HTTP用のページにHTTPSでアクセスする # 2008-08-06 - T.Teradaの日記
ブラウザの対処
IEは、不完全なHTTPSのページ(HTTPSページにHTTPが混ざっているページ)に出くわした場合、セキュリティ警告ダイアログを表示して、ユーザに対してHTTPのファイルの読込みを拒否する選択肢を与えてくれます。しかし、Operaのように警告ダイアログを出さないブラウザや、Firefoxのように事後にダイアログを出す(この種の攻撃に対しては効果が無い)ブラウザもあります。
またIE、Firefox、Operaとも、不完全なHTTPSのページであることを何らかの形でユーザに伝えます。具体的には、壊れた鍵マークを表示する、鍵マークを表示しない、アドレスバーの色をHTTPのページと同じにするなどの方法がとられています。
しかし、ブラウザ(IE、Opera、Firefoxとも)は、内部的には不完全なHTTPSのページを通常のHTTPSのページと同じように扱います。つまり、secureフラグが付いたCookieの読み取りや、同一ドメインの他のHTTPSページの読み取りなどを許しています。
この辺、もう少しブラウザ側でなんとかならないかなとも思うわけですが、そもそもの話としてHTTPSページにHTTPを混ぜるというおかしなことをしているのはWebサイト側なわけで、このような問題は基本的にWebサイト側で対処するべきと捉えた方がよいと思います。
え?ちょっと待ってくれ,IE以外はそんなアクセスポリシーなんだ.
(認証,もしくは認証と秘匿が確立した)セキュアチャネルから得られた情報に,そうでない情報を混ぜるのって普通なのかな?そうしないと何か不都合なことがあるのだろうか?
て言うか,言葉の使い方合ってるかな?インフラ系は斜め読み…