アカウント名:
パスワード:
某電話会社のサイトで、ユーザーログインのページが https なのに中身は Flash で、ユーザーIDとパスワードの入力も Flash で表示されてたんだけど、ああいうやり方の安全性ってどうなってんだろ。もちろん作成者がまともで、まともに記述された Flash コンテンツなら安全に送信することができるのは分かってるけど、ページを閲覧するユーザーはどうやってそれを確認したら良いんだろ。
html で書かれているなら、その気になればソースを見て、入力されたIDとパスワードがどこへどんなプロトコルで送信されるのかを、アホな作成者が ssl の意味を台無しにする書き方してないかを、自分で確認できるわけだよ。わざわざ確認するまでもなく、ちょっと気の利いたブラウザなら、おかしな接続先や危険なプロトコルで送信するとき、事前に警告もしてくれるわけだよ。Flash で書かれた場合、そういう懸念はどうやって払拭すれば良いんだ?アホな書き方されてないことを、どうやったら確かめられるんだ?
で、作成者が信頼できるのか、というかそれ以前にそもそも自分が信頼している作成者に本当に接続しているのか、どうやったら判別できるのか教えてください。Flashで。# 還付金詐欺の対策を説いてる人に「あなたは電話口の相手が税務署だと自称しているのに信頼できないのですか?」とでも言うの?
自分が信頼している作成者に本当に接続しているのか、どうやったら判別できるのか教えてください。
アドレスバーのURLが https: で始まっていて、ドメイン名があなたの知っている信頼先であることを、目視で確認してください。
で、振り出しに戻ったことは理解できるかな?アドレスバーのURLが https: で始まっていて、ドメイン名があなたの知っている信頼先であることを目視で確認しても、IDやパスワードの入力欄と送信ボタンがFlashだったら、アドレスバーのサーバーにセキュアなプロトコルで送信されるかどうか、どうやったら確かめられるのかい?
そしていくつか前のACだ。背後に人間が介在する以上絶対安全なシステムなどあり得ないのだから、セキュアなプロトコルの存在に意味は無いとでも言うつもりかな?すば洞つけたモデレータともども、レイヤーが異なる話にすり替えるのはやめてくれないかな。
flashの場合は、flashからアクセスできる範囲は、flashのあるコンテンツのサイトに限定されるので、
> おかしな接続先や危険なプロトコルで送信する
というようなことはないと思います。そういう意味では、htmlよりflashの方が安全かも知れません。
改善を促す意味でも、某電話会社なんてぼかさずにKDDI [kddi.com]って書いた方がいいと思う。
後でHTMLによるログインページも追加されたけど、最初はFlashだけだったからな。しかも未だにFlash版はWindows+IEしかサポートしない [kddi.com]し。Flashって、Flashプレーヤーさえ用意すればクロスプラットフォームで同じ表示ができる、ってのが売りの一つじゃなかったのか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
Flash のセキュリティ (スコア:2, 興味深い)
某電話会社のサイトで、ユーザーログインのページが https なのに中身は Flash で、ユーザーIDとパスワードの入力も Flash で表示されてたんだけど、ああいうやり方の安全性ってどうなってんだろ。もちろん作成者がまともで、まともに記述された Flash コンテンツなら安全に送信することができるのは分かってるけど、ページを閲覧するユーザーはどうやってそれを確認したら良いんだろ。
html で書かれているなら、その気になればソースを見て、入力されたIDとパスワードがどこへどんなプロトコルで送信されるのかを、アホな作成者が ssl の意味を台無しにする書き方してないかを、自分で確認できるわけだよ。
わざわざ確認するまでもなく、ちょっと気の利いたブラウザなら、おかしな接続先や危険なプロトコルで送信するとき、事前に警告もしてくれるわけだよ。Flash で書かれた場合、そういう懸念はどうやって払拭すれば良いんだ?アホな書き方されてないことを、どうやったら確かめられるんだ?
Re:Flash のセキュリティ (スコア:3, すばらしい洞察)
作成者が信頼できないなら、httpsによる安全性なんて元々無いんですよ。
Re:Flash のセキュリティ (スコア:1, 興味深い)
で、作成者が信頼できるのか、というかそれ以前にそもそも自分が信頼している作成者に本当に接続しているのか、どうやったら判別できるのか教えてください。Flashで。
# 還付金詐欺の対策を説いてる人に「あなたは電話口の相手が税務署だと自称しているのに信頼できないのですか?」とでも言うの?
Re: (スコア:0)
アドレスバーのURLが https: で始まっていて、ドメイン名があなたの知っている信頼先であることを、目視で確認してください。
Re: (スコア:0)
で、振り出しに戻ったことは理解できるかな?
アドレスバーのURLが https: で始まっていて、ドメイン名があなたの知っている信頼先であることを目視で確認しても、IDやパスワードの入力欄と送信ボタンがFlashだったら、アドレスバーのサーバーにセキュアなプロトコルで送信されるかどうか、どうやったら確かめられるのかい?
そしていくつか前のACだ。背後に人間が介在する以上絶対安全なシステムなどあり得ないのだから、セキュアなプロトコルの存在に意味は無いとでも言うつもりかな?すば洞つけたモデレータともども、レイヤーが異なる話にすり替えるのはやめてくれないかな。
Re:Flash のセキュリティ (スコア:1, 参考になる)
flashの場合は、flashからアクセスできる範囲は、flashのあるコンテンツのサイトに限定されるので、
> おかしな接続先や危険なプロトコルで送信する
というようなことはないと思います。
そういう意味では、htmlよりflashの方が安全かも知れません。
Re:Flash のセキュリティ (スコア:1, 興味深い)
改善を促す意味でも、某電話会社なんてぼかさずにKDDI [kddi.com]って書いた方がいいと思う。
後でHTMLによるログインページも追加されたけど、最初はFlashだけだったからな。しかも未だにFlash版はWindows+IEしかサポートしない [kddi.com]し。Flashって、Flashプレーヤーさえ用意すればクロスプラットフォームで同じ表示ができる、ってのが売りの一つじゃなかったのか?
Flashがセキュリティホール (スコア:0)
PDFやSWFを足がかりにしたウィルスが何度も流行ってることを考えれば・・・