[0] みずほ銀行のWebサイト、HTTPSでのアクセスをブロックして話題に-[Id of Radiance ver.5]





■ みずほ銀行のWebサイト、HTTPSでのアクセスをブロックして話題に

 最初リンク先の高木氏の話と矛盾してるよーに思えたので混乱しかけたが
  1. 「httpsアクセスするところは漏洩を防ぐためにhttps限定にしhttpでアクセスできないように」と主張・指導するトコロがある。
  2. その指導に従うと、httpsに対応したページはhttpをブロックしなきゃいけない。
  3. 一般的にhttpでアクセスされるページにそれをすると困る(事がある)ので、仕方なくhttpsの方を封じた。
 とゆー流れの可能性があるのね。そうだとしたら本末転倒ですな。
 とりあえず「全てのページはhttpsであるべき」系の主張は一旦置いて、そらまあフォーム送信とかするページに手違いでhttpアクセスしちゃわれるとよろしくないからそのページはhttps限定にする、という発想はアリだと思うけども(※私もapacheの「SSLRequireSSL」使ってSSL限定ページを作ることあるし)、それを「http or https」という形式的な排他と判断するのはお役所的というか本質を外しているなぁ、と。

 リンク先の参照先にある各銀行の対応具合の統一っぷりを見ると、なんとなくお上系コンサルの指示に従ってるよーな気がするが、とは言え言ってる側は深い事考えずに「場所によってはhttps限定」って言いたいだけだと思うんだよね。言ってる側が言葉足らずなのか受け取る側が杓子定規なのか、はたまたその中間にいる人の翻訳ミスなのか。
 まあいずれにしても「全部httpsで」が実現すれば済む話ではあるけど、銀行とかはひょっとして「情報を閲覧できない可能性を排除しなければいけない→SSL非対応ブラウザの事も延々と考えなければいけない」とゆールールでもあったりするのだろうか。まあそれはそれで非対応端末がhttpsに来たらhttpに誘導すれば良い…って、つまり今回の方式になっちゃうのだろうか。

関連タグ:SSL
2015-01-16 [セキュリティ]

関連記事: