この日記はMozillaのプロダクトへの貢献者としての私の成果を中心に、気になったバグやWeb界隈の話題について書いていますが、 断り書きがある場合を除き、いかなる団体のオフィシャルな見解ではありません。あくまでも個人的なものです。 Mozilla Foundation、Mozilla Corporation、及び関連企業の公式情報ではないことに注意してください。

現在、XHTML 1.0 (もどき)から、HTML5なコンテンツに修正中です。古い日記は修正が完了していませんので表示が崩れます。 順次、修正していく予定ですのでしばらくお待ちください。

もずはっく日記(2007年2月)

2007年2月8日

Re: httpsだと思ってたらhttpで通信することになるような場合、Firefoxはキャンセルできないことが多い
初回投稿日時: 2007年02月08日05時10分36秒
カテゴリ: Mozilla Core
SNS: (list)

なんかまた変な記事が出ているぞという話を見かけたので。

詳しく検証していませんけど、ざっと読んだ限りではhttpsのページからhttpで何か情報が送信されるとまずいという話のようですが、HTML中の何らかのリンク(例えば画像)等でGETのパラメータ等で何かを投げようとしているのであれば、送信前に警告が出るようにしていれば警告が出ると思います。(多くの人はこの設定を初回の警告時にオフにしちゃってるでしょうけれど。)

それ以外の方法(リライトを利用したりとか)での送信は防ぎようが無いですけど、それってhttpのページでも結局同じ事が言える訳で、そこまで気にするならフル機能のモダンブラウザって、そもそもその人には向かないものなんだと思います。(つまり、多機能なブラウザを使う上では仕方のないリスクだと思います。また、そう考えるとURIのリライトって危ない仕様ですね。)

そもそも、httpsで情報の送信を全て暗号化しておいて欲しい(そういう必要がある)ようなサイトでhttp通信を使っちゃっているというのは、UAに過失が無いとは言いませんけど、どちらかというとコンテンツ提供者に過失があるように思えるんですけど、そういう根本的な話は無視されているようで。

その後のhttpsからhttpへのリンクでの移動をキャンセルできないという話は言いがかりにしか思えません。そこまで気にする人なのに、リンクをクリックする前にステータスバーを見てないんでしょうか? また、普段はhttpなサイトではリンクはいっさいクリックしないような運用をしている人なのでしょうか? これではケチをつけたいがために書いた文章のように見えます。

最後に画像の件ですが、セキュリティバグのままではありますが、bugzilla-jpにも報告あがってます。また、本家では公開済みのセキュリティバグとして登録されています(bug-org 135007)。

これは本家のバグが公開されているので、世間的に既知の問題なので良かったのですが、それへのリンクが無いところを見るとどうも問題のblogの作者さんは、そのこと自体を知らないようにみうけられます。もしそうであるなら、セキュリティに関する話を適切に報告せずに世間にいきなり喧伝するという行動が感心できません。プロダクトへの批判は良いんですけど、セキュリティに関わる話題の場合は、それを使っているユーザがいるわけですから、そのへんのことももう少し考えて気を使って欲しいなぁと思います。

関連するかもしれないエントリ

関連するかもしれないエントリを発見できませんでしたが、無いとは限りません。