chrome「httpsじゃない危険!」官庁「なんで公に向けて発信する情報をhttps暗号化せんとあかんねん」
■ このスレッドは過去ログ倉庫に格納されています
最新閲覧ソフト、官庁HPに警告=通信暗号化へ順次対応―総務省など
7/26(木) 17:48配信
https://headlines.yahoo.co.jp/hl?a=20180726-00000104-jij-pol
米IT大手グーグルの閲覧ソフト「クローム」の最新版で総務省など一部官庁のホームページを閲覧すると、「(通信が)保護されていません」という警告が表示されることが26日までに判明した。
各官庁は「安全性に問題はない」と説明しているが、スムーズに閲覧できるよう通信の暗号化を順次進める方針。
クローム最新版は、閲覧者が送受信する情報を暗号化していないホームページについて警告する仕組みだ。暗号化されているものはアドレスが「https」で始まるが、各官庁は「http」になっており、警告が表示されたとみられる。情報セキュリティー会社によると、民間のサイトでも同様の現象が起こる可能性がある。
各官庁は暗号化について、「早期に対応する」(総務省)、「年内に移行を完了したい」(内閣府)、「期日は未定」(農林水産省)、「来年度中に完了させたい」(経済産業省)などとしており、実施時期には差が出る見通しだ。 対応はそんなに難しくないんだからやれよ
つーか官公庁のHP見づらすぎるからUI考えろ 2015年の時からSSL通信義務化って言われてたから2016年時点で対応してたわ
リダイレクトもSSL強制すれば良いだけだろ?
そんな難しいかね
ウェブアプリとかが前提になってないのなら辛いが 俺に任せてくれ
年内に完了させてやる
3000万くれ 安いやろ 1年ぐらい放置してたPCでブラウザ開いたらどこ開いても保護されてませんになってたな
時計も合ってるのに そこでポップアップ連発のサイト作るとこまでが
お役所仕事 最近のサーバー用インテルプロセッサはSSLのエンコードをやるHW回路も付いてるからパフォーマンスオーバヘッドもたいして無いぜ グーグルの情報抜き取りのほうが危険だろ
説教強盗
風俗でおっさんが風俗嬢に説教するようなもん 誰が何を見ているか、が容易にわかるってのが問題なんだが ほんとグーグル何様なんだよ
ただのホームページ閲覧にSSLなんて本来必要ねーだろ 何かしら機微な情報を入出力するならともかく、公の情報発信は暗号化は不要だわな。
完全性が担保されればいい。機密性は要らない。 いや、世界的な潮流だから
責められるのは、官庁の方 >>18
google「イヤならブラウザも検索エンジンも使わんでええんやで?あくまでウチの決め事や」 >>8
総務省で認証局作っちゃって、市町村レベルまで公共サイトは証明書発行すりゃいいんだよな。 役所のサイトって何千ページもあるもんなぁ
絶対パスとか紛れ込んでるだろうし
置換してもチェックするの大変そう 暗号化に書類作成して老害にハンコ押してもらう困難なおしごとw 接続先が本物であることの保障が最重要
そのためのhttps
いくら説明してもなかなか伝わらない 書き換えとか落書きぐらいやろな・・・てか重要なモンをオンライン化してる連中に言われたくないわ(´・ω・`) chromeは個人情報ぶっこ抜きソフトだからな
どのサイトを見たかパスワードからクレジットカードの番号まで全て覚えてるし
メモリはアホみたいに食うし軽くもない
アドオン無しの狐の方がマシレベル
元のChromiumもクソブラウザだし
Googleはあなたよりあなたを知ってます 金がかかるから嫌がってんの?
予算組まれてないなら仕方ないね >>6
スタティックページ内に書かれてる
src先がhttpとかで書き換えるのが面倒なんだろ >>23
低能がそんなこと言っていいのかw
代替あるから糞は勝手に吠えてろw 総務省駄目だな
IT管轄してる官庁がhttpsじゃないってどうなんだろ 今時5ちゃんですらhttpsなんやで
5ちゃんより信頼できないサイトってことやん 公開情報だから発信側には意味ないけど、
利用者側が何を見ているかを経路上でのぞき見される可能性があるからなんだろうね。
はっきり言って中国対策、中国の利用者向けまたは中華製ルータ利用者向けの施策だろう。
パチンコ換金制度は明らかに刑事犯罪です!
パチンコ屋1店の利益は月に1000万円〜1億円くらい
これは同じ面積で比較的儲かっている小売店の10倍です
それでも普通の法人税しか払わない(おまけに脱税常習犯)
【ゴキブリ在日韓国人】のパチンコ屋は儲かって儲かって笑いが止まりません
パチンコ屋の大部分は、【ゴキブリ在日韓国人】です(金持ちです)
日本人が働いて稼いだお金がパチンコ屋を通じて
北朝鮮に送られて日本を狙うミサイルになる
パチンコ業界から献金を受けている政治家は売国奴です
次の選挙で売国奴を落選させましょう!
