アカウント名:
パスワード:
現状ミクスドコンテンツなんて技術力のない一般であって悪用としてあるわけじゃない
むしろハックされて差し込まれてる部分だけHTTPSみたいな笑えないことも
改善して無くなったほうが良いのは確かだけどお題目としての相手はとっくに外部呼び込みもHTTPSしてる
受動的コンテンツのHTTPS強制も無意味だし
# 証明書をちゃんと確認する一般人なんかいねぇよみたいな
ほんとそれな。わざわざミックス化して抵抗意思表示したいって奴も出てくるんじゃね。それ自体が重大なセキュリティリスク作ってるのでない限り、ブラウザごときがそんな個々の実装方針に口出す資格はねぇよ。
一時のIEよりも明白に邪悪だ。
なんかな。現状のIE11でさえかなり以前から混合コンテンツって既定で動作しないようになってるんだぜ。今更イメージ等を許す必然はもうないだろ。そもそも出所不明なリソースを読み込めるってのは重大なセキュリティリスクと化してるだろ。悪意あるサイトをhttps化するのは簡単だが、そもそもの脅威は通信中のリソースの差し替えへの対策なんだから悪意あるサイトがhttps化されようがどうでもいい。
しかし動画はブロックしないのか。中途半端な。
どうでもいいHTTPな外部サイトの画像を参照するたびに自前にキャッシュしたりリンク化して別タブで開いたりってーのもアホらしいっていうか危ないと思うがな。HTTPで通信内容がすり替えられて別の画像が表示される程度のリスクより、悪意があるかもしれない任意コンテンツをキャッシュして自前のサーバで配信しちゃったり、画像っぽいURLで画像じゃないコンテンツにリンクを張ってしまう方が怖い。素直に外部画像として読み込んで変なの来たら破損画像扱いする方が遥かに安全じゃない?画像として読んでも問題があるエクスプロイトとかはミックス以前にHTTP全部塞がにゃ無意味だし。
素直に外部画像として読み込んで変なの来たら破損画像扱いする方が遥かに安全じゃない?
何をもって変なのと判断するんだろう?
そもそもすり替えられたら困るリソースの配信は端からhttpsで行うべきで、
うん、だからhttpsにするんだよ。
「どうせてめぇらには無理だから死ね」?「雑兵の体力なんて知らねぇよボケ」?
無理なら死ね。迷惑だ。
> 何をもって変なのと判断する画像として読めない以外に現時点で破損画像扱いされるレスポンスがあるのか?HTTPサイトの画像を参照させるに当たり、imgタグで読ませればhtml帰ってきても無視されて終わりだが、リンクで直に開かせたらhtml帰ってきてスクリプト実行されて、場合によってはCSRFされてと面倒事が増えるだろうがバカめ。
> うん、だからhttpsにするんだよ。君、人の話を聞かないってよく言われるだろ。差し替えられても困らない、第三者のサーバの画像とかの話だぞ?差し替えられて困るようなリソースはhttps採用する段階でhttps化して当然で、それをやらずにhtmlだけhttpsにしてるような半端な馬鹿とかどうでもいいよ。
> 無理なら死ね。迷惑だ。迷惑なバカを殺すのは別にどうでもいいが、巻き添えで死ぬ奴がいるって話なんだが。それともあれか、前も見ずに刀振り回して人が死んでも「俺様が刀を振り回したいと思ったときに目の前にいたあんたが悪い、迷惑だ」みたいな話か?独裁万歳してるだけの思考停止では議論にならんな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
実効性はないな (スコア:0)
現状ミクスドコンテンツなんて
技術力のない一般であって
悪用としてあるわけじゃない
むしろハックされて
差し込まれてる部分だけHTTPS
みたいな笑えないことも
改善して無くなったほうが良いのは確かだけど
お題目としての相手はとっくに外部呼び込みもHTTPSしてる
受動的コンテンツのHTTPS強制も無意味だし
# 証明書をちゃんと確認する一般人なんかいねぇよみたいな
Re: (スコア:0)
ほんとそれな。
わざわざミックス化して抵抗意思表示したいって奴も出てくるんじゃね。
それ自体が重大なセキュリティリスク作ってるのでない限り、
ブラウザごときがそんな個々の実装方針に口出す資格はねぇよ。
一時のIEよりも明白に邪悪だ。
Re: (スコア:1)
なんかな。
現状のIE11でさえかなり以前から混合コンテンツって既定で動作しないようになってるんだぜ。
今更イメージ等を許す必然はもうないだろ。
そもそも出所不明なリソースを読み込めるってのは重大なセキュリティリスクと化してるだろ。
悪意あるサイトをhttps化するのは簡単だが、そもそもの脅威は通信中のリソースの差し替えへの対策なんだから悪意あるサイトがhttps化されようがどうでもいい。
しかし動画はブロックしないのか。中途半端な。
Re: (スコア:0)
どうでもいいHTTPな外部サイトの画像を参照するたびに自前にキャッシュしたり
リンク化して別タブで開いたりってーのもアホらしいっていうか危ないと思うがな。
HTTPで通信内容がすり替えられて別の画像が表示される程度のリスクより、
悪意があるかもしれない任意コンテンツをキャッシュして自前のサーバで配信しちゃったり、
画像っぽいURLで画像じゃないコンテンツにリンクを張ってしまう方が怖い。
素直に外部画像として読み込んで変なの来たら破損画像扱いする方が遥かに安全じゃない?
画像として読んでも問題があるエクスプロイトとかはミックス以前にHTTP全部塞がにゃ無意味だし。
Re: (スコア:0)
素直に外部画像として読み込んで変なの来たら破損画像扱いする方が遥かに安全じゃない?
何をもって変なのと判断するんだろう?
そもそもすり替えられたら困るリソースの配信は端からhttpsで行うべきで、
うん、だからhttpsにするんだよ。
「どうせてめぇらには無理だから死ね」?「雑兵の体力なんて知らねぇよボケ」?
無理なら死ね。迷惑だ。
Re:実効性はないな (スコア:0)
> 何をもって変なのと判断する
画像として読めない以外に現時点で破損画像扱いされるレスポンスがあるのか?
HTTPサイトの画像を参照させるに当たり、
imgタグで読ませればhtml帰ってきても無視されて終わりだが、
リンクで直に開かせたらhtml帰ってきてスクリプト実行されて、
場合によってはCSRFされてと面倒事が増えるだろうがバカめ。
> うん、だからhttpsにするんだよ。
君、人の話を聞かないってよく言われるだろ。
差し替えられても困らない、第三者のサーバの画像とかの話だぞ?
差し替えられて困るようなリソースはhttps採用する段階でhttps化して当然で、
それをやらずにhtmlだけhttpsにしてるような半端な馬鹿とかどうでもいいよ。
> 無理なら死ね。迷惑だ。
迷惑なバカを殺すのは別にどうでもいいが、
巻き添えで死ぬ奴がいるって話なんだが。
それともあれか、前も見ずに刀振り回して人が死んでも
「俺様が刀を振り回したいと思ったときに目の前にいたあんたが悪い、迷惑だ」
みたいな話か?独裁万歳してるだけの思考停止では議論にならんな。