パスワードを忘れた? アカウント作成
13955270 story
政府

HTTPS化されたe-Govサイト、HTTPでのアクセスはすべてアナウンスページに転送する残念な仕様 73

ストーリー by hylom
この仕様を考えたのは誰だ 部門より

「電子政府の総合窓口」となっている政府のe-Gov WebサイトがHTTPS化されたのだが、これによってHTTPによる接続が廃止されたうえ、HTTPでアクセスした際にはHTTPS版ページへのリダイレクトは行われず、まったく別のページにリダイレクトされる仕様になっていることから、不便だという声が出ている(@pmx003_the_oのTweet)。

コンテンツのパス自体は変更されていないため、URLの「http://」を「https://」に変更すればアクセス自体は可能になるのだが、現状e-GovサイトにHTTPでアクセスするとすべて「e-Govサイトのhttpによる通信終了について」(URLは「https://www.e-gov.go.jp/sorry.html」)にリダイレクトされる仕様になっており、URLを再度入力しなければならなくなっている。

セキュリティ研究家の高木浩光氏はこれに対し、「廃止すると安全になると勘違いしてそうだな。(実際には、廃止しようが、攻撃者は http:// のページを出してくる。)」と指摘している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年07月11日 8時22分 (#3649897)

    日本人には、『一番バカを基準にする』という極めて残念な習性がある。
    SSLやTLS 1.0/1.1が切られて久しい昨今、もしそのバカがいまだにWindows XPだの、Windows 9xだの、PowerPCやMotorola時代のMacだの、ガラケーのフルブラウザ(笑)などなどで、電子政府の総合窓口にアクセスしてきた場合。
    一般サイトと同じように http: から https: にリダイレクトしてしまうと、その手のバカから「電子政府の総合窓口に繋がらないんですけど?」という苦情を頂いてしまう。
    そこでその手のバカに「電子政府の総合窓口に繋がらないんですけど?」という苦情を入れられない為に、わざわざsorry.htmlを作成し、http: のままそこにリダイレクトする。
    一番バカを基準にする日本ではよくあること。

    • by Anonymous Coward on 2019年07月11日 8時52分 (#3649919)

      これには凄い同意するわ。
      SSL3.0を無効化した時、客先からクレームの連絡があったよ。
      ブラウザ上には「接続できない」みたいなメッセージしか出ないから、事情を知らない人が原因に気付くことは困難。

      「クレーマーによる問い合わせ」を回避する上で、最も実現が容易でコストがかからない方法を選んだんでしょ。
      もっと良い仕様があったにせよ、これがそこまで悪い仕様とは思えない。

      技術的なことが全く分からない人間からのクレーム電話を受けたことがない人間には、奇妙に映るのだろうけれど。
      「俺にはホームページを見せられないってことか!今すぐうちまで土下座しに来い!」みたいな怒鳴り電話なんて、誰も受けたくないんだよ。

      親コメント
      • by Anonymous Coward

        ポート80でフルセットのhttpサーバを動かすよりも固定のリダイレクトリザルトを返す現在の仕様の方が安全です
        実装としてフルセットのhttpサーバを動かしているならあまりいみむしろ有害ですが

      • by Anonymous Coward

        SSLじゃないですが、SMB1.0を無効化して納品したファイルサーバで苦情頂きました。
        WINxpは使ってないけどandroid2.3は使ってるとか。
        #えぇ・・・。

        • by Ponta2 (47202) on 2019年07月11日 11時19分 (#3650021)
          それはAndroidのバージョンじゃなくて、使っているアプリの問題じゃないですか?
          親コメント
          • by Anonymous Coward

            3650013です。
            アプリの仕様の可能性もあります。オンプレで半分クローズド環境だったので。
            #後学のために、逆にandroid2x自体には、xpみたいなそもそもsmb2以降に対応していない縛りは無いんでしょうか・・?

            • by Ponta2 (47202) on 2019年07月11日 17時54分 (#3650261)
              AndroidのOS自体にCIFS/SMBに対するサポートは無いんで、各アプリでそれぞれに対応しています。
              なのでSMB2以降にアクセスできるかどうかはそのアプリ(の使っているCIFSライブラリ)次第ということになります。
              親コメント
    • by tomotomo (14442) on 2019年07月11日 8時30分 (#3649904)
      一番肝心なのはHSTS(httpsを強制する事を通知するオプションヘッダー)の有無です。
      HSTSを有効にしておけば対応ブラウザは勝手にhttpsにリダイレクトされますので、未対応ブラウザにhttpアクセスに対するレスポンスがSorryページで問題にならないと。
      親コメント
      • by Anonymous Coward

        > 未対応ブラウザにhttpアクセスに対するレスポンスがSorryページで問題にならないと。

        日本語で言うと?

