― MozillaZine.jp フォーラムは Mozilla 製品に関する情報交換の場です ―



All times are UTC + 9 hours

返信する
ユーザー名:
件名:
オプション:
BBCode: ON
[img]: ON
[flash]: OFF
[url]: ON
スマイリー: ON
BBCode を無効にする
フォントサイズ:
フォントカラー
スマイリーを無効にする
URL を自動的にパースしない
ユーザエージェントを表示する
認証コード
KCaptcha by Nikita_Sp
   

トピックのレビュー - SSLでの警告
作成者 メッセージ
  記事の件名:  Re: SSLでの警告  引用付きで返信する
> 有名なメーカーのサイトなら大丈夫かなとか^^;

これは考え直したほうがよろしいかと。
セキュリティソフトメーカーのサイトがハッキングされたり、大企業・有名企業といわれるところのサイトがハッキングされるご時勢ですので。
投稿記事 Posted: 2011年1月02日(日) 00:22
  記事の件名:  Re: SSLでの警告  引用付きで返信する
お二人ともありがとうございます。

ページを表示し直すと警告が出なくなる場合もあって、その場合は良いんですけど、何回表示しても警告が出てしまうサイトもあるんですよね。そういうときはかなり悩んでしまいますよね。有名なメーカーのサイトなら大丈夫かなとか^^;
投稿記事 Posted: 2011年1月01日(土) 23:41
  記事の件名:  Re: SSLでの警告  引用付きで返信する
横から失礼します。

サイトの作りにもよりますが、ログインページのようなそれ自体がロケーションバーに https: で表示されているページで、Firefox が「一部が暗号化されていません」といった警告メッセージを出すのは、そのページ内に 非 SSL な要素が含まれているケースだと思います。
例えば、ロゴマークやボタン、バナーの画像などページを構成するパーツのリンクが、(HTML や CSS に)http: から始まる絶対パスで記述されているといったパターンなどでしょうか。

このようなとき、Firefox のデフォルト設定ではセキュリティ警告を出すようになっているようです(下記、参考リンク)。
なぜそのような警告を出すかというと、次のような理由が考えられます。

ログインページでは、ユーザーが ID やパスワードを入力し、そのデータをサーバーに送信します。
この経路は、SSL / TLS を利用して暗号化されているのが一般的です。
通常、ユーザー ID やパスワードの入力欄は form 要素で定義されていて、その送信先(action)が指定されているわけですが、これが過失や事故、故意の改変で非 SSL / TLS な指定になっていた場合、ユーザー ID やパスワードは暗号化されない平文で送信されます。
平文だからといって直ちに問題が起こるわけではありませんが、安全性の観点からいえば望ましいことではありません。

とりわけ、もし悪意ある改変を受けて非 SSL / TLS な指定になっていた場合、ID やパスワードが盗まれる危険性は一気に跳ね上がります。
こうしたことから Firefox は、SSL なページ内に非 SSL な要素があると、つまり https: なページの構成要素に http: なリンクがあると、そのことをユーザーに警告します。

しかし一般的には、それはロゴマークやボタンの画像などページを構成するパーツのリンクであることが多く、ユーザー ID やパスワードの送信先を規定した form action はきちんと SSL / TLS な URL が指定されていることが多いといえます。
これが「警告が出ていても実際には問題ないという場合」であり、pal さんが「問題ない場合が大半だとは思いますが」とおっしゃっているのは、そういう意味だと思います。

なお、Firefox が出すセキュリティ警告の種類と意味については、下記を参考にしてください。
(参考)Firefox ヘルプ
設定ウィンドウ - セキュリティパネル > 警告メッセージ

【補足 ― でも重要かも...】
「問題はない」というのは、「パスワード等の送信にあたっては正常に SSL 化されている」という意味であって、「SSL だから確実に安全で、事故は起こりえない」という意味ではありません。
また同時に、そのサイトにおける過失や事故、故意の改変が絶対にないとは言い切れない以上、100 %安全という保証もありえません。
「サイト側を信頼する」とは、サイト側のセキュリティ対策の努力、つまり日々変化する実情に即した動的な対応姿勢を信じて頼るという意味でしかなく、完結した「100 %安全」を提供してくれることを期待するといった静的な意味でとらえるべきではないと思います。そしてユーザー側で可能な対策はユーザー側でも(面倒がらず)おこなうことが、トータルな安全性向上につながるといえます。


アウトラインとしては以上です。外してたらすみません。(おかしな部分の訂正・補強を歓迎します。)
投稿記事 Posted: 2011年1月01日(土) 18:32
  記事の件名:  Re: SSLでの警告  引用付きで返信する
「暗号化せずにインターネットに送信された情報は他人に傍受される可能性があります。」
といったことも併記されていると思いますが、書かれているとおりです。

問題ない場合が大半だとは思いますが、100%安全とは言い切れません。
投稿記事 Posted: 2010年12月31日(金) 17:18
  記事の件名:  Re: SSLでの警告  引用付きで返信する
警告が出ていても実際には問題ないという場合もあるのですか?
投稿記事 Posted: 2010年12月31日(金) 16:57
  記事の件名:  Re: SSLでの警告  引用付きで返信する
サイト側の問題ですので、信用するしかありません。

どうしても、と思うのでしたら、サイト運営者に連絡してあげてください。
きちんとしたところであれば、きちんと対処してくれるでしょう。
投稿記事 Posted: 2010年12月31日(金) 15:04
  記事の件名:  SSLでの警告  引用付きで返信する
パスワードなどを入力するときに、ページがSSLで暗号化されているのに(アドレスも変化しています)、「一部が暗号化されていません」と警告メッセージが出ることがあります。

これはサイト側を信頼するしかないのでしょうか?
投稿記事 Posted: 2010年12月31日(金) 11:34

All times are UTC + 9 hours


ページ移動:  
Powered by MozillaZine.jp® Forum Software © phpBB Group , Almsamim WYSIWYG
Japanese translation principally by ocean