2008-01 << 2008-02 >> 2008-03

2008-02-02 (土)

*[セキュリティ]大学の~

httpsが用意されているのに,httpでアクセスしても同じコンテンツが表示されるのか.

URLにホスト名を入力してアクセスしたら自動的に補完されて,http://~になっていて,気づかずにそのままログインしてしまった.いつもと何か違うな…とは思ったのですが.こちらの不注意ですが,httpsの方に飛ばすか何か警告を表示して欲しかった.少なくとも,「Secured by GeoTrust」のロゴは消すべきだと思うのですが…….

しかも,Cookieにsecure属性が付いてないので,ログインしている最中にhttp://acsu.shinshu-u.ac.jp/へのリンクを踏んだりすると,暗号化されないでセッション情報が送信されてしまうので注意が必要.

あと,証明書の組織名がacsu.shinshu-u.ac.jpなのも気になる.他のホストの証明書は「Shinshu University」になってるのに.

2008-01 << 2008-02 >> 2008-03