アカウント名:
パスワード:
怪しい証明書のhttpsではしつこいくらいの警告を出したりするのにhttpでは大したことしない、というブラウザはポリシーがよく分からない。
いや別にそこは問題にすべきところじゃないと思う。httpsだと、普通は「暗号化」に加え「正しいホストだと確認」することを期待してる。怪しい証明書の場合、httpsだから一見安全そうだけどホストが本物かどうかわからないから警告する。httpは何も気にしないモードだから警告もクソもない。
たぶん、証明書まで検証するかどうかで分けられればいいんだろうなぁ。httpssで検証付きみたいな。検証モードで、証明書まで検証してダメなら警告出せばいいし。とりあえず暗号化されてればいいか、ってサイトもあるし(某掲示板とか)、そこは証明書検証なしでいいし。
httpss 証明書検証付き暗号化https 暗号化のみhttp なにもなし
みたいになれば。
もっと信頼チェーンや中間者攻撃を勉強しましょう。# 検証なしで暗号化は全く無意味
全く無意味です。鍵交換を安全にできないなら暗号化する意味がない。
盗聴できるけど改ざんできない(しにくい)状況では意味を持ちます。そしてそういう状況は現実に割と多いです。
そのような状況でも全く無意味ですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
まあ確かに (スコア:0)
怪しい証明書のhttpsではしつこいくらいの警告を出したりするのに
httpでは大したことしない、というブラウザはポリシーがよく分からない。
Re: (スコア:0)
いや別にそこは問題にすべきところじゃないと思う。
httpsだと、普通は「暗号化」に加え「正しいホストだと確認」することを期待してる。
怪しい証明書の場合、httpsだから一見安全そうだけどホストが本物かどうかわからないから警告する。
httpは何も気にしないモードだから警告もクソもない。
たぶん、証明書まで検証するかどうかで分けられればいいんだろうなぁ。httpssで検証付きみたいな。
検証モードで、証明書まで検証してダメなら警告出せばいいし。
とりあえず暗号化されてればいいか、ってサイトもあるし(某掲示板とか)、そこは証明書検証なしでいいし。
httpss 証明書検証付き暗号化
https 暗号化のみ
http なにもなし
みたいになれば。
Re: (スコア:1)
もっと信頼チェーンや中間者攻撃を勉強しましょう。# 検証なしで暗号化は全く無意味
Re: (スコア:0)
Re: (スコア:1)
全く無意味です。
鍵交換を安全にできないなら暗号化する意味がない。
Re: (スコア:0)
盗聴できるけど改ざんできない(しにくい)状況では意味を持ちます。
そしてそういう状況は現実に割と多いです。
Re:まあ確かに (スコア:0)
そのような状況でも全く無意味ですね。