アカウント名:
パスワード:
怪しい証明書のhttpsではしつこいくらいの警告を出したりするのにhttpでは大したことしない、というブラウザはポリシーがよく分からない。
ですね。HTTPSだけですと、HSTSを使っても初回訪問時にHTTPで中間者攻撃ができてしまいます。それを防ぐ方法として下のようなPreloaded HSTSへ登録するという手法がありますが、あまり普及していませんし、スケールしないので普及できるものでもないです。この問題を防ぐには、HTTPに警告を出すしか無いでしょう。
cybozu.com を真に常時 SSL にする話http://developer.cybozu.co.jp/tech/?p=6096 [cybozu.co.jp]
異常なものに警告を出して正常なものには警告を出さないのは至って普通ではいかと
異常なものに警告を出す目的は「安全のため」なのでhttpが安全でないなら当然警告するべきでは。
いや別にそこは問題にすべきところじゃないと思う。httpsだと、普通は「暗号化」に加え「正しいホストだと確認」することを期待してる。怪しい証明書の場合、httpsだから一見安全そうだけどホストが本物かどうかわからないから警告する。httpは何も気にしないモードだから警告もクソもない。
たぶん、証明書まで検証するかどうかで分けられればいいんだろうなぁ。httpssで検証付きみたいな。検証モードで、証明書まで検証してダメなら警告出せばいいし。とりあえず暗号化されてればいいか、ってサイトもあるし(某掲示板とか)、そこは証明書検証なしでいいし。
httpss 証明書検証付き暗号化https 暗号化のみhttp なにもなし
みたいになれば。
もっと信頼チェーンや中間者攻撃を勉強しましょう。# 検証なしで暗号化は全く無意味
全く無意味です。鍵交換を安全にできないなら暗号化する意味がない。
盗聴できるけど改ざんできない(しにくい)状況では意味を持ちます。そしてそういう状況は現実に割と多いです。
そのような状況でも全く無意味ですね。
JavascriptでOff-the-Record Messaging Protocol (OTR)あたりを使えば、意味がないことは無いかもしれませんが…
Off-the-Record Messaging Protocol implemented in JavaScripthttps://github.com/arlolra/otr [github.com]
でも、悪意ある無線LANや経路ハイジャックを考えると、やっぱりHTTPSが欲しいと思いますね。
おいおい。冗談だろ。無意味だよ。まさか本気で...
httpだってホストが本物かどうかわからないんだから警告する理由はある。「一見安全そうだけど」などという前提条件に何の意味があるのか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
まあ確かに (スコア:0)
怪しい証明書のhttpsではしつこいくらいの警告を出したりするのに
httpでは大したことしない、というブラウザはポリシーがよく分からない。
Re:まあ確かに (スコア:1)
ですね。HTTPSだけですと、HSTSを使っても初回訪問時にHTTPで中間者攻撃ができてしまいます。
それを防ぐ方法として下のようなPreloaded HSTSへ登録するという手法がありますが、
あまり普及していませんし、スケールしないので普及できるものでもないです。
この問題を防ぐには、HTTPに警告を出すしか無いでしょう。
cybozu.com を真に常時 SSL にする話
http://developer.cybozu.co.jp/tech/?p=6096 [cybozu.co.jp]
Re: (スコア:0)
異常なものに警告を出して
正常なものには警告を出さないのは
至って普通ではいかと
Re: (スコア:0)
異常なものに警告を出す目的は「安全のため」なので
httpが安全でないなら当然警告するべきでは。
Re: (スコア:0)
いや別にそこは問題にすべきところじゃないと思う。
httpsだと、普通は「暗号化」に加え「正しいホストだと確認」することを期待してる。
怪しい証明書の場合、httpsだから一見安全そうだけどホストが本物かどうかわからないから警告する。
httpは何も気にしないモードだから警告もクソもない。
たぶん、証明書まで検証するかどうかで分けられればいいんだろうなぁ。httpssで検証付きみたいな。
検証モードで、証明書まで検証してダメなら警告出せばいいし。
とりあえず暗号化されてればいいか、ってサイトもあるし(某掲示板とか)、そこは証明書検証なしでいいし。
httpss 証明書検証付き暗号化
https 暗号化のみ
http なにもなし
みたいになれば。
Re:まあ確かに (スコア:1)
もっと信頼チェーンや中間者攻撃を勉強しましょう。# 検証なしで暗号化は全く無意味
Re: (スコア:0)
Re:まあ確かに (スコア:1)
全く無意味です。
鍵交換を安全にできないなら暗号化する意味がない。
Re: (スコア:0)
盗聴できるけど改ざんできない(しにくい)状況では意味を持ちます。
そしてそういう状況は現実に割と多いです。
Re: (スコア:0)
そのような状況でも全く無意味ですね。
Re: (スコア:0)
JavascriptでOff-the-Record Messaging Protocol (OTR)あたりを使えば、意味がないことは無いかもしれませんが…
Off-the-Record Messaging Protocol implemented in JavaScript
https://github.com/arlolra/otr [github.com]
でも、悪意ある無線LANや経路ハイジャックを考えると、やっぱりHTTPSが欲しいと思いますね。
Re: (スコア:0)
おいおい。冗談だろ。
無意味だよ。まさか本気で...
Re: (スコア:0)
httpだってホストが本物かどうかわからないんだから警告する理由はある。
「一見安全そうだけど」などという前提条件に何の意味があるのか。