警察官OBは定年退職すると【ゴキブリ在日韓国人】パチンコ屋の用心棒になり
ヤクザから店を守る手伝いをします
そんな警察官OBは売国奴です
そんな警察官OBは【ゴキブリ在日韓国人】の犬です
警察官OBは日本人に威張り散らし、【ゴキブリ在日韓国人】に土下座しています
彼らは定年退職後パチンコ屋で3〜5年雇ってもらいます
だからパチンコ屋の社長(在日韓国人)には頭が上がりません
【ゴキブリ在日韓国人】の社長は そんな警察官OBを馬鹿にします
【ゴキブリ在日韓国人】の社長は「警察官OBは使い捨ての犬だ」なんて言います
でも警察官OBは文句が言えません 年金が出るまで我慢です
その分、警察官OBは日本人に威張り散らします
パチンコ換金制度は明らかに刑事犯罪です!
金かかるからじゃなくて天下り先用意してないからやぞ >>15
エンコードよりOCSPのほうが時間かかるんじゃないかな。 >>45
証明書無いとそれっぽい名前でデマ飛ばし放題、信用させてバカにヤバいリンク踏ませ放題になるけど宜しいか? 別に暗号化はどうでも良くて正規のサイトか確認する為のSSLじゃないの? 入力フォーム作ると、
暗号化無しプラス証明書無し
だとなんも警告出ないのに、より安全な
暗号化プラス証明書無し
だと危険!危険!
と警告出る各ブラウザの糞仕様。
作ってる奴全員バカ。 HTTPSだとオミトロンとかでWeb書き換えたりパケットキャプチャで解析すんの面倒くさいんだよな
そのための暗号化だけど 昔はhttpしかなかったのにいつのまにかhttpsあるよな
ほかにも派生あるのか?
ていうか増やせるもんなんだな サーバー証明書の業者っていくらで受けるのかな?
気になる
>>32
そんなのgo.jpかどうかみればわかる >>1
発信者が正しいこと、つまり本人性の確認のために
httpsの使用が推奨される。
httpsのメリットは暗号化だけじゃないからね。 まじこれクソな
イントラシステムをオレオレ証明書https化してもchrome怒るしめんどくせぇ 実際httpで何も問題起こってないのにhttpsを強制させる意味がわからない 証明書の値段はピンキリよ。DVは安くてOVやEVは高い。
今じゃLet's Encryptとか無料のもあるし。 ネットバンクとかに検索から飛ぶ時とか滅茶苦茶気持ち悪くね?
証明書無かったら疑心暗鬼でノイローゼになりそう httpsで浪費する電力だって地球全体だとバカにならない オレオレ証明書だと警告出るし
ベリサインだのに金払いたくねーわな
無駄すぎ 前Firefoxでも法務省のサイト見ようとしたら
信頼できないサイトと言われてつながらなかった >>24
その手があったか!
これを機に国レベルで動かないもんかなあ ソース書き換えるとか言ってる奴いるが
サーバー側で、リライトするだろ
ふつー なんでもかんでもhttpsにされると、外で無料のwi-fiに繋いだときに
適当なhttpサイトを開いてログイン画面に遷移する仕組みになってるとこだと
httpsだとセキュリティエラーで開けないから困る いや将来的にブラウザ側で繋がらなくしたりするだろうから
とっととやっとけみんなそっちの方向じゃん 個人ならlet'sencryptで発行してもらえる無料の証明書で足りる。 俺が管理してるサイトも少し前に対応しておいた。大きなサイトじゃないけど面倒だったもんな。役所じゃ大変そう。 >>6
地味にサーバ証明書費用が馬鹿にならん
日本のルート証明も作ればええのに 役所だと有料じゃないか?
何でもかんでも証明書発行してて意味あるんかね。 官公庁こそ内容が改ざんされていない事の証明が重要なんじゃないの >>60
httpだと、経路で改竄されていない保証がない >>6
技術的な話じゃないだろ
役所のサイトなんて、誰でもいつでもみれることが前提
役所の前の掲示板の張り紙と一緒
SSLして見れないガラケー環境とかがあったら、災害の時とかどうすんのよ >>8
公共機関が利用するのはどうかと思うけど、今はLet’sEncryptで無料で取得できるで >>92
何言ってんの?掲示板への張り紙とウェブサイトは仕組みが違う
喩えにはなんの意味もない
httpなら本当に行政機関が書いたものかどうか確認するすべがない 暗号化って別に難しくないじゃん
ど素人の俺でもできたわ 官公庁のなりすましサイト作る奴がいるから、https化するしかねえな。 つかgoogleも今更だけどな。
前から思ってたがセキュリティ上げてからやれよ >>96
そんなんdnsを二段階にすりゃいいだけじゃん
三段階以上にするからダメなんだよ
昔smtpの三段階を想定して踏み台にされた問題と構図はおんなじだわ
アホか httpかhttpsかそんなこだわるなら、Chromeはアドレス欄でプロトコル名非表示にするなよ >>96
dnsスプーフィングはdnsの問題であって、httpの問題じゃねーわ >>110
だよなーホント
でも見せると意味の分からないものが表示されてるって言って混乱するバカが大多数だから
バカに合わせる社会は疲れるよな グーグルの検索結果クリックすると変なURL挟まれるじゃん あれ気持ち悪いよね httpからリダイレクトさせてたら結局通信通してるし
http全部切るなんてgoogleでもやってないし、結局なんなんだという気になる >>113
確かに気持ち悪いが、ぐーぐるさんが一所懸命こさえたシステムをダーターで使わしてもろてるんやから、それくらいはしゃーないやろ そんなのよりもAndroidのセキュリティーがある意味Win95以下なの何時まで続けんだよ。 >>106
httpsで成りすましは実質的には防げないぞ?
