アカウント名:
パスワード:
ログインページとその後のページはSSLつけるのMUSTだと思うけど。ランディングページってSSLにしなきゃいけない理由ってあるんだっけ。
掲載されてる内容が正規の確かなものであることが確認できる。信用を扱う銀行なら当然かと。ただでさえフィッシング詐欺のターゲットになってるのに。通常ならお客に「https以外でアクセスしないで」というべきものだよ。
ただこれでもリテラシーの高くない人は、URLと証明書を確認しないから、証明書付きの偽サイトと区別つかなかったりするのは問題。こればかりはどうしようもないけど、httpsでない偽サイトは排除できるから有効。
今回ログインページのSSLは外していないのでフィッシング関係ないと思うけど。ランディングページにそこまで機密性の高い情報載せるの?
http と https ユーザーが選択できるべきっていうのはひとつだと思うけど、ユーザーが情報を送信するページ以外でSSLにすべき理由はないんじゃないの?ランディングページが https で閲覧できないからといって、何か攻撃手法につながるとは思えないだよね。
同じドメインだったら納得できるんだが、そもそもログインが必要なページのドメイン違うっぽいから問題なさそうだよ?
問い合わせ先ページで、電話番号が改ざんされるとか、安全利用の注意喚起のページで、嘘の方法に改ざんされるとかね。
そこまで疑うのならネットしないほうがいいのでは・・・?SSL関係ないよね?改ざんは防げるけど、その情報の真偽はリテラシーに依存するところが大きいよ。改ざんされていないとしても、元々の情報ですら誤ってる可能性はある。そもそもそういう話をしてもしょうがないと思うんだ。
ちなみに、そのレベルの改ざんがあって、何か問題あるの?
犯罪組織が問い合わせ窓口を偽装して機微情報を取得しようとする助けにはなってしまう程度には問題だよね
改ざんは防げるけど、その情報の真偽はリテラシーに依存するところが大きいよ。 改ざんされていないとしても、元々の情報ですら誤ってる可能性はある。 そもそもそういう話をしてもしょうがないと思うんだ。
関心のフォーカスが違うんだと思う。https にすれば安心だ万全だなんて話をしているんじゃない。リテラシーに依存するところが大きいからって SSL では閲覧禁止にした方がいいって話にはならんでしょ。効果が低いとかいうならともかく、無意味なわけじゃない。わざわざ廃止する理由にはならない。
人が何万人か死ぬ交通環境だから、残りの人間は生死をかけた実環境でトレーニングされ、結果的に死なない訳で、
人が死なない交通環境だったら、だれも実環境でトレーニングされず、その死なない前提が崩れた場合、みんな死んでしまうに違いない。
ネットワークだって、この前「死なない前提」が崩れた訳で、みずほはみんなが死なない環境で無く、生死をかけたトレーニングの場を提供してくれたという事では無いんですかね?
#無いんでしょうけど。
SSLでも閲覧可能になっていたほうがよいというのは同意する。けど、SSL禁止にしたところで何か問題あったんですか?っていう話をしている。そもそもの話、SSLいらない範囲でのSSL閲覧不可の対処でしょ?改ざん自体が極論な気もしなくはないんだよね。改ざんが可能な環境なら、認証局の偽装も可能じゃないの?
SSLでも閲覧可能になっていたほうがよいというのは同意する。
その同意はありがたい。一歩進んで、わざわざ禁止しないほうがよいという点についてはどうだろうか? みずほがそれをやめたのを「おいおい、なんでだよ」とツッコミを入れる反応についても理解はできると思うのだが。
SSL禁止にしたところで何か問題あったんですか?っていう話をしている。
いままでSSLを可にしてたことで何か問題あったんですか?っていう話もしたいですな。
こいつアホだな。論点ずらすことしかやってねぇ。SSL可で問題ないのはわかってんだよ。その話はひとつも進んでないしむしろ後退してんじゃねぇか。おまえらがサワイでるSSLオフにして何か問題あったのかっていう話だよ。
いままでSSLを可にしてたことで何か問題あったんですか?っていう話もしたいですな。こいつアホだな。論点ずらすことしかやってねぇ。
こいつアホだな。論点ずらすことしかやってねぇ。
その手の挑発に乗っても、他のスレッドにあるように、また十分条件必要条件の説明ループに戻るのが目に見えてるもん。説明しても、二言目には「それで万全になるわけではない」「そんなことをする必要はない」「無視できるほど影響は少ない」とかその手の問答に戻るじゃん。
SSL可で問題ないのはわかってんだよ。その話はひとつも進んでないしむしろ後退してんじゃねぇか。おまえらがサワイでるSSLオフにして何か問題あったのかっていう話だよ。
SSLオフにすることで安全性が向上するわけじゃないでしょ。オフにするメリットの方だって(証明書のコストくらいしか)提示できてないじゃん。関連ストーリーにもある通り、これは、基本的には全部SSLでよくて――とくに銀行だの政府機関だのといったサイトは――積極的にそれをオフにする理由はなかろうって話に関連してると思うよ。全部SSLにしてしまえって話は極論だろうってコメントはあちこちに付いてるけどさ。
言いたいことがわかってないようだけど、常にSSLが付いてるにこしたことはないとはずっと言ってる通り。SSLがなくても平気な箇所でSSLきったことがとんでもない所業をしたと騒ぎ立てるのがただのFUD煽っているだけにしかみえないのだよ。とくに問題はないのだろう?
銀行だから信用がガタ落ちだというのも同意するし、元々SSLついていたのをわざわざオフにする理由もない。それも理解できる。そうじゃなくて、ここで問いたいのはこの対応自体が問題あったのか?SSLつけるべきところについているのに過剰な反応しすぎじゃないか?という話。
言いたいことがわかってないようだけど、常にSSLが付いてるにこしたことはないとはずっと言ってる通り。
そのこしたことがないのをみずほがやめたのがこのストーリー。こしたことがないのをやめるのは問題でしょう。何が問題なのか分からないというなら、なぜこしたことはないのかも分かってないのでは?
はぁ・・・こいつほんとバカだな。そこに疑問はないっての。問題ない箇所のSSL外してなんか問題あったのかって言ってんだろが。SSL外して問題がある内容を納得いくように示してくださいよ。
はぁ・・・こいつほんとバカだな。そこに疑問はないっての。
申し訳ない。「SSLであるにこしたことないのは分かっている。SSLをやめたことに問題があるかは分からない」というのが意味不明で、私にはとても説明できるように思えない。何が分からないのか分からないので説明のしようがない。できれば疑問に答えてあげたいのだけど、疑問の内容が分からない以上、これ以上説明ができない。このストーリーに付いた他のコメントや関連ストーリーなどを読んで、何が問題なのか私以外の力を借りて理解して欲しい。お力になれず申し訳ない。
書き込んだあとにふと思ったけど「SSLをやめることの問題のほかに、SSLをやめることに問題があるか?」って聞いてるんじゃないよね? さすがに違うと思うんだけど。
# 私は君のことをバカだとは思ってないのだけど、一応、確認のため。
ランディングページにそこまで機密性の高い情報載せるの?
