この日記はMozillaのプロダクトへの貢献者としての私の成果を中心に、気になったバグやWeb界隈の話題について書いていますが、 断り書きがある場合を除き、いかなる団体のオフィシャルな見解ではありません。あくまでも個人的なものです。 Mozilla Foundation、Mozilla Corporation、及び関連企業の公式情報ではないことに注意してください。

現在、XHTML 1.0 (もどき)から、HTML5なコンテンツに修正中です。古い日記は修正が完了していませんので表示が崩れます。 順次、修正していく予定ですのでしばらくお待ちください。

もずはっく日記(2007年2月)

2007年2月9日

Re: Re: Re: httpsだと思っt(ry
初回投稿日時: 2007年02月09日03時14分43秒
最終更新日時: 2007年02月09日06時47分34秒
カテゴリ: 雑談
SNS: (list)

リライトって何ですか。Apacheでmod_writeを使って行われるあの処理のことでしょうか。それが何か今回の話に関係してるんですか。

おっとすいません。一般的な呼称じゃないんですかね。mod_rewriteのことです。

で、前回のエントリでは、「httpsのサイトからhttpで通信が行える、なおかつFirefoxはそれを通知するのみで中止できないのは問題だ」という論調から、セキュリティの問題を論じているようにしか私には読み取れません。そして、中止できないのはセキュリティ上マズイと考えた場合、ぱっと思いついた情報の送信方法がgetによる送信と、mod-rewriteを利用してgetの内容を普通のURIと見た目変わらなくしての送信です。getは明らかにデータを送信しようとしているのでUAが警告を出すことは可能ですが、後者は防ぎようが無いという話です。

httpsのページの中にhttpのコンテンツは埋め込まない方がいいとは個人的には思います。でも、仮に埋め込んだとして、それがコンテンツ提供者の過失かどうかはまだわからないと思います。

私はコンテンツ提供者の過失だと言って良いと思います。断り書きがなければ許されるというのは好ましいことではありません。

それはさておき、Firefoxが通信をキャンセルできたとしても許されることじゃないし。とのことですが、前のエントリのページ自体はhttpsでも、その中にhttpのコンテンツが埋め込まれる場合があります。という文言からそれは読み取れません。あたかもそういうことが当たり前のようにあり、それを中止できないのは非常にまずいことであるかのように書かれているように読み取れます。(中止できた方が良いということには私も賛成ですが。)

あなたの今回のエントリには中立的な視点での文章が散見されますが、前回のエントリはそうは見えません。一方的にFirefoxのセキュリティは駄目だという結論の元に、わざわざ侮蔑をこめた言葉(例えばイエスマン)を選んでいる文章だと感じます。

それに、「リンクをクリックした後の遷移先は常にステータスバーに見えているとは限らない」ということを知ってて触れないのはいいのですか。

おっしゃるようにステータスバーの情報は常に信頼できるものではありません。(Bug-org 229050)

まあFirefoxがもし私専用のソフトなのであれば、私はステータスバーを見るタイプなのでケチを付けないかも知れません。でもそうじゃないので。

で、このコメントに戻りますが、もし、一般的な(大多数の)ユーザを想定して書いた文章なのであれば、そういうユーザで「いいえ」が押せないことを不思議、もしくは不満に思うユーザはごく少数でしょう。また、その人たちはおそらくあなたが指摘するようにステータスバーを見ないでしょう。

逆にセキュリティに対するリテラシが高いユーザであればステータスバーの確認や、「いいえ」が無いことへの不満にも納得がいきます。

私はこの件をUIの問題だと思ってました。さらに言えば「問題」よりも、「IEとFirefoxのUIの差」ですね。もっと厳密に言えば「IEと、一般にIEよりも安全だとされるFirefoxのUIの差」。

(中略)

なので、この事象(警告が出ないこと)がバグだったとしても、それセキュリティ上のバグではなくUIのバグなんだと思いました。

何故セキュリティ上の問題とUIのバグとを分離しようとされるのか理解できないのですが、結果的にあなたは前のエントリの最後でIEとFirefoxのどちらが安全であるかという不毛な議論の結論を導こうとしています。セキュリティに関係の無いUIの話でFirefoxは安全では無いという話だったのでしょうか?

私には未だに前回のあなたのエントリはセキュリティに関する話題を提供しているようにしか読み取れません。あなた自身もそのことを一考されたようですし。ならば何故そのまま情報の公開に至ったのかその経緯があなたの説明を読んでも理解できません。より良いアイデア(IEと同様にYesNoの問い合わせをすべき)と、imgの問題を知り得た訳ですから、やはりベンダかIPAに問い合わせるべきだったと私は思います。(結果的に既知の問題のみでしたが、もし、未知の問題であれば、あなたはすごい人数のユーザを危険にさらしていたかもしれません。)

関連するかもしれないエントリ

関連するかもしれないエントリを発見できませんでしたが、無いとは限りません。

このエントリへのリンク元