もずはっく日記(2007年2月)

Re: httpsだと思ってたらhttpで通信することになるような場合、Firefoxはキャンセルできないことが多い
初回投稿日時: 2007年02月08日05時10分36秒
カテゴリ: Mozilla Core
SNS: Tweet (list)

なんかまた変な記事が出ているぞという話を見かけたので。

詳しく検証していませんけど、ざっと読んだ限りではhttpsのページからhttpで何か情報が送信されるとまずいという話のようですが、HTML中の何らかのリンク(例えば画像)等でGETのパラメータ等で何かを投げようとしているのであれば、送信前に警告が出るようにしていれば警告が出ると思います。(多くの人はこの設定を初回の警告時にオフにしちゃってるでしょうけれど。)

それ以外の方法(リライトを利用したりとか)での送信は防ぎようが無いですけど、それってhttpのページでも結局同じ事が言える訳で、そこまで気にするならフル機能のモダンブラウザって、そもそもその人には向かないものなんだと思います。(つまり、多機能なブラウザを使う上では仕方のないリスクだと思います。また、そう考えるとURIのリライトって危ない仕様ですね。)

そもそも、httpsで情報の送信を全て暗号化しておいて欲しい(そういう必要がある)ようなサイトでhttp通信を使っちゃっているというのは、UAに過失が無いとは言いませんけど、どちらかというとコンテンツ提供者に過失があるように思えるんですけど、そういう根本的な話は無視されているようで。

その後のhttpsからhttpへのリンクでの移動をキャンセルできないという話は言いがかりにしか思えません。そこまで気にする人なのに、リンクをクリックする前にステータスバーを見てないんでしょうか? また、普段はhttpなサイトではリンクはいっさいクリックしないような運用をしている人なのでしょうか? これではケチをつけたいがために書いた文章のように見えます。

最後に画像の件ですが、セキュリティバグのままではありますが、bugzilla-jpにも報告あがってます。また、本家では公開済みのセキュリティバグとして登録されています(bug-org 135007)。

これは本家のバグが公開されているので、世間的に既知の問題なので良かったのですが、それへのリンクが無いところを見るとどうも問題のblogの作者さんは、そのこと自体を知らないようにみうけられます。もしそうであるなら、セキュリティに関する話を適切に報告せずに世間にいきなり喧伝するという行動が感心できません。プロダクトへの批判は良いんですけど、セキュリティに関わる話題の場合は、それを使っているユーザがいるわけですから、そのへんのことももう少し考えて気を使って欲しいなぁと思います。