HTTPS化されたe-Govサイト、HTTPでのアクセスはすべてアナウンスページに転送する残念な仕様 73
ストーリー by hylom
この仕様を考えたのは誰だ 部門より
この仕様を考えたのは誰だ 部門より
「電子政府の総合窓口」となっている政府のe-Gov WebサイトがHTTPS化されたのだが、これによってHTTPによる接続が廃止されたうえ、HTTPでアクセスした際にはHTTPS版ページへのリダイレクトは行われず、まったく別のページにリダイレクトされる仕様になっていることから、不便だという声が出ている(@pmx003_the_oのTweet)。
コンテンツのパス自体は変更されていないため、URLの「http://」を「https://」に変更すればアクセス自体は可能になるのだが、現状e-GovサイトにHTTPでアクセスするとすべて「e-Govサイトのhttpによる通信終了について」(URLは「https://www.e-gov.go.jp/sorry.html」)にリダイレクトされる仕様になっており、URLを再度入力しなければならなくなっている。
セキュリティ研究家の高木浩光氏はこれに対し、「廃止すると安全になると勘違いしてそうだな。(実際には、廃止しようが、攻撃者は http:// のページを出してくる。)」と指摘している。
これはしゃーない (スコア:2, 参考になる)
日本人には、『一番バカを基準にする』という極めて残念な習性がある。
SSLやTLS 1.0/1.1が切られて久しい昨今、もしそのバカがいまだにWindows XPだの、Windows 9xだの、PowerPCやMotorola時代のMacだの、ガラケーのフルブラウザ(笑)などなどで、電子政府の総合窓口にアクセスしてきた場合。
一般サイトと同じように http: から https: にリダイレクトしてしまうと、その手のバカから「電子政府の総合窓口に繋がらないんですけど?」という苦情を頂いてしまう。
そこでその手のバカに「電子政府の総合窓口に繋がらないんですけど?」という苦情を入れられない為に、わざわざsorry.htmlを作成し、http: のままそこにリダイレクトする。
一番バカを基準にする日本ではよくあること。
Re:これはしゃーない (スコア:3, 参考になる)
これには凄い同意するわ。
SSL3.0を無効化した時、客先からクレームの連絡があったよ。
ブラウザ上には「接続できない」みたいなメッセージしか出ないから、事情を知らない人が原因に気付くことは困難。
「クレーマーによる問い合わせ」を回避する上で、最も実現が容易でコストがかからない方法を選んだんでしょ。
もっと良い仕様があったにせよ、これがそこまで悪い仕様とは思えない。
技術的なことが全く分からない人間からのクレーム電話を受けたことがない人間には、奇妙に映るのだろうけれど。
「俺にはホームページを見せられないってことか!今すぐうちまで土下座しに来い!」みたいな怒鳴り電話なんて、誰も受けたくないんだよ。
Re: (スコア:0)
ポート80でフルセットのhttpサーバを動かすよりも固定のリダイレクトリザルトを返す現在の仕様の方が安全です
実装としてフルセットのhttpサーバを動かしているならあまりいみむしろ有害ですが
Re: (スコア:0)
SSLじゃないですが、SMB1.0を無効化して納品したファイルサーバで苦情頂きました。
WINxpは使ってないけどandroid2.3は使ってるとか。
#えぇ・・・。
Re:これはしゃーない (スコア:2)
Re: (スコア:0)
3650013です。
アプリの仕様の可能性もあります。オンプレで半分クローズド環境だったので。
#後学のために、逆にandroid2x自体には、xpみたいなそもそもsmb2以降に対応していない縛りは無いんでしょうか・・?
Re:これはしゃーない (スコア:2)
なのでSMB2以降にアクセスできるかどうかはそのアプリ(の使っているCIFSライブラリ)次第ということになります。
Re:これはしゃーない (スコア:2)
HSTSを有効にしておけば対応ブラウザは勝手にhttpsにリダイレクトされますので、未対応ブラウザにhttpアクセスに対するレスポンスがSorryページで問題にならないと。
Re: (スコア:0)
> 未対応ブラウザにhttpアクセスに対するレスポンスがSorryページで問題にならないと。
日本語で言うと?
Re:これはしゃーない (スコア:2)
sorry.html は HTTPS ですよ (スコア:1)
> わざわざsorry.htmlを作成し、http: のままそこにリダイレクトする。
そうはなってません。
sorry.html は HTTPS で、http から https にリダイレクトしてます。
なので、その手のバカから「電子政府の総合窓口に繋がらないんですけど?」という苦情を頂いてしまうことには変わりなく、何の意味もありません。
普通のサイトのように http を https に書き換えてリダイレクトすべきです。
Re: (スコア:0)
http:のままではなく、https:にリダイレクトされますよ。
HTTP/1.0 302 Found
Location: https://www.e-gov.go.jp/sorry.html [e-gov.go.jp]
Connection: close
Re: (スコア:0)
なんだよなあ。
元のページを残して通知に使っているのかと思って居たら。
だから最初は元レスみたいに性善説的に考えたけど、後で?に。
Re: (スコア:0)
一番バカを基準にするって、そんなに残念なことか?
むしろ今回の場合は一番バカが基準になっていないことが問題のような気がする。
Re: (スコア:0)
一番バカを基準にするならサーバ側でリダイレクトして気付かれないようにするのがいいね。
バカが使うブラウザだとHSTSに対応してないかもしれない。
Re: (スコア:0)
日本人には、『一番バカを基準にする』という極めて残念な習性がある。
私企業ならユーザーを切り捨てるのも自由だろうけど、公共サービスとして存在するなら当然でしょうに。
Re: (スコア:0)
いつの間にかJavaに依存しない環境に移行してる。変わりに電子申請アプリという謎ソフトのインストールを強制されるんだが、去年なかったような
Re:これはしゃーない (スコア:2, すばらしい洞察)
バカに限って自分が頭いいと思ってるからたち悪い
Re: (スコア:0)
同じこと言うにしてもいちいちトゲ出してないと死んじゃう虫だから仕方ない
Re: (スコア:0)
事実なり現実なりを認識できたのだから、もっと喜んだらいいよ
検索がHTTP (スコア:2)
Re: (スコア:0)
それはグーグルに文句言えよw
Re:検索がHTTP (スコア:2, 参考になる)
具体的には:
等をカスタム検索設置側が行う必要があります。
どうせ廃止するなら (スコア:1)
80ポートも塞いじゃえ
Re: (スコア:0)
80ポートも塞いじゃえ
おいやめろ
お上にそんなこと言ったら
LANポート80個塞ぎかねないぞ
何がだめなのか本気で分からない (スコア:1)
中間者攻撃を心配するなら、利用者がHTTPでアクセスするのをやめさせる必要がある。
そのためには利用者のブックマークを変更してもらう必要がある。
それにはe-Govサイトのように利用者に告知するほかないのでは?
Wikipediaのページ [wikipedia.org]にもあるように、HSTSは「最初の接続ではWebブラウザはHTTPS接続を強制するべきかどうかを知り得ないため、攻撃に対して脆弱」だ。
そのため、HSTSはあくまで過渡期の処理だと思うんだけど。
Re: (スコア:0)
ブックマークを変更してもらわなければセキュリティは強化されないのでこうするしかない、というのに同意。
(中みてないけど)ひろみちゅのタイトルが言ってることそのままな気がするんだけどねえ。
redirectのレスポンスがあまりにも誤用されたので意味を付け替えたり、HTTP関連って思い込みでサイト実装してるひとが多すぎるきがする。
Re: (スコア:0)
中間者攻撃を心配しているのは誰?
sorry.html (スコア:0)
このファイル名で吹いた
遺憾の意砲かよ
Re:sorry.html (スコア:4, おもしろおかしい)
何故か
Plan(計画する)
Delay(遅れる)
Cancel(中止する)
Apologize(謝る)
を思い出した。
検索したら亜種が色々出てきた。
P Procrastinate (先送りする,ぐずぐずする)
D Disaster(破綻・大災害), Doomsday(最後の審判)
C Confuse(混乱する), Chaos(混沌), Catastrophe(大惨事・大失敗・破局)
A Apocalypse(黙示録), Action(何とかする)
Re: (スコア:0)
Abandon(放棄する)も追加で
# サイクルしてねえ
Re: (スコア:0)
P パクる
D 独自仕様を加える
C 壊れる(メモリやら人間関係やら)
A 明後日の方向に突き進み最初からやり直す。
この仕様、ダメなの? (スコア:0)
自分が属する組織のサイトもまんまこの感じなんですけど
Re:この仕様、ダメなの? (スコア:2)
いままでブックマークしてくれてたようなお得意様に不便をかけても構わない、と考えればダメでは無いですね。
あと、外部のサイトからのリンクなんか、所詮外部の事だから機能しなくても構わない、とも考えなきゃいけない。
まあ、普通はそう考えないよね。
Re:この仕様、ダメなの? (スコア:3)
ただの企業の情報閲覧サイトならいいけど、e-Govって漏れたらまずいようなデータをPOSTしたりもするからhttps化ってことでしょ?
httpから自動転送しちゃったら意味ないじゃん
もちろんHSTSがうまく作用すればいいんだろうけど、必ずしも対応ブラウザからアクセスするわけじゃないだろうし、スクリプトで処理する場合もあるだろうし、httpはアクセスできないようにするのは正しい対応だと思うが…
ちょっと前に自社のAPIをhttps化したときも転送しようか迷ったけど、結局転送はしないことにした
ダメなん?
