パスワードを忘れた? アカウント作成

HTTPS化されたe-Govサイト、HTTPでのアクセスはすべてアナウンスページに転送する残念な仕様」記事へのコメント

  • by Anonymous Coward on 2019年07月11日 8時22分 (#3649897)

    日本人には、『一番バカを基準にする』という極めて残念な習性がある。
    SSLやTLS 1.0/1.1が切られて久しい昨今、もしそのバカがいまだにWindows XPだの、Windows 9xだの、PowerPCやMotorola時代のMacだの、ガラケーのフルブラウザ(笑)などなどで、電子政府の総合窓口にアクセスしてきた場合。
    一般サイトと同じように http: から https: にリダイレクトしてしまうと、その手のバカから「電子政府の総合窓口に繋がらないんですけど?」という苦情を頂いてしまう。
    そこでその手のバカに「電子政府の総合窓口に繋がらないんですけど?」という苦情を入れられない為に、わざわざsorry.htmlを作成し、http: のままそこにリダイレクトする。
    一番バカを基準にする日本ではよくあること。

    ここに返信
    • by Anonymous Coward on 2019年07月11日 8時52分 (#3649919)

      これには凄い同意するわ。
      SSL3.0を無効化した時、客先からクレームの連絡があったよ。
      ブラウザ上には「接続できない」みたいなメッセージしか出ないから、事情を知らない人が原因に気付くことは困難。

      「クレーマーによる問い合わせ」を回避する上で、最も実現が容易でコストがかからない方法を選んだんでしょ。
      もっと良い仕様があったにせよ、これがそこまで悪い仕様とは思えない。

      技術的なことが全く分からない人間からのクレーム電話を受けたことがない人間には、奇妙に映るのだろうけれど。
      「俺にはホームページを見せられないってことか!今すぐうちまで土下座しに来い!」みたいな怒鳴り電話なんて、誰も受けたくないんだよ。

      • by Anonymous Coward

        ポート80でフルセットのhttpサーバを動かすよりも固定のリダイレクトリザルトを返す現在の仕様の方が安全です
        実装としてフルセットのhttpサーバを動かしているならあまりいみむしろ有害ですが

      • by Anonymous Coward

        SSLじゃないですが、SMB1.0を無効化して納品したファイルサーバで苦情頂きました。
        WINxpは使ってないけどandroid2.3は使ってるとか。
        #えぇ・・・。

        • by Ponta2 (47202) on 2019年07月11日 11時19分 (#3650021)
          それはAndroidのバージョンじゃなくて、使っているアプリの問題じゃないですか?
          • by Anonymous Coward

            3650013です。
            アプリの仕様の可能性もあります。オンプレで半分クローズド環境だったので。
            #後学のために、逆にandroid2x自体には、xpみたいなそもそもsmb2以降に対応していない縛りは無いんでしょうか・・?

      • by Anonymous Coward

        やっぱケータイ方式で、キャリアが端末まで抱え込んだほうがいいと痛感するよ。
        パソコンのような売りっぱなし商法では、こういう「サポート誰すんの」問題が起こると。

        一般人に対しては、基本サブスクでやったほうがいいわ。

      • by Anonymous Coward

        そういう目的ならHTTPのページに

        HTTPSに移行したのでリダイレクトします、しばらくお待ちください。
        自動でページが遷移しない場合お使いのブラウザのバージョンと設定をご確認ください。
        手動でジャンプする場合はhttps://〜を開いてください。

        にしといて、
        script srcでジャンプ先と同じTLSサポートの鯖から、自動ジャンプするスクリプト読み込み&
        onload+タイムアウトでTLS未サポートの可能性と対処の例示を追加表示すればいいと思う。
        # 混合コンテンツになっちゃうけど許して

    • by tomotomo (14442) on 2019年07月11日 8時30分 (#3649904)
      一番肝心なのはHSTS(httpsを強制する事を通知するオプションヘッダー)の有無です。
      HSTSを有効にしておけば対応ブラウザは勝手にhttpsにリダイレクトされますので、未対応ブラウザにhttpアクセスに対するレスポンスがSorryページで問題にならないと。
      • by Anonymous Coward

        > 未対応ブラウザにhttpアクセスに対するレスポンスがSorryページで問題にならないと。

        日本語で言うと?

        • by tomotomo (14442) on 2019年07月11日 9時49分 (#3649958)
          未対応ブラウザ使う人はhttpでつながってソーリー出るからいいよね。そもそも未対応なもの使う人はどうやっても救えないので
        • by Anonymous Coward

          ブラウザがHSTSに対応していれば自動でリダイレクトされるから問題にならない
          未対応であれば自動リダイレクトされないので、自動リダイレクトされたあげく繋がらないという問題にはならない
          未対応のブラウザを使うような人にはSorryページで十分だろう

      • by Anonymous Coward

        で、TLS証明書の更新忘れてhttpsがブロックされてhttpにもつながらないやつですね。

      • by Anonymous Coward

        へ?
        httpでしかアクセスしたことないならリダイレクトされないぞ。
        hstsはhttpsを使うようになったにも関わらずhttpで繋ごうとされる場合に有効なんであってな。

    • by Anonymous Coward on 2019年07月11日 21時01分 (#3650384)

      > わざわざsorry.htmlを作成し、http: のままそこにリダイレクトする。

      そうはなってません。
      sorry.html は HTTPS で、http から https にリダイレクトしてます。

      なので、その手のバカから「電子政府の総合窓口に繋がらないんですけど?」という苦情を頂いてしまうことには変わりなく、何の意味もありません。

      普通のサイトのように http を https に書き換えてリダイレクトすべきです。

    • by Anonymous Coward

      http:のままではなく、https:にリダイレクトされますよ。

          HTTP/1.0 302 Found
          Location: https://www.e-gov.go.jp/sorry.html [e-gov.go.jp]
          Connection: close

      • by Anonymous Coward

        なんだよなあ。
        元のページを残して通知に使っているのかと思って居たら。
        だから最初は元レスみたいに性善説的に考えたけど、後で?に。

    • by Anonymous Coward

      一番バカを基準にするって、そんなに残念なことか?
      むしろ今回の場合は一番バカが基準になっていないことが問題のような気がする。

      • by Anonymous Coward

        一番バカを基準にするならサーバ側でリダイレクトして気付かれないようにするのがいいね。
        バカが使うブラウザだとHSTSに対応してないかもしれない。

    • by Anonymous Coward

      日本人には、『一番バカを基準にする』という極めて残念な習性がある。

      私企業ならユーザーを切り捨てるのも自由だろうけど、公共サービスとして存在するなら当然でしょうに。

    • by Anonymous Coward

      いつの間にかJavaに依存しない環境に移行してる。変わりに電子申請アプリという謎ソフトのインストールを強制されるんだが、去年なかったような

アレゲは一日にしてならず -- アレゲ見習い

処理中...