誰も毎回証明書確認しないわ
httpsでモノマネサイトなんて簡単に作れる >>119
盗聴は大丈夫
成りすましは防げない
だってアクセスのたんびに証明書確認するやつなんていないから レンタルサーバーなんかで証明書とサーバーの名前が一致しませんよってエラーが出るのはどうしたらいいの? >>8
>>24
各ブラウザが組み込んでくれなきゃ野良なSSLで解決ならんよな >>122
だよなー結局なりすましが一番問題であって、
そこを解決するには今のwebのやり方だと不可能だと思うわ お前らパソコンの先生じゃなかったのか?
あ、自宅のパソコンしかいじってないからか笑 >>126
中国共産党員も泣いて逃げ出すくらいの国家権力による締め付けでもやらない限り無理だな
だって結局はモニタ上の光の点滅だぜ? >>125
うんうん
これも分からずに書き込んでるやつ多いな
こちとら泣く子も黙る日本政府でぇい、ってねじ込めくらいに思ってんのかな? 閲覧専用のサイトをhttpsにするのは暗号化はどうでもよくてURLの偽造防止だよ
正規のURLに見せかけてまったく別のサイトに飛ばす手法がある >>131
なんでそれがhttpsにすると解決するのか分からんわ
全くとは言わんが、全然解決にならんだろ? >>6
義務化ってww
そりゃちゃんとしたところから言われたらやるけど
俺様企業の方針に従えってだけだからなぁ >>132
認証局がURLを正規かどうか判断するからだが?
httpsを暗号化だけだと思ってるの? うちはLet’s Encryptが更新エラーになるリスクから、格安SSLを2年間ぶん購入してるな。
月間100万PVぐらいだと安心を買う方がいい。 >>131
バカはちょっと上に書いてあるレスも読まないで無知をさらけ出して平気なんだな
ある意味尊敬する ちなみに民間はhttpsだけじゃなくてTLS1.2化も進めてる 官庁あほすぎだわ。こんなんだからIT後進国なんだよ ID:GqmtIHRq0はSSL認証の申請すらしたことなさそう Let's Encrypt「無料でSSL化するよ〜でも発行元証明はしないよ」 >>6
リンク先とか書き換えるのがめんどくさくない??
部分的に危険とか出てくる警告の奴 オレオレ証明書を初めて作ったんだがCAのインストールをWebページの閲覧でさせる方法はある?事前に配布して手動でインストールしてもらうしかない? 無料SSLだけを引き合いに出してドヤ顔してるID:GqmtIHRq0 無料SSLだけを引き合いに出してドヤ顔してるID:mLzXmZwB0 官庁の証明書って一部オレオレ扱いされてたんだよななんだっけな >>143
あんなん電話1本かかってくるだけやん
その変のホームレスの名義で電話番号用意したらなんぼでもhttpsなんか用意出来るわ
政府や大企業ならURL見りゃわかるし
URLも見ずにネット使ってるやつが、毎回証明書開いて確認するとでも思ってんの?
言ってる意味わかる?
分からないのかな >>155
安いプランしか使ったことないのがもろバレw ここでドヤ顔してる大先生は、無料か格安のSSLしか知らないのでした EV証明書はおれも手続きしたことないわ
大変なの? >>24
証明機関がなんだか判らん役人が判子押さない希ガス >>156
このスレはGoogleのhttps強制について話してんだろ?
安いプランでGoogleのやってる事に意味がないんだからな
あ、論点すり替えくらいしか反論出来ないか
ごめんごめん笑 >>24
運用できないのでDigiCertに丸投げします(´Д` ) >>158
知識としては知ってるけど、俺も手続きしたことない 会社で見てる内容バレないからhttpsのほうがええやん
httpやったら筒抜けやで >>164
なんでだよw
こんなドヤ顔するだけのために手続きしろとw >>161
認証局設立のために1000億円使いまつ
800億円ほどは謎見積もりです(´Д` ) なあ、ID:PcUYXShu0 よ
もう意地はるな
素直になれ
そして初心に返って便器しろ
なんも恥ずかしい事じゃないぞ?
