Firefoxを使っていると時々アドレスバーのところの鍵アイコンに黄色い三角マークが出ていることありますよね。
そこをクリックすると、この接続は安全ではありません。このページの一部(画像など)は安全ではありません。
などと出てきます。これは一体どういうことなんでしょ。
Firefox”この接続は安全ではありません”このページの一部(画像など)は安全ではありません。
FirefoxでSSL化されているサイトへ接続をしてみるとアドレスバーのところの鍵マークに黄色い三角のマークが表示されていることに気付きます。
これは、安全でないコンテンツがそのページに含まれている場合に発生するものです。
そのページにhttpとhttpsのリソースが含まれた混在コンテンツのページということですね。
「詳細を表示」をクリックすると、ページ情報というウィンドウが開きますのでそこでも、技術情報として以下のようなメッセージも確認することができます。
一部の接続だけが暗号化されています
表示しているページの一部はインターネットに転送される前に暗号化されていません。暗号化せずにインターネットに送信された情報は他人に傍受される可能性があります。
サイトは安全なのか?
ここは少々微妙です。
安全と言えば、安全ですが、あまり良い状態と言えるものではありません。
ここでちょっと、この混在コンテンツページについてのMozilaの説明を見てみます。
攻撃者は、あなたが訪れたページ上の HTTP コンテンツを置き換えることができるため、あなたの信頼情報を無断で借用したり、アカウントを乗っ取ったり、あなたの個人情報を入手したり、ページのコン テンツを変更したり、あなたのコンピュータにマルウェアのインストールを試みたりすることができます。
ここだけ見ると「危険」と判断できます。
さらにアイコンについての説明文を見てみると
灰色の錠前アイコンにオレンジ色の警告アイコンが付く場合、Firefox は安全でないパッシブコンテンツをブロックしていません。攻撃者はページの一部を改変することが可能です。例えば、誤解させるコンテンツや不適切なコンテ ンツを表示することはできますが、攻撃者がユーザの個人データをサイトから盗むことはできません。
非SSLのコンテンツは改ざん等ができてしまうが、それ以外は暗号化通信されているので、個人情報が漏れるようなことはありません。
と読めます。
どっちなんだよ、という感じですが、内容的には後者がより正確だと思います。
この混在に対する警告ってむかーしはなかったものです。その際も混在はしているもののSSL通信できているところは出来ていたので特に警告などの表示にはしなかったわけでしょうから。
ちなみにIEは昔からhttpsなんだけど、鍵のアイコンが出ないという仕様を実装していましたね。
まとめ
結論として、いくら非SSLコンテンツ以外であれば問題なく、SSL通信ができていますと言ったとしてもサイト訪問者にはどこがSSLでどこが非SSLであるかなんてことはわかりませんので、これはコンテンツを修正すべきということになります。
非SSLコンテンツの特定の方法はこちらの記事をご覧ください。
コメント