新着Pick
242Picks
シェアする
pick
Pick に失敗しました

人気 Picker
Googleの有無を言わさないHTTPSへの移行を促す措置。有無を言わさないと言いつつも、ちゃんと移行期間はとっており、だいぶ前からのこの計画は明らかにしていた。

それであっても、HTTPSへの移行が世界の中でもダントツに遅い国が日本。いろいろと理由があるのだろうが、日本の低迷している理由と重なってしょうがない。
正しい方向だと思います。

しかし、安全、非安全の表現に騙されないように注意しましょう。HTTPSだから100%安全というわけではありません。

HTTPSはコンテンツ内容の完全性(途中で不正変換されていないこと)と、通信の盗聴を防ぎます。でもハッキングされたサイトはHTTPSでも非安全であるわけです。

HTTPSのフィッシングサイトも増えてきてます。
こういう事をグーグル単独で先走るとまた批判が出るでしょう。www世界における神のような存在だからこそ何事も謙虚でないと。その点ザッカーバーグのほうが最近謙虚に見えます。ラリーペイジより一回り以上若いからラーニングもアンラーニングも柔軟で素早いのでしょう。
HTTPSですら安全でない領域が広がっている現状を考えると当然のことだと思います。
無線暗号化方式の大半が現実的な時間で突破可能であり、これは攻撃者が同一ネットワーク内に進出可能だと言うことですと。
そんな中SSLスニッフィングなど容易いことであり、そもそもdnsキャッシュポイズニング等で向き先を変えられたらHTTPSだろうがHTTPだろうが気づけない。
だからこそWEBはFIDO等更なる認証の進化に舵を切らねばならぬと思うのです。
NISTだとSP800-63等は既に国内の業界でも認識が高まっていますよね。
ロジックまでエミュレーションされないようにすることが重要ではないですかね。
そして我々もURLもSSL証明書も完璧な偽サイトが構築可能であることを認識して知識として防衛ラインを張らないとイカンと思います。
ま、いいんじゃないでしょうか。
httpsでも証明局毎偽装されたらアウトですし、方法はたくさんある。絶対ではない。

http排除だけでうまくいくものじゃないけど、問題提起としてはアリです。
国内SSL/TLS通信が普及が進まない問題の根幹は証明書発行のプロセスとイニシアチブを握るプレイヤーの問題じゃないかなと思っていて、本来アクセスしたい端末とのシェイクハンドに権威的サーバが必要っていう非対称性がある限り、非権威主義的なインターネットの特性から考えてどうしても不向きだし、昨今話題の暗号通貨が何故ビッグバン的拡張を果たしてるのかを考えると、やっぱり何かしらのパラダイムシフトは必要だなと思う。

例えば、発行された証明書を元に子や孫になる証明書(もしくは公開鍵)を発行できて(もちろん階層は制限あって然るべきだが)クライアント側がそれを「信頼」してくれればもうちょっとハードルは下がるんじゃないかと思うんだよね。
そういう流れですよねえ
とてもいいことだと思います!さらに加速していきたい。
SSLだから安全だとも言えない。