俺の弟子になるか? >>86
あるけど、気違いmozillaの奴がルート証明書にするの拒否したからWindowsはいいけど、chromeだとオレオレ証明書だって警告出て表示されなくなる >>165
チャットみたいなものじゃないとURLがあれば大抵の内容はバレてしまうと思うが 簡単じゃんとかいうけど
どっかのだれかが作った謎のPHPとかが常時SSL化すると動かんなったりするんだよ なんか国交省が公開してるpdfが死ぬほど重いんだがなんかあった? 情報の機密性はないんだろうけど、通信の途中で書き換えらる恐れがあるだろ。
その対策にはなる >>4
金がかかるからだろ
必要な金も無駄金無駄金言う馬鹿が大量だから EVの取得維持費用なんて天下りに流してる無駄な税金に比べたら
消費税分にすらならないよ >>172
httpsは?以降サーバー側にも残らんで この国の公務員に何を期待しているのか
未だに手書きと印の世界 >>180
FQDNレベルまでしかわからんのか、知らんかった >>172
URLはわからんで
ヘッダは暗号化されるからわかるのはホストのIPまで >>182
そもそもメーカーサポートが切り捨てられているブラウザは
脆弱性が放置されているため、使ってはいけない
問題が起こった場合、使い続けていたこと自体が責任に問われる行為 つーか、本人確認必要なco.jpに暗号化なんか必要あるのか? >>53
co.jpドメインは本人確認しているから不要 最新の68ではもうhttpのサイトは「保護されていません」って出るようになったんだろ? >>183
仮想ホスト鯖ならどのドメインにリクエストかけてるか、も含めてわからない
>>187
httpsが防ごうとしているなりすましはそこじゃないんですが… >>110
というより、最近はウェブサイトのアドレス全部表示しないようにしてるよな。
ちゃんとクリックすれば出てくるけど、画面表示しただけだと一部分しか出てこない。 XVIDEOSすらhttpsだっちゆうのに
官庁はそれ以下かよw >>132
データ取得しているドメインが誰の所有者なのかも認証するんだぞ
データの暗号化だけじゃない 公に発信された情報が改ざんされずに閲覧者に表示されるための担保だぞ 無料SSLじゃなくてjpnicが国には提供さしあげろ 銀行の電話サポートもそうだが常に自分都合中心でウェブの安全性を語るのはITリテラシーが低い証拠。「そのメッセージは気にせずOKをクリックしてください」じゃねえよ。 ヤフコメもここも個人情報載ってないし送らないからhttpでいいやん。みたいなやつ多いな。
まぁ日本のITリテラシーはこんなもんだろうなw
そりゃ前もって官僚が対応するわけないわな >>197
でもこんなリテラシーの役所関連が大々的に発行始めたら
こんどはズサンな鍵の取り扱いや乱発行しまくって
googleから「ルート証明機関からはずすわ」とか言われかねんな… 【緊急事態!自衛隊がヤバい!弾薬買う金がない!】
安倍がぼったくりオスプレイで何千億円も無駄使いしちゃったせいで、
弾薬買う金がなくなって弾薬全然足りなくなってて実弾で演習も出来なくなってます。
↓
https://imgur.com/Ycz2tnM.jpg
整備費も無くなってるのでヘリや飛行機が落ちたり不具合出まくりです。
現場からは貸与服の改善も望まれてて、
国産の汗が溜まるアンダーウェアじゃなく、中国産の透湿速乾素材のが欲しいけど却下されるらしい。そっちの方が安くても。
国産のだと高くて買ってもらえない。
軍靴も米軍のは凄い最新素材のハイテクシューズで快適なのにそういう靴は買ってもらえず、
自衛隊のは昭和時代レベルの古臭い革靴ですぐに足が痛くなって滅茶苦茶疲れるらしいです。
今回の水害救助では安倍のせいで貧弱な基本装備になってるせいで、
革靴の中が水浸しになって水虫が蔓延してるとか、
蒸れ蒸れのウエアで熱中症多発とかしてるらしいです。
オスプレイなんか買ってアメリカに何千億円も垂れ流す金があったら、
弾薬とか服とか靴とか基本装備を充実させるべきなのに、
自衛隊は安倍のせいで弾薬すら買えなくなってて弱体化著しいので本当にヤバいらしいです! s付きと無しで何が違うの?