機密性じゃなく信頼性の問題。普通にフィッシングで釣る方法もあるし、DNSイジるとか。ログイン方法変更しただとか、警告は無視していいとか、なにかでっち上げて書いておけば騙される人もいるでしょ。
ダウト。DNSいじれるんならSSLすでに役に立たないでしょ。それは別問題。
見た目合わせた偽サイトと区別つきやすく。コンテンツ自体への署名等々、対策は尽きない。ゼロは無理だが、やるべきことやらなすぎと思う。利益は俺のもの、被害はお前のものと公言してると同じ。
なんの話だろう・・・HTTPSと見た目の話は関係ないし、署名も別の話だよね。今回はランディングページのHTTPSやめたことで何か問題があったかなーという話だと思ってるんだけど。その他でやるべきことやってないならそっちで話せばいいだけで。
被害あったのかな?具体的には?FUDなの?HTTPSであれば安心!HTTPなら無条件にNG!っていうのはどうかと思うよ。
HTTPSであれば安心!HTTPなら無条件にNG!っていうのはどうかと思うよ。
その点はまったくその通り。しかし、無条件に安心、無条件にNGなんて話をしているわけではないので、そういう話をしたいならそっちで話せばいい。
それは話をたなにあげすぎじゃない?むしろこれサワイでる人のほうが銀行だから無条件にSにしろって話で盛り上がってるからそれを牽制したにすぎない。こっちの主張はSを外した範囲で問題があったの?ってことなんだけど。
こっちの主張はSを外した範囲で問題があったの?ってことなんだけど。
元のコメントは「HTTPSであれば安心!HTTPなら無条件にNG!はどうかと思うよ」とか言い出してますからねえ。そんな話してないのに、そういう極論に話を逸らそうとしている感じ。
そう思う。HTTPSで閲覧する選択肢がなくなること自体はセキュリティ的には何の問題もなさそう。すべてSで見れるのは好ましいけれど、とくに問題がないなら避難される謂れはないと思う。
過剰かどうかは主観だから人それぞれだろうけど、結局はサービス側がユーザーをどれだけ守ろうとしてるかどうかだよ。Youtubeなんて動画見るだけなのにフルSSLだよ。Twitterなんて基本的にすべて公開するものなのにSSLだよ。
過剰かどうかは主観だから人それぞれだろうけど、結局はサービス側がユーザーをどれだけ守ろうとしてるかどうかだよ。
何から守ろうとしているのか、なぜSSLにしなきゃいけないのか、その根拠ってあるの?
ちなみに、Youtube も Twitter もアカウントありきのサービスなので、SSLつけていると思われる。(Youtube は厳密には違うが、同じブラウザでGmailログインしてたら必ず紐付ける、そのための処置だと推測。)今回のケースとは違うよ。
ただ単にSPDY使いたいだけじゃない?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
この対応って問題なの? (スコア:0)
ログインページとその後のページはSSLつけるのMUSTだと思うけど。
ランディングページってSSLにしなきゃいけない理由ってあるんだっけ。
Re:この対応って問題なの? (スコア:1)
掲載されてる内容が正規の確かなものであることが確認できる。
信用を扱う銀行なら当然かと。ただでさえフィッシング詐欺のターゲットになってるのに。
通常ならお客に「https以外でアクセスしないで」というべきものだよ。
ただこれでもリテラシーの高くない人は、URLと証明書を確認しないから、証明書付きの偽サイトと区別つかなかったりするのは問題。
こればかりはどうしようもないけど、httpsでない偽サイトは排除できるから有効。
Re: (スコア:0)
今回ログインページのSSLは外していないのでフィッシング関係ないと思うけど。
ランディングページにそこまで機密性の高い情報載せるの?
http と https ユーザーが選択できるべきっていうのはひとつだと思うけど、
ユーザーが情報を送信するページ以外でSSLにすべき理由はないんじゃないの?
ランディングページが https で閲覧できないからといって、何か攻撃手法につながるとは思えないだよね。
Re: (スコア:0)
Re: (スコア:0)
同じドメインだったら納得できるんだが、そもそもログインが必要なページのドメイン違うっぽいから問題なさそうだよ?
Re: (スコア:0)
問い合わせ先ページで、電話番号が改ざんされるとか、
安全利用の注意喚起のページで、嘘の方法に改ざんされるとかね。
Re: (スコア:0)
そこまで疑うのならネットしないほうがいいのでは・・・?
SSL関係ないよね?
改ざんは防げるけど、その情報の真偽はリテラシーに依存するところが大きいよ。
改ざんされていないとしても、元々の情報ですら誤ってる可能性はある。
そもそもそういう話をしてもしょうがないと思うんだ。
Re: (スコア:0)
ちなみに、そのレベルの改ざんがあって、何か問題あるの?
Re: (スコア:0)
犯罪組織が問い合わせ窓口を偽装して機微情報を取得しようとする助けにはなってしまう程度には問題だよね
Re:この対応って問題なの? (スコア:1)
関心のフォーカスが違うんだと思う。https にすれば安心だ万全だなんて話をしているんじゃない。リテラシーに依存するところが大きいからって SSL では閲覧禁止にした方がいいって話にはならんでしょ。効果が低いとかいうならともかく、無意味なわけじゃない。わざわざ廃止する理由にはならない。
LIVE-GON(リベゴン)
Re: (スコア:0)
人が何万人か死ぬ交通環境だから、残りの人間は生死をかけた実環境でトレーニングされ、
結果的に死なない訳で、
人が死なない交通環境だったら、だれも実環境でトレーニングされず、
その死なない前提が崩れた場合、みんな死んでしまうに違いない。
ネットワークだって、この前「死なない前提」が崩れた訳で、みずほはみんなが死なない環境で
無く、生死をかけたトレーニングの場を提供してくれたという事では無いんですかね?
#無いんでしょうけど。
Re: (スコア:0)
SSLでも閲覧可能になっていたほうがよいというのは同意する。
けど、SSL禁止にしたところで何か問題あったんですか?っていう話をしている。
そもそもの話、SSLいらない範囲でのSSL閲覧不可の対処でしょ?
改ざん自体が極論な気もしなくはないんだよね。改ざんが可能な環境なら、認証局の偽装も可能じゃないの?
Re:この対応って問題なの? (スコア:1)
その同意はありがたい。一歩進んで、わざわざ禁止しないほうがよいという点についてはどうだろうか? みずほがそれをやめたのを「おいおい、なんでだよ」とツッコミを入れる反応についても理解はできると思うのだが。
いままでSSLを可にしてたことで何か問題あったんですか?っていう話もしたいですな。
LIVE-GON(リベゴン)
Re: (スコア:0)
いままでSSLを可にしてたことで何か問題あったんですか?っていう話もしたいですな。
こいつアホだな。論点ずらすことしかやってねぇ。
SSL可で問題ないのはわかってんだよ。その話はひとつも進んでないしむしろ後退してんじゃねぇか。
おまえらがサワイでるSSLオフにして何か問題あったのかっていう話だよ。
Re:この対応って問題なの? (スコア:1)
その手の挑発に乗っても、他のスレッドにあるように、また十分条件必要条件の説明ループに戻るのが目に見えてるもん。説明しても、二言目には「それで万全になるわけではない」「そんなことをする必要はない」「無視できるほど影響は少ない」とかその手の問答に戻るじゃん。
SSLオフにすることで安全性が向上するわけじゃないでしょ。オフにするメリットの方だって(証明書のコストくらいしか)提示できてないじゃん。関連ストーリーにもある通り、これは、基本的には全部SSLでよくて――とくに銀行だの政府機関だのといったサイトは――積極的にそれをオフにする理由はなかろうって話に関連してると思うよ。全部SSLにしてしまえって話は極論だろうってコメントはあちこちに付いてるけどさ。
LIVE-GON(リベゴン)
Re: (スコア:0)
言いたいことがわかってないようだけど、常にSSLが付いてるにこしたことはないとはずっと言ってる通り。
SSLがなくても平気な箇所でSSLきったことがとんでもない所業をしたと騒ぎ立てるのがただのFUD煽っているだけにしかみえないのだよ。
とくに問題はないのだろう?
銀行だから信用がガタ落ちだというのも同意するし、元々SSLついていたのをわざわざオフにする理由もない。それも理解できる。
そうじゃなくて、ここで問いたいのはこの対応自体が問題あったのか?
SSLつけるべきところについているのに過剰な反応しすぎじゃないか?
という話。
Re:この対応って問題なの? (スコア:1)
そのこしたことがないのをみずほがやめたのがこのストーリー。こしたことがないのをやめるのは問題でしょう。何が問題なのか分からないというなら、なぜこしたことはないのかも分かってないのでは?
LIVE-GON(リベゴン)
Re: (スコア:0)
はぁ・・・こいつほんとバカだな。そこに疑問はないっての。
問題ない箇所のSSL外してなんか問題あったのかって言ってんだろが。
SSL外して問題がある内容を納得いくように示してくださいよ。
Re:この対応って問題なの? (スコア:1)
申し訳ない。「SSLであるにこしたことないのは分かっている。SSLをやめたことに問題があるかは分からない」というのが意味不明で、私にはとても説明できるように思えない。何が分からないのか分からないので説明のしようがない。できれば疑問に答えてあげたいのだけど、疑問の内容が分からない以上、これ以上説明ができない。このストーリーに付いた他のコメントや関連ストーリーなどを読んで、何が問題なのか私以外の力を借りて理解して欲しい。お力になれず申し訳ない。
LIVE-GON(リベゴン)
Re:この対応って問題なの? (スコア:1)
書き込んだあとにふと思ったけど「SSLをやめることの問題のほかに、SSLをやめることに問題があるか?」って聞いてるんじゃないよね? さすがに違うと思うんだけど。
# 私は君のことをバカだとは思ってないのだけど、一応、確認のため。
LIVE-GON(リベゴン)
Re: (スコア:0)
ランディングページにそこまで機密性の高い情報載せるの?
機密性じゃなく信頼性の問題。
普通にフィッシングで釣る方法もあるし、DNSイジるとか。
ログイン方法変更しただとか、警告は無視していいとか、なにかでっち上げて書いておけば騙される人もいるでしょ。
Re: (スコア:0)
ダウト。
DNSいじれるんならSSLすでに役に立たないでしょ。
それは別問題。
Re:この対応って問題なの? (スコア:1)
DNSを偽装してサイトAとサイトBと思わせても、攻撃者はサイトAの証明書は持っていないから、サイトBであることしか証明できない。
Re:この対応って問題なの? (スコア:1)
見た目合わせた偽サイトと区別つきやすく。
コンテンツ自体への署名等々、対策は尽きない。
ゼロは無理だが、やるべきことやらなすぎと思う。
利益は俺のもの、被害はお前のものと公言してると同じ。
Re: (スコア:0)
なんの話だろう・・・
HTTPSと見た目の話は関係ないし、署名も別の話だよね。
今回はランディングページのHTTPSやめたことで何か問題があったかなーという話だと思ってるんだけど。
その他でやるべきことやってないならそっちで話せばいいだけで。
被害あったのかな?具体的には?FUDなの?
HTTPSであれば安心!HTTPなら無条件にNG!っていうのはどうかと思うよ。
Re:この対応って問題なの? (スコア:1)
その点はまったくその通り。しかし、無条件に安心、無条件にNGなんて話をしているわけではないので、そういう話をしたいならそっちで話せばいい。
LIVE-GON(リベゴン)
Re: (スコア:0)
それは話をたなにあげすぎじゃない?
むしろこれサワイでる人のほうが銀行だから無条件にSにしろって話で盛り上がってるからそれを牽制したにすぎない。
こっちの主張はSを外した範囲で問題があったの?ってことなんだけど。
Re:この対応って問題なの? (スコア:1)
元のコメントは「HTTPSであれば安心!HTTPなら無条件にNG!はどうかと思うよ」とか言い出してますからねえ。そんな話してないのに、そういう極論に話を逸らそうとしている感じ。
LIVE-GON(リベゴン)
Re: (スコア:0)
そう思う。
HTTPSで閲覧する選択肢がなくなること自体はセキュリティ的には何の問題もなさそう。
すべてSで見れるのは好ましいけれど、とくに問題がないなら避難される謂れはないと思う。
Re: (スコア:0)
過剰かどうかは主観だから人それぞれだろうけど、結局はサービス側がユーザーをどれだけ守ろうとしてるかどうかだよ。
Youtubeなんて動画見るだけなのにフルSSLだよ。
Twitterなんて基本的にすべて公開するものなのにSSLだよ。
Re: (スコア:0)
過剰かどうかは主観だから人それぞれだろうけど、結局はサービス側がユーザーをどれだけ守ろうとしてるかどうかだよ。
何から守ろうとしているのか、なぜSSLにしなきゃいけないのか、その根拠ってあるの?
Re: (スコア:0)
ちなみに、Youtube も Twitter もアカウントありきのサービスなので、SSLつけていると思われる。
(Youtube は厳密には違うが、同じブラウザでGmailログインしてたら必ず紐付ける、そのための処置だと推測。)
今回のケースとは違うよ。
Re: (スコア:0)
ただ単にSPDY使いたいだけじゃない?