パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Chrome 46ではSHA-1証明書などを利用したHTTPSはHTTPと同様の表示になる」記事へのコメント

  • セキュリティの知識のある人:
    なぜ当該サイトがSSLじゃないのか理解できずに戸惑う

    知識のない人:
    問題があることに気づかない

    警告マークが出ればどちらのユーザも適切な情報を受け取れるんだから、そのほうがいいのでは。

    • by Anonymous Coward

      セキュリティの知識のある人:
      なぜ当該サイトがSSLじゃないのか理解できずに戸惑う

      知識のある人は詳細を確認するから戸惑わないと思うが?

      知識のない人:
      問題があることに気づかない

      たとえばここでログインするのにこれまでも警告マークでない。それも問題?

      • by Anonymous Coward

        詳細を調べればわかるのはあたりまえ。それ以前の、情報の伝達方法を言っている。

        ①知識がある人
        警告マークが出た場合: 証明書に問題があると気づいて確認する
        鍵マークが消えた場合: 非常にびっくりする。いったい何があった? 間違えてフィッシングサイトを見ているのか? SSLを使うのをやめたのか?

        ②知識がない人:
        HTTPSの意味をよく理解していないし、おそらくURLバーの表示をきちんと見ない。
        その場合、ただ鍵マークが消えるより、警告マークが表示された方が、「何か異常が起きている」ことに気づく可能性が高い。
        ある日三菱東京銀行のサイトの鍵マークが消えたとして、一般ユーザーがはたして気づくだろうか?

        いずれのケースでも、情報伝達方法としてどちらが優れているかは明らかだと思う。

        • by Anonymous Coward on 2015年10月18日 0時34分 (#2901889)

          別のケースがあるのを忘れてる。
          「慎重に設計してhttpとhttpsを使い分けてあるサイトなので、深刻な問題はない」というケースで、
          いかにもエラー表示っぽいのが出るのは、そのサイトの設計者が可哀想。

          例えば、今時見かけないけど、画像だけはhttpで送る設定のブログなり掲示板なりで、
          通信路上で通信が乗っ取られて攻撃者に変な画像に差し替えられる危険性は残るけど、
          それ以上に深刻なトラブルには繋がらないから、サーバの負荷低減とのトレードオフで、まあいいか、と言うような。

          その他、トラッキング被害(?)に逢うとか問題が起こる可能性はちらほらあれど、
          アカウントが乗っ取られるような絶対避けなきゃならない事態には陥らないしー、みたいな。

          深刻な被害が出る設計かどうかはブラウザには判断しようがないので、せめて、エラーっぽくない見た目にしたげましょう、と。

          # まあ、そんなマニアックな設計すな、という話ではある

          親コメント
          • by Anonymous Coward

            必要最小限にSSL使って「問題はない」と設計したつもりなのにhttp扱いされるのは可哀想じゃないの?

開いた括弧は必ず閉じる -- あるプログラマー

処理中...