アカウント名:
パスワード:
想定しないなら443なんか開けないだろ何かの理由でHTTPSでないプロトコル(SMTPとかSSHとか?)を443で運用しなければならないといったレアケースを除けば
知っている。
とだけ答えても話が進まないので質問の意図を勝手に推測するが(間違っていたら指摘してくれ)、NameVirtualHostでIPアドレスは同じだからあるサイトがHTTPSを使っているだけで同マシン上の他のサイトも443が開いてしまう、というケースの事なら、それはシステム設計・運用設計が腐っているだけだ。自前のIPアドレスを確保できないならHTTPSなんかやるべきではない。無理に使ったところでかえって信頼をなくすのがオチだ。
>・https://vhost.example.com に接続しようとした場合
vhost.example.comが(例えば)HTTPのみでサービスするよう設計されているなら、
> ・SSLのレイヤでは接続が成立する。(そりゃポートが開いているから、ただし証明書を確認するとエラー。)
こんな接続が成立すること自体が間違い。サービスするつもりのないポートにアクセスできてしまうのは問題だろう。IPアドレスを共有した結果このような事態が起きるのなら、そもそもwww.example.comのIPアドレスは他と共有するべきではない、と私は主張している。
> ・証明書エラーを無視して進んでもHTTPのレイヤで403か404。
穴は開いているけど中が空なら結果的にセーフだよね、と言っているに過ぎない。不要な穴は極力開けないのが正しいアプローチ。
なんか、すごく平行線な気がしてきました。
> 全然問題ない。レンタルサーバなので他のところにつながっているだけの話。安全性に関係がない。> 理由がない。レンタルサーバ事業の全否定であり、現実を見ていない戯言。
たとえ実害がなくても他のところにつながること自体が問題だ、と言っているのですが、「実害がないのだから問題ない」「レンタルサーバ業者がそうしているのだから問題ない」とおっしゃるのでしたら、たぶん私たちは分かり合えないと思います。「実害がない」のと「実害が起こり得ない」のは全く別のことで、私は後者を目指すべきだと考えていますが、他の
分かりました。正直、あなたが「何ら問題ない」という理由が私にはまだ理解できていないのですが、それは私が不勉強なため、と結論づけることにします。お手間を取らせました。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
それって… (スコア:0)
Re: (スコア:0)
想定しないなら443なんか開けないだろ
何かの理由でHTTPSでないプロトコル(SMTPとかSSHとか?)を443で
運用しなければならないといったレアケースを除けば
Re: (スコア:0)
Re: (スコア:-1, 荒らし)
知っている。
とだけ答えても話が進まないので質問の意図を勝手に推測するが(間違っていたら
指摘してくれ)、NameVirtualHostでIPアドレスは同じだからあるサイトがHTTPSを
使っているだけで同マシン上の他のサイトも443が開いてしまう、というケースの事
なら、それはシステム設計・運用設計が腐っているだけだ。
自前のIPアドレスを確保できないならHTTPSなんかやるべきではない。無理に使った
ところでかえって信頼をなくすのがオチだ。
Re:それって… (スコア:3, 参考になる)
>なら、それはシステム設計・運用設計が腐っているだけだ。
なら具体的にどこが問題なのか教えてくれ。
以下のような設定のどこが問題?
・www.example.comとvhost.example.comを同一IPで運用している。
・SSL証明書はwww.example.comのものを使用。
・https://www.example.com で管理用のサイトに接続できる。
・https://vhost.example.com に接続しようとした場合
・SSLのレイヤでは接続が成立する。(そりゃポートが開いているから、ただし証明書を確認するとエラー。)
・証明書エラーを無視して進んでもHTTPのレイヤで403か404。
Re: (スコア:0)
>・https://vhost.example.com に接続しようとした場合
vhost.example.comが(例えば)HTTPのみでサービスするよう設計されているなら、
> ・SSLのレイヤでは接続が成立する。(そりゃポートが開いているから、ただし証明書を確認するとエラー。)
こんな接続が成立すること自体が間違い。サービスするつもりのないポートに
アクセスできてしまうのは問題だろう。IPアドレスを共有した結果このような
事態が起きるのなら、そもそもwww.example.comのIPアドレスは他と共有する
べきではない、と私は主張している。
> ・証明書エラーを無視して進んでもHTTPのレイヤで403か404。
穴は開いているけど中が空なら結果的にセーフだよね、と言っているに過ぎない。
不要な穴は極力開けないのが正しいアプローチ。
Re: (スコア:0)
> サービスするつもりのないポートにアクセスできてしまうのは問題だろう。
全然問題ない。レンタルサーバなので他のところにつながっているだけの話。安全性に関係がない。
> IPアドレスを共有した結果このような事態が起きるのなら、
> そもそもwww.example.comのIPアドレスは他と共有するべきではない、と私は主張している。
理由がない。レンタルサーバ事業の全否定であり、現実を見ていない戯言。
> 穴は開いているけど中が空なら結果的にセーフだよね、と言っているに過ぎない。
> 不要な穴は極力開けないのが正しいアプローチ。
もしかして、サーバーバージョンを隠しましょうとか言い出す、なんちゃってセキュリティ専門家の方ですか?
Re: (スコア:0)
なんか、すごく平行線な気がしてきました。
> 全然問題ない。レンタルサーバなので他のところにつながっているだけの話。安全性に関係がない。
> 理由がない。レンタルサーバ事業の全否定であり、現実を見ていない戯言。
たとえ実害がなくても他のところにつながること自体が問題だ、と言っているのですが、
「実害がないのだから問題ない」「レンタルサーバ業者がそうしているのだから問題ない」
とおっしゃるのでしたら、たぶん私たちは分かり合えないと思います。
「実害がない」のと「実害が起こり得ない」のは全く別のことで、私は後者を目指すべきだと
考えていますが、他の
Re: (スコア:0)
> # なおさら悪い、と言われそう
なるほど、なおさら悪いです。
あなたが問題だと主張していることは、セキュリティ的に、何ら問題ありません。
Re: (スコア:0)
分かりました。
正直、あなたが「何ら問題ない」という理由が私にはまだ理解できていない
のですが、それは私が不勉強なため、と結論づけることにします。
お手間を取らせました。
Re: (スコア:0)
証明書エラーを無視して進んだらログイン画面だった。これって問題?
#いや、さっき見つけてしまったんで。
Re: (スコア:0)
証明書エラーを無視して進んだ時点であなたの自己責任であり、他の誰にも問題はありません。
証明書エラーを無視して進む必要がないのですから。(サイト運営者が想定していないアクセスなので。)