• HTTP用のページにHTTPSでアクセスする # 2008-08-06 - T.Teradaの日記

ブラウザの対処

IEは、不完全なHTTPSのページ（HTTPSページにHTTPが混ざっているページ）に出くわした場合、セキュリティ警告ダイアログを表示して、ユーザに対してHTTPのファイルの読込みを拒否する選択肢を与えてくれます。しかし、Operaのように警告ダイアログを出さないブラウザや、Firefoxのように事後にダイアログを出す（この種の攻撃に対しては効果が無い）ブラウザもあります。

またIE、Firefox、Operaとも、不完全なHTTPSのページであることを何らかの形でユーザに伝えます。具体的には、壊れた鍵マークを表示する、鍵マークを表示しない、アドレスバーの色をHTTPのページと同じにするなどの方法がとられています。

しかし、ブラウザ（IE、Opera、Firefoxとも）は、内部的には不完全なHTTPSのページを通常のHTTPSのページと同じように扱います。つまり、secureフラグが付いたCookieの読み取りや、同一ドメインの他のHTTPSページの読み取りなどを許しています。

この辺、もう少しブラウザ側でなんとかならないかなとも思うわけですが、そもそもの話としてHTTPSページにHTTPを混ぜるというおかしなことをしているのはWebサイト側なわけで、このような問題は基本的にWebサイト側で対処するべきと捉えた方がよいと思います。

え？ちょっと待ってくれ，IE以外はそんなアクセスポリシーなんだ．

(認証，もしくは認証と秘匿が確立した)セキュアチャネルから得られた情報に，そうでない情報を混ぜるのって普通なのかな？そうしないと何か不都合なことがあるのだろうか？

て言うか，言葉の使い方合ってるかな？インフラ系は斜め読み…