Re:この仕様、ダメなの? (スコア:1)
ダメなん?
ダメじゃないよ。
だから元コメントにも、単純に「ダメ」とは書いてないでしょ?
いろんなことを勘案して自動転送しない、は、当然あり。
ちょっと前に自社のAPIをhttps化したときも転送しようか迷ったけど、結局転送はしないことにした
そりゃまた話が違うよね。
一般の人がブラウザでアクセスするわけじゃないんでしょ?
Re: (スコア:0)
>e-Govって漏れたらまずいようなデータをPOSTしたりもするからhttps化ってことでしょ?
違う。それはとっくの昔に対応してた。今回は情報閲覧ページのHTTPS化に伴う措置の話。
Re:この仕様、ダメなの? (スコア:2)
ああ、そうなんですね
よく知らずに失礼
Re: (スコア:0)
いや、リダイレクトして当然とは思わない。
いつまでリダイレクトし続ければいいのか?
それよりは、一度ブックマークを変えてもらえば済む。
お客でも国民でも、サービス提供側と受給側は基本的には対等ですよ。
Re:この仕様、ダメなの? (スコア:2)
いや、リダイレクトして当然とは思わない。
いつまでリダイレクトし続ければいいのか?
それよりは、一度ブックマークを変えてもらえば済む。
お客でも国民でも、サービス提供側と受給側は基本的には対等ですよ。
e-govのサイトに対するリンク6000万件をそれぞれのサイト運営者が書き換える手間(書き換えない場合ユーザーが推測してhttpsに飛ぶ手間)よりもe-gov側が数行書き換えるほうが全然コスト低いでしょ。一般企業ならまだしも、国が運営してんだからそれくらいのコストは当然国がかぶるべき
Re:この仕様、ダメなの? (スコア:1)
HSTS preloadを申請する場合はhttp->httpsのリダイレクトが必須で、恒久的に維持するよう求められる。
おそらく何百年後かわからないが、httpが廃止されるまでは続くだろう。
https://hstspreload.org/ [hstspreload.org]
Re: (スコア:0)
preloadingって個別申請で、対象サイトのリストはChromeにハードコードされているの…。
なんか地獄みたいな話なんだけど、これ永遠に続けるの?
>This is a list of sites that are hardcoded into Chrome as being HTTPS only.
>Most major browsers (Chrome, Firefox, Opera, Safari, IE 11 and Edge) also have HSTS preload lists based on the Chrome list.
Re: (スコア:0)
プロトコル指定部のみの変更なんだから、リダイレクトは「ずっと」で良いんじゃないかと思った。
(詳しくないので、何か問題があるのだったら失礼。)
と言うか、なにゆえ対等がどうとか言う話に・・・?
https リダイレクトなんて当然の様に要求するべき事じゃない。公共サービスが
・ 二度手間を防ぎ便利を図る(利便性を維持する)
のは過剰サービス・過保護・甘やかしになる場合がある。とか、そんな感じ?
だとするとアレだ。
狩野モデル [wikipedia.org]
自己レス (スコア:0)
> リダイレクトは「ずっと」
他のコメント見たけど、https リダイレクトには問題があるのね。「ずっと」は取り下げ。
何か良い方法無いのかな。
今のところ無いならば、これも他のコメントにあった「https アクセスの啓蒙」が最適目標なのか。
Re: (スコア:0)
既存のURIはそのまま後続のURIに繋ぐのが筋だとは思うけど、(たぶんこの仕様切った側は意識してないんだろうけど) HTTPSの啓蒙としてはいいと思う
HTTPSにリダイレクトすると利用者は気付かないので (スコア:0)
敢えてsorryページに飛ばす事で、「今どきHTTPは良くない」って事をリテラシそこまでな利用者に教育させたかったり?
結局どれがベストなんです? (スコア:0)
Re:結局どれがベストなんです? (スコア:1)
HSTSとリダイレクトを併用でステータスコードは301。
なおかつ、htmlを返していたURLについては、レスポンス本文にhtmlでmetaタグでのリフレッシュとjavascriptでのページ移動をhead内に書いておき、さらにbody内にも新URLへのリンクを記載。
やりすぎ?
Re: (スコア:0)
スレチなバカルトの宣伝すな。
Re: (スコア:0)
こういう奴にカードキャプターさくら全話(クロウカード編&さくらカード編70話+劇場版2本&オマケ+
クリアカード編現在22話)がっつり見せてNHKから受けた恩恵をきっちり叩き込みたい