2010/02/28(日)日曜日ー。(日に日に胃が重くなっていく・・・。)
[セキュリティ] * なぜ一流企業はhttpsでの閲覧をさせないようにするのか (高木さん)
とされていますね。 動的な https:// のページを http:// で表示しないように制御するのは、もちろん、Webアプリ側やWebサーバの設定でも出来るわけですが、手っ取り早く、抜け漏れを防いだ形で実現するために、そもそも https:// と http:// のコンテンツをまったく別のディレクトリに分けて置いているということも考えられますね。 もしくは、SSLアクセラレータとの絡みで、https:// と http:// が物理的に別のサーバという可能性もあるでしょうか。 何が言いたいかというと、わざわざイヂワルをして規制しているわけでも、“似非コンサルの戯言”のせいでもなく、コンテンツがそこに無いだけ・・・つまり、閲覧をさせないようにしているのではなく、閲覧をさせるようにしていない(考慮が漏れていた)のではないかと。 もちろん、“顧客に間違いなく情報を伝える必要のあるページはSSL/TLSで保護する”ことには賛成なので、事情はどうあれ、https:// での情報提供をするように改善して欲しいところです。[雑談] いろいろ。
textileA社ホームページ http://www.example.jp/ のうち、重要な情報を掲載するページを https:// でも閲覧できるようにと、SSLを導入したとする。https://www.example.jp/important.html というページができることになるが、このSSLページは http:// でもアクセスできることになる。セキュリティコンサルが言う要件に違反してしまう。こんな本末転倒な話があるか。似非コンサルの戯言など無視して、https:// でも閲覧できるようにするべきだ。http:// で閲覧するか https:// にするかは利用者が選ぶことだ。ここで例に挙げられているのは(静的な)“重要な情報を掲載するページ”ですが、一方で、重要な情報を送受信する動的なページについては、(サイト側が定義するところの)* “暗号化で保護が必要な画面(https:// を使うことにした画面)に対して、http:// でアクセスされても情報を表示しないように作る必要”がある
とされていますね。 動的な https:// のページを http:// で表示しないように制御するのは、もちろん、Webアプリ側やWebサーバの設定でも出来るわけですが、手っ取り早く、抜け漏れを防いだ形で実現するために、そもそも https:// と http:// のコンテンツをまったく別のディレクトリに分けて置いているということも考えられますね。 もしくは、SSLアクセラレータとの絡みで、https:// と http:// が物理的に別のサーバという可能性もあるでしょうか。 何が言いたいかというと、わざわざイヂワルをして規制しているわけでも、“似非コンサルの戯言”のせいでもなく、コンテンツがそこに無いだけ・・・つまり、閲覧をさせないようにしているのではなく、閲覧をさせるようにしていない(考慮が漏れていた)のではないかと。 もちろん、“顧客に間違いなく情報を伝える必要のあるページはSSL/TLSで保護する”ことには賛成なので、事情はどうあれ、https:// での情報提供をするように改善して欲しいところです。[雑談] いろいろ。
- これはあなた? Twitterアカウントをフィッシングする意味とは? (ITmedia)
- マイクロソフトが表に出したくない米政府の国民監視文書 (GIZMODO)
- Microsoftがボットネット対抗作戦、Waledacの通信断ち切る (ITmedia)
- 漢は黙ってXSSフィルタ (水無月ばけらのえび日記)
- いよいよ『さくらや』閉店! ゲーム売り場の様子「PS3ソフト投げ売り状態」 (getnews)
- 生き残れない経営: 非を認めない経営者という人種 (ITmedia)
- Google Earthがとらえた戦闘機の墓場 (ギズモード・ジャパン)
- メダルはなぜ金銀銅か (ガジェット通信)
- TBS、遂に対馬が日本領であることを否定する報道 (カジ速Full Auto)
- キムヨナが金とって満足なんでルール変更しまーす! (alfalfalfa)
- 理系のための恋愛論 (352) おたがい好き、のタイミングを合わせるには? (MYCOM)