    • by Anonymous Coward on 2019年07月11日 21時01分 (#3650384)

      > わざわざsorry.htmlを作成し、http: のままそこにリダイレクトする。

      そうはなってません。
      sorry.html は HTTPS で、http から https にリダイレクトしてます。

      なので、その手のバカから「電子政府の総合窓口に繋がらないんですけど?」という苦情を頂いてしまうことには変わりなく、何の意味もありません。

      普通のサイトのように http を https に書き換えてリダイレクトすべきです。

      親コメント
    • by Anonymous Coward

      http:のままではなく、https:にリダイレクトされますよ。

          HTTP/1.0 302 Found
          Location: https://www.e-gov.go.jp/sorry.html [e-gov.go.jp]
          Connection: close

      • by Anonymous Coward

        なんだよなあ。
        元のページを残して通知に使っているのかと思って居たら。
        だから最初は元レスみたいに性善説的に考えたけど、後で?に。

    • by Anonymous Coward

      一番バカを基準にするって、そんなに残念なことか?
      むしろ今回の場合は一番バカが基準になっていないことが問題のような気がする。

      • by Anonymous Coward

        一番バカを基準にするならサーバ側でリダイレクトして気付かれないようにするのがいいね。
        バカが使うブラウザだとHSTSに対応してないかもしれない。

    • by Anonymous Coward

      日本人には、『一番バカを基準にする』という極めて残念な習性がある。

      私企業ならユーザーを切り捨てるのも自由だろうけど、公共サービスとして存在するなら当然でしょうに。

    • by Anonymous Coward

      いつの間にかJavaに依存しない環境に移行してる。変わりに電子申請アプリという謎ソフトのインストールを強制されるんだが、去年なかったような

  • by Widgetech (24630) on 2019年07月11日 9時43分 (#3649951) 日記
    それ以前にサイトの検索結果(Googleカスタム検索)が全部 http:/// [http] なので表示できなのですが。
    • by Anonymous Coward

      それはグーグルに文句言えよw

      • Re:検索がHTTP (スコア:2, 参考になる)

        by Anonymous Coward on 2019年07月11日 11時02分 (#3650012)
        グーグルは検索結果を表示しているだけで、手続きをする必要があるのはGoogle カスタム検索を導入した人ですよ。

        具体的には:
        • https を使用するURLを記載したサイトマップを設置
        • Google に新しいサイトマップをインデックスとして送信する
        • インデックス更新後にhttp 版の旧サイトマップを削除
        • 残留している旧コンテンツの否認設定を送信

        等をカスタム検索設置側が行う必要があります。

        親コメント
  • by minet (45149) on 2019年07月11日 7時51分 (#3649889) 日記

    80ポートも塞いじゃえ

    • by Anonymous Coward

      80ポートも塞いじゃえ

      おいやめろ
      お上にそんなこと言ったら
      LANポート80個塞ぎかねないぞ

  • by Anonymous Coward on 2019年07月11日 9時42分 (#3649950)

    中間者攻撃を心配するなら、利用者がHTTPでアクセスするのをやめさせる必要がある。
    そのためには利用者のブックマークを変更してもらう必要がある。
    それにはe-Govサイトのように利用者に告知するほかないのでは?

    Wikipediaのページ [wikipedia.org]にもあるように、HSTSは「最初の接続ではWebブラウザはHTTPS接続を強制するべきかどうかを知り得ないため、攻撃に対して脆弱」だ。
    そのため、HSTSはあくまで過渡期の処理だと思うんだけど。

    • by Anonymous Coward

      ブックマークを変更してもらわなければセキュリティは強化されないのでこうするしかない、というのに同意。
      (中みてないけど)ひろみちゅのタイトルが言ってることそのままな気がするんだけどねえ。
      redirectのレスポンスがあまりにも誤用されたので意味を付け替えたり、HTTP関連って思い込みでサイト実装してるひとが多すぎるきがする。

    • by Anonymous Coward

      中間者攻撃を心配しているのは誰?

  • by Anonymous Coward on 2019年07月11日 8時02分 (#3649891)

    このファイル名で吹いた
    遺憾の意砲かよ

    • Re:sorry.html (スコア:4, おもしろおかしい)

      by Anonymous Coward on 2019年07月11日 11時28分 (#3650028)

      何故か
       Plan(計画する)
       Delay(遅れる)
       Cancel(中止する)
       Apologize(謝る)
      を思い出した。

      検索したら亜種が色々出てきた。
      P Procrastinate (先送りする,ぐずぐずする)
      D Disaster(破綻・大災害), Doomsday(最後の審判)
      C Confuse(混乱する), Chaos(混沌), Catastrophe(大惨事・大失敗・破局)
      A Apocalypse(黙示録), Action(何とかする)

      親コメント
      • by Anonymous Coward

        Abandon(放棄する)も追加で
        # サイクルしてねえ

      • by Anonymous Coward

        P パクる
        D 独自仕様を加える
        C 壊れる(メモリやら人間関係やら)
        A 明後日の方向に突き進み最初からやり直す。

  • by Anonymous Coward on 2019年07月11日 8時19分 (#3649895)

    自分が属する組織のサイトもまんまこの感じなんですけど

    • いままでブックマークしてくれてたようなお得意様に不便をかけても構わない、と考えればダメでは無いですね。
      あと、外部のサイトからのリンクなんか、所詮外部の事だから機能しなくても構わない、とも考えなきゃいけない。

      まあ、普通はそう考えないよね。

      親コメント
      • ただの企業の情報閲覧サイトならいいけど、e-Govって漏れたらまずいようなデータをPOSTしたりもするからhttps化ってことでしょ?
        httpから自動転送しちゃったら意味ないじゃん
        もちろんHSTSがうまく作用すればいいんだろうけど、必ずしも対応ブラウザからアクセスするわけじゃないだろうし、スクリプトで処理する場合もあるだろうし、httpはアクセスできないようにするのは正しい対応だと思うが…

        ちょっと前に自社のAPIをhttps化したときも転送しようか迷ったけど、結局転送はしないことにした
        ダメなん?

        親コメント
        • ダメなん?

          ダメじゃないよ。
          だから元コメントにも、単純に「ダメ」とは書いてないでしょ?
          いろんなことを勘案して自動転送しない、は、当然あり。

          ちょっと前に自社のAPIをhttps化したときも転送しようか迷ったけど、結局転送はしないことにした

          そりゃまた話が違うよね。
          一般の人がブラウザでアクセスするわけじゃないんでしょ?

          親コメント
        • by Anonymous Coward

          >e-Govって漏れたらまずいようなデータをPOSTしたりもするからhttps化ってことでしょ?
          違う。それはとっくの昔に対応してた。今回は情報閲覧ページのHTTPS化に伴う措置の話。

      • by Anonymous Coward

        いや、リダイレクトして当然とは思わない。
        いつまでリダイレクトし続ければいいのか?

        それよりは、一度ブックマークを変えてもらえば済む。
        お客でも国民でも、サービス提供側と受給側は基本的には対等ですよ。

        • by simon (1336) on 2019年07月11日 11時25分 (#3650024)

          いや、リダイレクトして当然とは思わない。
          いつまでリダイレクトし続ければいいのか?

          それよりは、一度ブックマークを変えてもらえば済む。
          お客でも国民でも、サービス提供側と受給側は基本的には対等ですよ。

          e-govのサイトに対するリンク6000万件をそれぞれのサイト運営者が書き換える手間(書き換えない場合ユーザーが推測してhttpsに飛ぶ手間)よりもe-gov側が数行書き換えるほうが全然コスト低いでしょ。一般企業ならまだしも、国が運営してんだからそれくらいのコストは当然国がかぶるべき

          親コメント
        • by Anonymous Coward on 2019年07月11日 12時00分 (#3650041)

          HSTS preloadを申請する場合はhttp->httpsのリダイレクトが必須で、恒久的に維持するよう求められる。
          おそらく何百年後かわからないが、httpが廃止されるまでは続くだろう。
          https://hstspreload.org/ [hstspreload.org]

          親コメント
          • by Anonymous Coward

            preloadingって個別申請で、対象サイトのリストはChromeにハードコードされているの…。
            なんか地獄みたいな話なんだけど、これ永遠に続けるの?

            >This is a list of sites that are hardcoded into Chrome as being HTTPS only.

            >Most major browsers (Chrome, Firefox, Opera, Safari, IE 11 and Edge) also have HSTS preload lists based on the Chrome list.

        • by Anonymous Coward

          プロトコル指定部のみの変更なんだから、リダイレクトは「ずっと」で良いんじゃないかと思った。
          (詳しくないので、何か問題があるのだったら失礼。)

          と言うか、なにゆえ対等がどうとか言う話に・・・?
          https リダイレクトなんて当然の様に要求するべき事じゃない。公共サービスが
          ・ 二度手間を防ぎ便利を図る(利便性を維持する)
          のは過剰サービス・過保護・甘やかしになる場合がある。とか、そんな感じ?

          だとするとアレだ。
          狩野モデル [wikipedia.org]

          • by Anonymous Coward

            > リダイレクトは「ずっと」
            他のコメント見たけど、https リダイレクトには問題があるのね。「ずっと」は取り下げ。

            何か良い方法無いのかな。
            今のところ無いならば、これも他のコメントにあった「https アクセスの啓蒙」が最適目標なのか。

    • by Anonymous Coward

      既存のURIはそのまま後続のURIに繋ぐのが筋だとは思うけど、(たぶんこの仕様切った側は意識してないんだろうけど) HTTPSの啓蒙としてはいいと思う

  • by Anonymous Coward on 2019年07月11日 8時40分 (#3649913)

    敢えてsorryページに飛ばす事で、「今どきHTTPは良くない」って事をリテラシそこまでな利用者に教育させたかったり?

  • by Anonymous Coward on 2019年07月11日 12時27分 (#3650053)
    • HTTPリダイレクト
      • 301 Moved Permanently
      • 302 Moved Temporarily(←e-Govはこれ)
      • 307 Temporary Redirect
    • HTMLリダイレクト
    • HSTSとリダイレクトを併用でステータスコードは301。
      なおかつ、htmlを返していたURLについては、レスポンス本文にhtmlでmetaタグでのリフレッシュとjavascriptでのページ移動をhead内に書いておき、さらにbody内にも新URLへのリンクを記載。
      やりすぎ?

      親コメント
typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...