2011-07-09
HTTPとHTTPSの混在について
IEBlogの「Internet Explorer 9 Security Part 4: Protecting Consumers from Malicious Mixed Content」を読んだ。
HTTPSページ中の画像
HTTPSのページの中にHTTPの画像などが含まれていると、man-in-the-middle攻撃の危険がある。Chrome13はこの危険性を無視するが、IE9は警告する。
IEが以前のバージョンからその警告を出してきた事を私は評価しているのだけど、残念ながら多くのユーザはその警告を無視するだろう。何が問題なのか、一般ユーザにはわからないからだ。
昔はAmazonのサイトでもこの警告が出たものだが、さすがに今はすべての画像がHTTPSで配信されているようだ。
最後に、IE9の開発用機能が紹介されている。この脆弱性をサイトの開発時に発見する機能は、ぜひ使用を検討してみるべきだろう。
認証時のHTTPS
この記事では触れられていないが、少なくとも日本国内において、HTTPSについてはもっとひどい誤解もある。
なんと、ログインフォームをHTTPで配信してしまうのである。
たとえば、ハンゲームのサイトがそうだ。
ユーザはこのログインフォームに認証情報を入力するのだが、このフォームがどのサーバから送信されたものか確認できない。
「ログイン」ボタンを押した先がHTTPSなら、確かにパスワードは暗号化される。しかし、それだけでは不十分。そのログインフォームは攻撃者のサーバから送られているかもしれない。SSLのもっとも重要な機能はサーバ認証であり、サーバ認証なしの暗号化など大した意味はない。攻撃者と暗号化通信をしたいと思う人はいないだろう。
だから、フォームがHTTPSで送信されていなければ、ユーザはそこにパスワードを入力してはならない(困ったことに、躊躇すらしないのだが)。
このハンゲームというのはオンラインゲーム大手らしい。トップページをHTTPSで配信するコストを気にするなら、同業のGAMECITYのように専用のログインページを用意するべきだろう。
Permalink | コメント(0) | トラックバック(0) | 04:40 
WindowsでMacのバンドルを実現する方法?
The Old New Thingsの「In Windows, the directory is the application bundle」を読んだ。
どうしてWindowsはAppleのバンドルを盗まないのか、という出だしで始まるこの記事。
それ、ディレクトリでできるよ、というのが答え。
これは、キュートな名前を付けなかったマーケティングの失敗に過ぎないと。
たしかにAppleはその辺が上手い。
実際、Windowsにおけるバンドルの作り方は簡単だ。
DLLやデータをアプリケーションのディレクトリに入れておけば、
キミのアプリケーションを一つのディレクトリにまとめておけるぞ、
おめでとう、バンドルができてるじゃないか? というわけだ。
個人的には、Appleのバンドルってのはディレクトリを叩いたらプロセスが起動する
シェルの機能のことだと思う。
それをDLLの配置の問題と考えてしまう、OS屋のMSはこれからもマーケティングに失敗するのであろう。
Permalink | コメント(0) | トラックバック(0) | 16:51 