ドラゴンボールで例えて これ日本の官庁がきちんとSSL証明取らなかったのが原因なんだぜ
どこぞに丸投げしてムダ金払ってるのに何やってんだか >>92
スレタイもそうだけど物事の本質が分かってないとこういう風に思っちゃうよね 安いサーバー借りてるんで暗号化に対応してない(´・ω・`) >>62
これ
フィッシングサイト被害があまりにも酷いんでSSLで証明してねって話なだけで、暗号化なんて二の次だろ アホ「企業、政府ドメイン名は取得の時に確認してるからsslの証明は意味ない
本 当 に ア ホ
まともな神経なら恥辱のあまり首を吊ってもおかしくないくらいアホ 統計解析されるから不必要な電文への暗号の乱用はよくないって聞いたよ
戦争時代の話だけどな >>109
お前何もわかってない癖に書き込むなよバカが 「ただ見るだけ」のサイトは全部httpでいいんだよ
うざい >>212
まったく逆。それ共有鍵使ってた時代の話だからw
今はセッションごとに使い捨ての鍵が当たり前だから
攻撃者にとってはセッションごとにすべて解析作業のやり直し
意味のない通信まですべて暗号化することによって
攻撃者がターゲットを見つけ出すための労力が爆発的に増える
だからむしろすべての通信を暗号化することは有効
機密事項だけ鍵かけるとか「ここを攻撃してください」って言ってるようなもの >>36
staticだろうが置換すりゃいいだろww 独自に証明書発行期間作って天下り先を確保すれば良いじゃん 年金消したバカ役人どもは黙ってGoogle様のいうこと聞いとけよ 次世代http通信規格HTTP/2がブラウザ側もサーバー側も環境が整ってるわけだが
これが1つのコネクションで複数の通信を並列処理するから
状況によってはサイトアクセスが爆速になる
このHTTP/2が実質SSL暗号化通信のみサポート
要するに近い将来にweb通信において暗号化しない通信はプロトコル自体用意されなくなる流れ >>213
内容改ざんとhttpsに何の関係があるんでしょうか
教えて下さい
お手数ですが、よろしくお願いします
m(_ _)m >>229
httpsは内容改ざん検知も機能として持っていますが? >>229
ttp://bfy.tw/J8fW
ネットで、タダで、いくらでも親切に解説してるサイトがあるのに
サルが多すぎるな >>231
こういう汎用短縮URLを作る方も踏む方も情弱 通信経路で改ざんされるってイメージわかないよな
実害がどれだけあるのか 昔SSL多用すると負荷がかかって鯖が熱くなるから必要最低限にしてあったけど、今どきのスペックだと屁みたいな負荷なんかな なんで?
HTTPじゃ偽情報に置き換えられてもわからないだろ >>237
サーバにある元データの改ざんについては別の話じゃ
httpsはあくまで通信の話 実際にできるかどうか知らんけど経路の途中で書き換えられてもわからんじゃないかとかそんなんかなぁ >>18
こっそり詐欺サイトに飛ばされても
フォームに入力した個人情報ぬかれても
問題ないっていうのかな? セキュアな詐欺サイトが出てきてパンピーは見分けられなくなってますますカオスなインターネットになるわけだな PCに疎い役人のことだから、業者にEVSSLとかクソ高い証明書を買わされたりするんだろうな
1000円ぐらいので十分だろ SSL対応化を発注
業者『ゼロ円です。年間保守費用1台辺り500億円です。』 通信経路上で改竄されても役所の責任にはならない = 役所のWebサイトは安全 「早期に対応する」→いつまでとは言ってない
「年内に移行を完了したい」→2018年内とは言ってない
「期日は未定」→そのうちやります
「来年度中に完了させたい」→2018年の次の年とは言ってない >>2
前々から言ってたこと
対応してないのが悪い SSL使ってれば安全 という誤認自体が危険なのでは 結局google利権の金稼ぎ
IEつこうてる俺様勝利 go.jpのgoはガバメントらしいけど、なりすましは不可能なの?
不可能なら問題ないけど、可能なら証明書くらい発行しろとしか言えんわな >>255
政府より上(よりルートに近い)の権限が必要だから、
まあ、個人では無理だな まあ証明書あろうがなかろうが、クリック連打だからわからんw >>251
非対応では
土俵にも乗らないわけですよ >>254
サイトの所有者にも検索キーの情報が来なくて完全に独占してるもんな >>92
既にWindowsだとXPSP3より前は見れないしそんな骨董品使ってるやつが悪い
緊急時はラジオもあるだろ さすが紙と電話とコネで仕事してるだけあるな(´・ω・`)
閲覧者の通信も覗けるとか想像できないんだろうな 例えば紙で配布される公的機関の資料を考えると、それが改竄された偽物である可能性は当然あるが、それはある程度許容できるものとして受け入れられている
そう考えるとhttpも紙と同じ
integrityの確保は大事だと思うが、無駄なコストをかける必要はない >>231
それ、盗聴して通信データを変えちゃうって事でしょ?
ウェブサーバ上のデータの改ざんじゃないじゃんwww サイトに改竄が入ると背景に偽物ってウォーターマークが入る技術を生み出した奴は巨額の富を得るだろうよ まあ、ずごく雑な言い方すると
天皇陛下に「天皇証明書」は要らない訳よ
ブラウザ様が認めなくても政府は政府なので。そういうこと。 暗号化とサイト認証がセットになってるの混乱するわ
これって別もんで良かったんじゃないの 業界団体が規格化して非ssl端末の使用禁止を謳わない限り、非SSLでの提供環境はなくせないんじゃ無いかな
がんばってね 天皇証明書は系図だから要るし有るぞ
何言ってんだ? httpsが持っている機能は3つ
通信の暗号化
通信中のデータ改ざん検知
通信元の保証
サーバの元データ改ざんは別の話だから論点が違う >>241
それをGoogleが仕切るなって話だよ ありゃ、俺の三年くらい放置してるサイトもあかんのか emailの個人証明書を一時期使ってたわ
今でも無料で発行してくれるところあるんだろうか >>177
公務員様は優秀な人材が揃ってるんだろ?
