アカウント名:
パスワード:
> HTTPではセキュリティ的な対策が行われていない
行う必要がないって考えもある。
セキュリティ的な対策を行われていなければいけないときに警告すればいいのでは?
暗号化通信が必要なサイトはすでにやってると思うんだよね。もちろん、一部に「あるべきところで使われてない」というのはあるだろうけど、そういうサイトを使うかどうかはユーザーが判断すればいいと思う。スラドのログイン画面もSSLないらしいし。そこに必要かどうかはユーザーが評価すればいい。自分はスラドくらいならいらないと思ってる。
それより、最近ネタにもなったhttpsなのにcookieにsecure属性つけてないとか、SQLインジェクションとかXSSとか、他の脆弱性をなくす努力の方が重要な気がする。ページ内のすべての要素が正しく
ちょっとした会員サイト作って、メールアドレスとパスワードのセットを入手して、大手のメールサービスにログイン試してみたらそこそこ情報収集できるんじゃないかなーとか思う。バレにくそうだし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
行う必要がないって考えもある。 (スコア:2)
> HTTPではセキュリティ的な対策が行われていない
行う必要がないって考えもある。
セキュリティ的な対策を行われていなければいけないときに警告すればいいのでは?
Re: (スコア:1)
暗号化通信が必要なサイトはすでにやってると思うんだよね。
もちろん、一部に「あるべきところで使われてない」というのはあるだろうけど、そういうサイトを使うかどうかはユーザーが判断すればいいと思う。
スラドのログイン画面もSSLないらしいし。そこに必要かどうかはユーザーが評価すればいい。自分はスラドくらいならいらないと思ってる。
それより、最近ネタにもなったhttpsなのにcookieにsecure属性つけてないとか、SQLインジェクションとかXSSとか、他の脆弱性をなくす努力の方が重要な気がする。
ページ内のすべての要素が正しく
Re: (スコア:1)
どこのログインページも SSL つけたらいいのになとは思うわ。
Re:行う必要がないって考えもある。 (スコア:0)
ちょっとした会員サイト作って、メールアドレスとパスワードのセットを入手して、
大手のメールサービスにログイン試してみたらそこそこ情報収集できるんじゃないかなーとか思う。
バレにくそうだし。