フレームでは通用しない SSL 確認方法
2004年12月27日(月曜日)
フレームでは通用しない SSL 確認方法
セキュリティホールmemo (www.st.ryukoku.ac.jp)で「ウィニーでソフト違法入手、巡査立件せず…京都府警 (osaka.yomiuri.co.jp)」というニュースが紹介されていたので、ACCS が何か声明を出していないかと思い、ACCS のサイトを見てみました。
URL を入力するのも面倒なので、Google で "ACCS" と検索すると、検索結果はこんな感じ。
ACCS ...
※このページはフレームをご覧になれないブラウザには対応しておりません※.
アクセスしてみると大幅にリニューアルされていて、しっかりフレーム化されていました。noframes はありますが、Google さんが見たとおり「フレームに対応していない奴は帰れ」という状態。
いろいろ見ていたら、「ACCS/著作権・個人情報について」というページで凄いものを発見してしまいました。
ACCSホームページに設置している各種の投稿フォームでは、SSL(セキュア・ソケット・レイヤー)という、データを暗号化して送信する技術を利用しています。
(~中略~)
1)ブラウザのURL表示が「https://・・・」という表記で始まっているか(「http」に続けて「s」が表示されていれば、SSLは有効です。)
以上、ACCS/著作権・個人情報について より
残念ですが、ACCS のサイトではこの方法で SSL かどうかを確認することはできません。フレームを使用している場合、アドレスバーに表示されるのは外側のフレームの URL であって、フォーム本体の URL ではないからです。外側のフレームが SSL であっても、中のフォームが SSL でなければ意味がありません。さらに言えば、フレームの一部だけを書き換える技術も存在しますので、外のフレームが ACCS のものだからと言って信頼することもできないわけです。
そのようなわけで、フォームの URL を確認するためには、フレームを解除してフォームだけを表示するか、あるいはフォーム部分を右クリックして「プロパティ」を確認する必要があります。
おそらく ACCS は、どこかの (フレームを使っていない) サイトに掲げられていた説明をそのまま拝借したのだろうと思いますが、フレームが使われているというだけで通用しなくなってしまいますので注意が必要です。
※というか、そもそもどうしてフレーム化したのかが謎です。セキュリティ的に問題があることはよく知られていると思うのですけれど……。ACCS はセキュリティに慎重であることが強く求められていると思うのですが、どうして安易にフレームなどを選択したのか聞いてみたいです。
- 「フレームでは通用しない SSL 確認方法」へのコメント (4件)
- 前(古い): ヨン様公式サイトがやられた
- 次(新しい): 出た