アカウント名:
パスワード:
セキュリティの知識のある人:なぜ当該サイトがSSLじゃないのか理解できずに戸惑う
知識のない人:問題があることに気づかない
警告マークが出ればどちらのユーザも適切な情報を受け取れるんだから、そのほうがいいのでは。
知識のある人は詳細を確認するから戸惑わないと思うが?
たとえばここでログインするのにこれまでも警告マークでない。それも問題?
詳細を調べればわかるのはあたりまえ。それ以前の、情報の伝達方法を言っている。
①知識がある人警告マークが出た場合: 証明書に問題があると気づいて確認する鍵マークが消えた場合: 非常にびっくりする。いったい何があった? 間違えてフィッシングサイトを見ているのか? SSLを使うのをやめたのか?
②知識がない人:HTTPSの意味をよく理解していないし、おそらくURLバーの表示をきちんと見ない。その場合、ただ鍵マークが消えるより、警告マークが表示された方が、「何か異常が起きている」ことに気づく可能性が高い。ある日三菱東京銀行のサイトの鍵マークが消えたとして、一般ユーザーがはたして気づくだろうか?
いずれのケースでも、情報伝達方法としてどちらが優れているかは明らかだと思う。
別のケースがあるのを忘れてる。「慎重に設計してhttpとhttpsを使い分けてあるサイトなので、深刻な問題はない」というケースで、いかにもエラー表示っぽいのが出るのは、そのサイトの設計者が可哀想。
例えば、今時見かけないけど、画像だけはhttpで送る設定のブログなり掲示板なりで、通信路上で通信が乗っ取られて攻撃者に変な画像に差し替えられる危険性は残るけど、それ以上に深刻なトラブルには繋がらないから、サーバの負荷低減とのトレードオフで、まあいいか、と言うような。
その他、トラッキング被害(?)に逢うとか問題が起こる可能性はちらほらあれど、アカウントが乗っ取られるような絶対避けなきゃならない事態には陥らないしー、みたいな。
深刻な被害が出る設計かどうかはブラウザには判断しようがないので、せめて、エラーっぽくない見た目にしたげましょう、と。
# まあ、そんなマニアックな設計すな、という話ではある
必要最小限にSSL使って「問題はない」と設計したつもりなのにhttp扱いされるのは可哀想じゃないの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
警告マークも出ないの? (スコア:1)
セキュリティの知識のある人:
なぜ当該サイトがSSLじゃないのか理解できずに戸惑う
知識のない人:
問題があることに気づかない
警告マークが出ればどちらのユーザも適切な情報を受け取れるんだから、そのほうがいいのでは。
Re: (スコア:0)
セキュリティの知識のある人:
なぜ当該サイトがSSLじゃないのか理解できずに戸惑う
知識のある人は詳細を確認するから戸惑わないと思うが?
知識のない人:
問題があることに気づかない
たとえばここでログインするのにこれまでも警告マークでない。それも問題?
Re: (スコア:0)
詳細を調べればわかるのはあたりまえ。それ以前の、情報の伝達方法を言っている。
①知識がある人
警告マークが出た場合: 証明書に問題があると気づいて確認する
鍵マークが消えた場合: 非常にびっくりする。いったい何があった? 間違えてフィッシングサイトを見ているのか? SSLを使うのをやめたのか?
②知識がない人:
HTTPSの意味をよく理解していないし、おそらくURLバーの表示をきちんと見ない。
その場合、ただ鍵マークが消えるより、警告マークが表示された方が、「何か異常が起きている」ことに気づく可能性が高い。
ある日三菱東京銀行のサイトの鍵マークが消えたとして、一般ユーザーがはたして気づくだろうか?
いずれのケースでも、情報伝達方法としてどちらが優れているかは明らかだと思う。
Re: 警告マークも出ないの? (スコア:0)
別のケースがあるのを忘れてる。
「慎重に設計してhttpとhttpsを使い分けてあるサイトなので、深刻な問題はない」というケースで、
いかにもエラー表示っぽいのが出るのは、そのサイトの設計者が可哀想。
例えば、今時見かけないけど、画像だけはhttpで送る設定のブログなり掲示板なりで、
通信路上で通信が乗っ取られて攻撃者に変な画像に差し替えられる危険性は残るけど、
それ以上に深刻なトラブルには繋がらないから、サーバの負荷低減とのトレードオフで、まあいいか、と言うような。
その他、トラッキング被害(?)に逢うとか問題が起こる可能性はちらほらあれど、
アカウントが乗っ取られるような絶対避けなきゃならない事態には陥らないしー、みたいな。
深刻な被害が出る設計かどうかはブラウザには判断しようがないので、せめて、エラーっぽくない見た目にしたげましょう、と。
# まあ、そんなマニアックな設計すな、という話ではある
Re: (スコア:0)
必要最小限にSSL使って「問題はない」と設計したつもりなのにhttp扱いされるのは可哀想じゃないの?