だから給料高くても問題ないとご高説賜ったけど?
優秀ならささっと内部で済ませろよ >>133
方針?
httpだと閲覧者が見るまでの経路で中身が書き換えられちゃうよって言ってんのよ。 httpsでみたら政府発行のルート証明書も一応あるんだな
ApplicationCA2とかいうクソゴミみたいな名前つけられててパッと見では政府発行だと全くわからんけど >>241
馬鹿は黙ってろ
そんなもんSSLの警告出そうが出すまいがやろうと思えばやれるわアホ まあ安いレンサバでも今は無料のsslあるしええんでない >>272
むしろ技術的にもリーディングカンパニーなんだから仕切るのは自然
日本政府が仕切るよりは遥かに、圧倒的に適切
ていうか日本の官僚が仕切ってたら今頃とんでもないことになってるだろうな…
商業活動につかうとかとてもとても…ってなってたはず… >>80
わかる
httpsのサイト増えてるから困る
これなんとかならんかね >>117
だーターってまた専門用語か?と思ったら >>284
馬鹿はお前だ
メールに「自治体のページです、フォーム入力してね」とあったとする
SSL運用あり→犯罪者のページなら警告出る、正式なら出ない
SSL運用なし→犯罪者のページでも正規ページでも同じように見える こないだ日本の官公庁のssl証明書発行してる官製認証局がセキュリティ問題放置してる怠慢サーバー証明書の迅速な取り消ししないって認証局ごとBANされてたやん
そんな状況だから民間認証局のサーバー証明書取得してhttps化してもまた直ぐに管理怠慢で各々の証明書無効にされるだけ >>279
いやいやいやいや
盗聴の上での改変データの注入はdnsだって起こるわ
盗聴は盗聴の問題として解決しなければならなくて、webだけをhttpで守っても無意味
バカなの?wwwwww >>4
役所のホームページとかなんであんなに分かりづらい見づらいんだろうか そもそも
行政機関は専用のセキュリティで保護されたシステムでしか個人情報を扱わず
国を騙って誤情報を流す輩はIT化以前から居たのでそれ用の対策は業務レベルで構築されてる
なんで今更googleなんぞのお墨付きがいるのやらやら ブラウザ側の証明書ってどうやって入手するの?
最新版をインストールするとかじゃなくて、個人的に証明書ファイルを欲しい。 >>297
もうDNS-over-HTTPSってのがあるんだよ >>303
Googleはそれを全世界に強制させなきゃなー笑笑笑笑 リテラシーの低さもだが通信プロトコルの話なのにDNSだったりサーバの元データ改ざんだったり論点ズレた話が多い。 >>300
サーバをハッキングして内容を書き換えるってのはよく知られてるハッキングで世界中の総ての人が影響をうける
けどそれとは違って通信経路がハッキングされるとhttps化されてない通信総て改竄されてその通信経路にいるだけがhttpでどのサーバにアクセスしてもサーバがハッキングされたかのような内容を受け取るってことが起こり得るんだよ
例えばある国からアクセスすると普通にニュースサイトにアクセスできるけど特定記事へアクセス出来無いどころかその記事へのリンクそのものが消されて検閲されてることすら気付かないってこともある これはFirefoxもSafariも追従するからGoogleの押し付けっていてる人は見当違い >>2
Appleも近い内にhttps以外はアクセスできないようにすると言ってるんだけど むしろアップルはssl推進ではGoogle以上だろ SSL推進を反対してるのって朝鮮半島の政府か中国共産党の工作員ぐらいだろ マイクロソフトは未だにGPKEYをルート扱いしてたり一番駄目だな お、無料Wifiあるやんけ→Chorome危険なので使わせませーんwwww
死ね >>307
へ?
dnsってプロトコルじゃないの?
知らなかったわ >>309
でもGoogleが先陣きって音頭とってるからってのも否めないよね >>312
httpとhttpsは適材適所
httpで十分なところまでhttpsは必要ない >>317
教育評論家ですらitunesカード買ってくださいに引っかかるのに
httpで十分なサイトなんて存在しないだろ >>315
DNSとHTTPが同じジャンルのプロトコルだと言いたいのか? >>263
初めから通信が暗号化されてれば
改ざんするつもりで盗聴した奴がいても
暗号化された謎の文字列しか見れないので
改ざんしようがない
そういうことですよ
WEBサーバのデータ改ざん?
それはハッキングとかクラッキングとかいう、全くの別物だ、どアホ >>264
まともな管理者なら
サイト情報が勝手に書き換わったら、リアルタイムで通知が来るように監視の仕組み持ってるよ
正規の更新の時は、監視を止めるか、通知を無視するかで対応 >>317
こういうバカがいるからgoogleみたいなところが
ある程度強制力をもって先導してくれるのは実にありがたい >>317
本気で言ってるならIT業界で仕事しないでください 軽いブラウザだったのにどんどん重くなるよね。
ピザ食い過ぎ 安いレンサバだとlet's encrypt使えるからいいんだけど、
中途半端なところは証明書の費用がね・・CPIお前のことだ >>326
ま、経産省だけでなく、大企業でも、SSL未だに未対応とかあるよ。 閲覧するデータが通信中に改竄されているかどうか判定できないのであれば危険性があるってことだ。
例えば、フリーのwifiスポットがあったとしてそれは悪意のあるユーザが立てたProxy型のwifiスポットだったら特定のデータやURLに対して改竄をすることなんて簡単なことなんだよ。
サーバをハックしなくても今の時代いいわけよ >>329
jsで送ってるかもしれないからな
そのへんの土方が適当に作ったものなんて信用できなしないよりはあったほうが当然いい >>329
だから問題は
その閲覧してるサイトが本当に公式かどうかなんだよ
偽の情報でおばあちゃんが銀行に振込みとかでも
被害出るでしょ ただの趣味のサイトを作ってるワイもhttpsにせなあかんのか?
無駄すぎやろ >>336
共有SSLでいいんじゃねレンタル鯖ならだけど Googleは何様なの?日本は屈さないようにしよう
日本は昔からIT先進国で20世紀の時点で既にインターネット万博を開催したほどなんだよ(若い子は知らんだろうな(笑)) ttp://www.itmedia.co.jp/im/articles/0202/01/news001.html
インパクの“失敗”を総括する そして消え去ったインターネット博覧会
・証拠隠滅?──消えたサイト
・「失敗の理由」はインターネットに対する無理・無知・無駄 httpsでは担保できない部分を業務レベルで担保する仕組みをchlomeリリース以前から運用してんのに
今更「httpsなら安全」とか言ってるあたり
googleも技術力落ちてきたんかねえ >>341
> 運用してんのに
具体的になにかいってみそ?
言えないでしょ? >>342
こんなもんに100億の税金が消えたんやで…
むしろハラワタ煮えくりかえるんじゃね うちの会社のECサイト未対応だったから全部一人でやらされたわ
50工数くらいボーナスでくだしあ httpsでの提供要望があればたいした手間でもないし実装してもいい
だが非対応端末の使用を禁止する法律でもできない限りhttpでの提供はやめんよ
お役所とはそういうもんだ
意識だけ高い系の自己満足に応えることよりISDN時代の液晶ノートパソコンしか持ってないお婆ちゃんでも見られる環境を維持する方が大事なんだ
まして、国が責任を持たなきゃいけないサイトだ。信頼性の担保を"s"の字一個に丸投げするような馬鹿なことはせんよ >>343
教えるわけないじゃん。国に限らず。
馬鹿なのかな? 平たく言ってしまえば、インターネットができる前から「消防署の方から来ました」ってのは居たわけよ。
今でも逮捕される奴居るけども。 >>347
そうだよな。
口から出まかせだから言えるわけないよね…
適当言ったら恥かくし… >>351
ま、SSL化は証明書の有無っていう意味でも価値ある。
通信の書き換えがなされていたら困るしね じゃあ税務署の申請もcgiにしとけよ(ヽ´ω`)
素人でも改ざんしやすいからお薦めだよ
全く税金取る時だけは厳重なのな、こいつら 証明書がないことには、なりすましを防ぐ手立てがなにもないからな
ないのはまずいわ >>177
金かかるって年間1000円なんだが?
無料でできるのもあるんだが?
