水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > フレームでは通用しない SSL 確認方法

フレームでは通用しない SSL 確認方法

2004年12月27日(月曜日)

フレームでは通用しない SSL 確認方法

セキュリティホールmemo (www.st.ryukoku.ac.jp)で「ウィニーでソフト違法入手、巡査立件せず…京都府警 (osaka.yomiuri.co.jp)」というニュースが紹介されていたので、ACCS が何か声明を出していないかと思い、ACCS のサイトを見てみました。

URL を入力するのも面倒なので、Google で "ACCS" と検索すると、検索結果はこんな感じ。

ACCS ...

※このページはフレームをご覧になれないブラウザには対応しておりません※.

アクセスしてみると大幅にリニューアルされていて、しっかりフレーム化されていました。noframes はありますが、Google さんが見たとおり「フレームに対応していない奴は帰れ」という状態。

いろいろ見ていたら、「ACCS/著作権・個人情報について」というページで凄いものを発見してしまいました。

ACCSホームページに設置している各種の投稿フォームでは、SSL(セキュア・ソケット・レイヤー)という、データを暗号化して送信する技術を利用しています。

(~中略~)

1)ブラウザのURL表示が「https://・・・」という表記で始まっているか(「http」に続けて「s」が表示されていれば、SSLは有効です。)

以上、ACCS/著作権・個人情報について より

残念ですが、ACCS のサイトではこの方法で SSL かどうかを確認することはできません。フレームを使用している場合、アドレスバーに表示されるのは外側のフレームの URL であって、フォーム本体の URL ではないからです。外側のフレームが SSL であっても、中のフォームが SSL でなければ意味がありません。さらに言えば、フレームの一部だけを書き換える技術も存在しますので、外のフレームが ACCS のものだからと言って信頼することもできないわけです。

そのようなわけで、フォームの URL を確認するためには、フレームを解除してフォームだけを表示するか、あるいはフォーム部分を右クリックして「プロパティ」を確認する必要があります。

おそらく ACCS は、どこかの (フレームを使っていない) サイトに掲げられていた説明をそのまま拝借したのだろうと思いますが、フレームが使われているというだけで通用しなくなってしまいますので注意が必要です。

※というか、そもそもどうしてフレーム化したのかが謎です。セキュリティ的に問題があることはよく知られていると思うのですけれど……。ACCS はセキュリティに慎重であることが強く求められていると思うのですが、どうして安易にフレームなどを選択したのか聞いてみたいです。

関連する話題: ACCS / セキュリティ / アクセシビリティ / SSL/TLS / フレーム

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト