このURLは存在しません。

■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか 「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。 「IPアドレス帯域」と俗称される重要情報が安全に配布されていない。 SSLを必要とするケータイサイトでは、通信経路上の攻撃によってなりすましログインされてしまう。*1 2番目には解決策がない。 1番目については解決策はあるだろうが、携帯電話事業者がサボタージュしていて、実現される見通しがない。これについては、2008年7月27日の日記にも書いたが、その後どうなったかを調べてみたところ、ソフトバンクモバイル以外は、何ら改善されておらず、当時のままだった。 NTTドコモ 「iモードセンタのIPアドレス帯域」のページをhttps:// でアクセスする

[navix]

2010年02月27日

[Funyapu]

？なんで今これ？

[b-wind]

“【要件】 ◎Webサイト運営者の連絡先及びガイダンス等、顧客に間違いなく情報を伝える必要のあるページはSSL/TLSで保護すること”

[honeybe]

また上野宣か案件でもあった。

[ruicc]

フィッシング対策ガイドライン「Webサイト運営者の連絡先及びガイダンス等、顧客に間違いなく情報を伝える必要のあるページはSSL/TLSで保護すること」

[hokuto-hei]

『似非コンサルの戯言など無視して、https:// でも閲覧できるようにするべき』

[t-tanaka]

じゃあ，このページ自身はどうなのよ？ とおもってHTTPSでアクセスしたら，ちゃんと正しく表示できた。さすが。

[kanoura]

SMBCはSSLのページも並立したみたい（エントリ投稿の数日後に確認済み）。遅れてみずほも。他行は未だに駄目

[yomogi]

【要件】Webサイト運営者の連絡先及びガイダンス等、顧客に間違いなく情報を伝える必要のあるページはSSL/TLSで保護すること（「フィッシング対策ガイドライン」より）

[koseki]

問い合わせの電話番号が書かれたページはSSL。／後半はよくわからない。プロトコルが二重になって管理コストがあがったら安全性は下がるのでは。

[d6rkaiz]

トライコーダの問い合わせページはどうなってるんだろう？と思って行ったら、SSL対応してなかった上に、必須項目のチェックすらしていなかった。// japannetbankはhttpsでもアクセス出来た。

[pochi-p]

そういや昔「SQLインジェクション対応は(文字置換処理で)CPU食うからやらない」的な話もあったな。まあそこはCPU性能上がっても相変わらずだったが。SSLについても「サーバー負荷が…」で言い訳して放置され続けるかね？

[shutaro]

Webページが伝える情報の正当性を利用者に証明するSSL/機密保護だけじゃない/httpsページはhttpでアクセスできなく、を批判するのは別の話な気もする

[setamise]

docomoかんたんログイン他。『'08/9にフィッシング対策協議会が公表したフィッシング対策ガイドライン"Webサイト運営者の連絡先及びガイダンス等、顧客に間違いなく情報を伝える必要のあるページはSSL/TLSで保護すること"』

[windscape]

一度httpsに遷移したらhttpには戻さないって仕組みのサイトを作ったらあっというまにSSLアクセラレータがパンクしたことが…Gmailすごいとしか。

[YAA]

client/server他各所のリソースのこと考えないなら、証明書あるなら全部httpsでいいじゃんとおもう。まぁそこらのサイトではそうもいかないんだけど。あとpermalink的には1つのページはどちらかに振ってしまいたい。

[tomitake_flash]

上野さんdisられすぎワロタw

[mabots]

ページの盗聴・改ざんはLAN回線内から行われるケースがある点を銀行は認識していない可能性がある

[oirano]

(仕組みは分からないけど) 全部https にすれば良いじゃん！と思った。

[u1tnk]

httpsのページはhttpで公開しないのが良いって信じてたな…orz

[ardarim]

また上野宣か。なぜそこでやる夫ｗｗ

[uzuki-first]

SSLの知識はあまりなかったから、すごい参考。

[kibitaki]

こうやって騒がれて嫌々443対応させられた途端にVerisignやakamaiの鯖が飛んで二次災害が起こったりするんだから止めてくんねぇかな。

[adsty]

「https:// のページは http:// でアクセスできてはいけない」という意見に疑問符の嵐。

[napsucks]

対偶と反対が混ざってないか？httpsで見られるページをhttpでは見られなくするのがよいというポリシーと、httpsであるべきページをhttpに統一してしまうというロジックがうまくかみ合っていない

[pixmap]

「...というページができることになるが、このSSLページは http:// でもアクセスできることになる。」←なんで？？ 論点がいまいち明確じゃない文書。

[cloudliner_tweets]

"高木浩光＠自宅の日記 - なぜ一流企業はhttpsでの閲覧をさせないようにするのか"

[Bookmarker]

httpsでアクセスできるページでもリンク側が（なぜか）httpの方にリンクしてる事が多いからとか。>>HTTPS でアクセス可能なページは、HTTP でのアクセスを提供しないことが望ましい<<

[takaheraw]

SSL

[atasinti]

「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。 1. 「IPアドレス帯