逆に高いSymantecとかはGoogleと揉めてるから逆にダメ
AWS使ってるなら証明書無料だぞ >>346
サポート終わったOSの面倒まで見る必要はない 書き換えられて困るような情報そんな所に置いてないし
httpsだろうと偽装文書は偽装と言える立場だし
今更google様にお墨付き貰ってなんの意味があるのかと >>all
「あ〜、これからは日本語で話して戴いて結構ですから」 日本政府が発行するルート証明書はあるけど、mozillaの開発者が昔の2ちゃんねる運営の規制担当みたいな奴だから、気に食わないことあってルート証明書追加を拒否ってクローズさせたから対応できていない
Windowsはルート証明書インストールされてるけど、mozillaのルート証明書リスト流用してるChromeだと非対応 あと何でもかんでもhttpsにしろってやると、有名どころのルート証明書に問題起きて失効になったら、
保護されてません警告が出るどころか、証明書警告が出て表示されなくなる大惨事が起きるからhttpも残した方がいいと思う
最近のブラウザ、証明書に異常があったときの警告無視してアクセスするのが前より難しくなってるし
クレジットカードとかログイン画面以外も広範囲に閲覧不能になったらインターネットクライシスになる >>368
むっちゃフィジカルな仕組みだな
「はい通っていいよー!はーいはーいはー…んー…お前はダメ!www」 こんな基本も知らないバカだらけ
義務教育で教えろよ IT立国 w >>369
証明書期限切らすような運営してるやつにセキュリティ任せられるかよw そもそもgoドメインの詐称なんて本気でできる奴いんのかと
googleもだいぶ頭悪くなったな >通信経路上で改竄される可能性が〜
SSLは経路情報暗号化しねえよ知ったか小僧 >>377
は?誰も経路情報って言ってないがw
経路中のデータ改ざん検知だバーカ 日本政府で機関作ってSSL証明書発行して行政関係限定で無償で使わせればいいのに。
最大需要が読めるので常に適正規模で運用できるだろうし。 >>376
こういうアホなワイルドカード発行してリスク高める人豚がいるから。
https://crt.sh/?id=8169164
DNS:*.go.kr て...。 ん?トンスルラインって国内企業じゃなかったのか?なんだよ差別って リスクを承知するからhttpでの接続も許せや。
ブラウザが対応しなくて不便で小がない sslから外れるけどspfレコードの対応も合わせて検討よろしく
euの法人にメールするときに弾かれるの多すぎ >>387
メールの仕様は技術負債だらけなんだよな。。 >>388
へー。興味本位で聞くけど例えばどんな例? >>6
爺さん達はまだAndroid4世代なんです >>320
89からのレスは内容の改竄と通信の改竄をごっちゃにさるなって話してるのに
なんでいきなり通信の改竄とは何かって語り出してんの? サーバ証明書取ってるかどうかだけでも大きな信用情報だからな
今年中か遅くても来年には検索結果をhttpsのみにするんだろ
ドメイン取得そのものに制限ある政府ドメインみたいな特殊ドメインは少し猶予期間持たせると思うが
アフィサイト撲滅されるしメリットしかない これってセキュリティの問題もあるけど一番大きな理由はSafeBrowsingのブラックリストデータが膨らみすぎてそれがブラウザ性能低下の原因になりつつあるからだろ
https以外は危険と定義したら後は楽だし
怪しいサイトの証明書が特定認証局に集中してたら認証局ごとあぼんすりゃいいだけだし 新宿古着屋ワタナベはhttpだろうがsだろうが危険ですダイバクショウ >>8
GPKIで出せるから単に手続きしてないだけ
ルート証明書は自己署名形式だが そもそもパスワードやセキュリティーソフトもハッカーやフィッシングする馬鹿どもが居なければ要らない話。
そこで考えた。法律でハッカーやフィッシングする奴は死刑もしくは無期懲役にしたら無くなるんじゃね? letsencryptでたしオレオレは全面禁止にしてもいいくらい
自分だけならともかく自分を信頼した全員を間接的にリスクに晒すからな Googleが.go.jpを例外処理するだけで
いいんじゃねぇの? なんで日本の無能な役人のために例外処理する必要があるの?
しかもセキュリティリスク増やすほうで >>389
RFC2821と2822のことじゃね?
根本的に別のものに乗り換えた方がええわ。
代わりになるプロトコルは知らんけど。 >>358
なんか違う気がする
命の安全より通信の安全を優先するの? >>405
サポート終わったOS使ってる時点で自ら命の安全を捨てている
増水の警告をなんども受けているのに中州でBBQやるDQNと同じ >>406
サポート終わってるガラケーや android4とかからの 119番緊急通報は受け付けません
っていいの?同じだと思うよ 世間ではブラウザに鍵のマークがあれば安心とか教えてるのに
なんにでもHTTPS使ったら意味ないじゃん 何言ってんだ。そもそも119番緊急通報なんてネットで受け付けてないだろ
そんなサービスはなからやっていない。意味のない論法
サポート終わってるOSはセキュリティリスクがあり本人だけじゃなく
乗っ取ってボットネットにされたりして他人にも迷惑をかける
サポート切れブラウザはサーバー側でチェックして
買い替えを促すメッセージを表示するようにすべき >>408
DVレベルじゃ安心じゃネェーな。
つーか、EV使っていようが暗号スイートの選択がへボけりゃ意味ネェし。 >>410
うちの会社には暗号スイートオタクがいて、CHACHA20-POLY1305に軒並みしてるな。
証明書はDVやLet's Encryptだけど。 >>411
RC4が使えなくなってからというもの、
AES一辺倒ってのも問題あったからな。 >>292
うーん
君は自分の頭の悪さを知った方がいいよ?w >>401
ドメイン名だけで守れるわけがない
DNS乗っ取られたらおまえおわりだな >>409
電話だってアプリ使って電話かけるんだから、
os乗っ取られてたらまともに通話できてるか分からんよ? ■ このスレッドは過去ログ倉庫に格納されています