横から失礼します。
サイトの作りにもよりますが、ログインページのようなそれ自体がロケーションバーに https: で表示されているページで、Firefox が「一部が暗号化されていません」といった警告メッセージを出すのは、そのページ内に 非 SSL な要素が含まれているケースだと思います。
例えば、ロゴマークやボタン、バナーの画像などページを構成するパーツのリンクが、(HTML や CSS に)http: から始まる絶対パスで記述されているといったパターンなどでしょうか。
このようなとき、Firefox のデフォルト設定ではセキュリティ警告を出すようになっているようです(下記、参考リンク)。
なぜそのような警告を出すかというと、次のような理由が考えられます。
ログインページでは、ユーザーが ID やパスワードを入力し、そのデータをサーバーに送信します。
この経路は、SSL / TLS を利用して暗号化されているのが一般的です。
通常、ユーザー ID やパスワードの入力欄は form 要素で定義されていて、その送信先(action)が指定されているわけですが、これが過失や事故、故意の改変で非 SSL / TLS な指定になっていた場合、ユーザー ID やパスワードは暗号化されない平文で送信されます。
平文だからといって直ちに問題が起こるわけではありませんが、安全性の観点からいえば望ましいことではありません。
とりわけ、もし悪意ある改変を受けて非 SSL / TLS な指定になっていた場合、ID やパスワードが盗まれる危険性は一気に跳ね上がります。
こうしたことから Firefox は、SSL なページ内に非 SSL な要素があると、つまり https: なページの構成要素に http: なリンクがあると、そのことをユーザーに警告します。
しかし一般的には、それはロゴマークやボタンの画像などページを構成するパーツのリンクであることが多く、ユーザー ID やパスワードの送信先を規定した form action はきちんと SSL / TLS な URL が指定されていることが多いといえます。
これが「警告が出ていても実際には問題ないという場合」であり、pal さんが「問題ない場合が大半だとは思いますが」とおっしゃっているのは、そういう意味だと思います。
なお、Firefox が出すセキュリティ警告の種類と意味については、下記を参考にしてください。
(参考)Firefox ヘルプ
・
設定ウィンドウ - セキュリティパネル > 警告メッセージ
【補足 ― でも重要かも...】
「問題はない」というのは、「パスワード等の送信にあたっては正常に SSL 化されている」という意味であって、「SSL だから確実に安全で、事故は起こりえない」という意味ではありません。
また同時に、そのサイトにおける過失や事故、故意の改変が絶対にないとは言い切れない以上、100 %安全という保証もありえません。
「サイト側を信頼する」とは、サイト側のセキュリティ対策の努力、つまり日々変化する実情に即した動的な対応姿勢を信じて頼るという意味でしかなく、完結した「100 %安全」を提供してくれることを期待するといった静的な意味でとらえるべきではないと思います。そしてユーザー側で可能な対策はユーザー側でも(面倒がらず)おこなうことが、トータルな安全性向上につながるといえます。
アウトラインとしては以上です。外してたらすみません。(おかしな部分の訂正・補強を歓迎します。)
ログイン
ユーザー登録
FAQ
検索
