくないんだけどSSL3?で脆弱性見つかってやれブラウザの設定から無効にしろとか、
散々言われてたりSSLのライブラリ?にもバグがあってとかあるのに、
非SSLのサイトを見ようとすると暗号化されていないだとかケチ付けられるようになって、
どうしてくだらないクソサイト(自分のホームページとか他の人のポエムサイト)を見るのにもSSLでなきゃダメみたいな風潮になってるの?
弊社のホームページ作れって言われて作ったけどSSLは問い合わせフォームだけにした
そしたら自分は電話取ってないんだけど話してる感じから、
どうやらホームページ作成系の営業電話で暗号化されていないことに関して聞かれてたみたいだった
弊社は特に更新頻度が多くなきゃ困るようなものでもないし、問い合わせフォームも
まあ一応作っておくかみたいな感じで付けたわけだけど、
なんでID登録とか買い物とかそうでないもの含めて全部SSL化にこだわるようになったの?
#今まで5日仕事始めだったのがいつの間にか世間全体が4日仕事始めに統一された時みたいですごく気持ち悪い
#いつの間にか世界線を越えてしまったのだろうか?
Re: (スコア:0)
Googleの検索結果からhttpが冷遇されるようになったので
その手の案件はSEO的な観点からhttpsにしなければなりません
Re: (スコア:0)
上の方にもあるけどhttpsは暗号化だけじゃない。DNSに細工されて変なサイトに飛ばされてないという証明にもなる。
Re: (スコア:0)
現在の最低ラインはTLS1.2なのでSSLがどうこうというのは的外れ。
問題起きたら廃止してもっと厳しいの使えってなってるし。
全部SSL(HTTPS)化になったのは途中でHTTPが挟まるとそこ経由で突破される可能性があるからだね。
HTTP/HTTPS混在コンテンツ(HTTPメイン)前提ならHTTP側からHTTPS側の情報を取得できるようになってるだろうし。
Re: (スコア:0)
HTTPだと仕事中にくだらないサイトみてるとき会社のフィルタシステムに検知されちゃうじゃん?
Re: (スコア:0)
HTTPSでも接続先はバレるやろw
Re: (スコア:0)
脆弱性について規格と実装の話がごっちゃになってるっぽいし、
SSLとTLSの区別もごっちゃになってるね。
実装の脆弱性で有名なのはHeartbleed(ハートブリード)とかだけど、
実装の脆弱性はそのソフトウェアの問題であって
SSL/TLSを使うべきかどうかとは直接関係しない。
対処するまで当該ソフト使ってるとこは一旦使うな程度の話。
規格の脆弱性は古い規格は弱い暗号を許容してたり手順に問題があって、
最終的には暗号が弱くなって意味を成さなくなるとかそういうの。
暗号化無しでやられうる事が起こるのが基本なんで言うてそこまでだね。
SSLとTLSは概ね地続きの規格が途中で名前変わった程度の話が拗れただけ。
SSLだった頃のは全部古すぎて「SSL」は使うなと言う話と、
TLSを指して「SSL使え」と言っちゃう話が混ざっただけだろね。