パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

HTTPS化されたe-Govサイト、HTTPでのアクセスはすべてアナウンスページに転送する残念な仕様」記事へのコメント

  • by Anonymous Coward on 2019年07月11日 9時42分 (#3649950)

    中間者攻撃を心配するなら、利用者がHTTPでアクセスするのをやめさせる必要がある。
    そのためには利用者のブックマークを変更してもらう必要がある。
    それにはe-Govサイトのように利用者に告知するほかないのでは?

    Wikipediaのページ [wikipedia.org]にもあるように、HSTSは「最初の接続ではWebブラウザはHTTPS接続を強制するべきかどうかを知り得ないため、攻撃に対して脆弱」だ。
    そのため、HSTSはあくまで過渡期の処理だと思うんだけど。

    • by Anonymous Coward

      ブックマークを変更してもらわなければセキュリティは強化されないのでこうするしかない、というのに同意。
      (中みてないけど)ひろみちゅのタイトルが言ってることそのままな気がするんだけどねえ。
      redirectのレスポンスがあまりにも誤用されたので意味を付け替えたり、HTTP関連って思い込みでサイト実装してるひとが多すぎるきがする。

    • by Anonymous Coward

      中間者攻撃を心配しているのは誰?

アレゲは一日にしてならず -- アレゲ研究家

処理中...