アカウント名:
パスワード:
HTTPが安全じゃなくてHTTPSが安全ってのは盲信しすぎじゃないかと最近思う。証明書の安全性自体は問題視してないが、その上に載っているコンテンツも安全だと誰が決めたんだろうか。SSLインスペクションという名のMITMしない限りゲートウェイセキュリティ貫通しちゃうので、むしろ不正改ざんや悪意あるデータ・プログラムに対して脆弱になってるんじゃないかと思ってる。
非暗号化通信を残す理由が無いだけ
イントラ内や個人がサイトを公開するコストが上がる。無料で証明書取れるサービスもあるけど、それに依存しきった社会になるのも良くはない。後、特殊な事例でのリスクも上昇する。
HTTPで起こる問題ってDNSポイゾニングとかもあるにはあるけど実例聞かんし接続元のローカルネットが信用できないケースでしかまず起きない印象。逆にゲートウェイでの監視が効く分有利ってのはすでに言われているけど、ゲートウェイでの監視不能が標準になったら過激な対策がますます正当化される。オレオレ証明書をクライアントに入れてゲートウェイで再署名したり(オレオレ証明書を入れる問
MITM方式の監視を肯定する人の意見が通ったことはあんまりないし、この先も通ることはあんまりないと思いますよ。口ぶりから、プライベートIPアドレスで自己署名証明書を使ってるサーバを叩いた経験も直近ではなさそうだし、HSTSに萎えたこともなさそうだし……
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
HTTPSを盲信しすぎじゃね? (スコア:0)
HTTPが安全じゃなくてHTTPSが安全ってのは盲信しすぎじゃないかと最近思う。
証明書の安全性自体は問題視してないが、その上に載っているコンテンツも安全だと誰が決めたんだろうか。
SSLインスペクションという名のMITMしない限りゲートウェイセキュリティ貫通しちゃうので、むしろ不正改ざんや悪意あるデータ・プログラムに対して脆弱になってるんじゃないかと思ってる。
Re: (スコア:0)
非暗号化通信を残す理由が無いだけ
Re: (スコア:2, すばらしい洞察)
イントラ内や個人がサイトを公開するコストが上がる。
無料で証明書取れるサービスもあるけど、
それに依存しきった社会になるのも良くはない。
後、特殊な事例でのリスクも上昇する。
HTTPで起こる問題ってDNSポイゾニングとかもあるにはあるけど実例聞かんし
接続元のローカルネットが信用できないケースでしかまず起きない印象。
逆にゲートウェイでの監視が効く分有利ってのはすでに言われているけど、
ゲートウェイでの監視不能が標準になったら過激な対策がますます正当化される。
オレオレ証明書をクライアントに入れてゲートウェイで再署名したり
(オレオレ証明書を入れる問
Re:HTTPSを盲信しすぎじゃね? (スコア:2)
MITM方式の監視を肯定する人の意見が通ったことはあんまりないし、この先も通ることはあんまりないと思いますよ。口ぶりから、プライベートIPアドレスで自己署名証明書を使ってるサーバを叩いた経験も直近ではなさそうだし、HSTSに萎えたこともなさそうだし……