[FDclone-users:00923] Re: URLDRIVEで HTTP を HTTPSにリダイレクトされると変に

[Rikito INAKAZU <riki1017kazu@gmail.com>]

稲員です。

On Fri, 10 Sep 2010 01:49:58 +0900
Takashi SHIRAI <shirai@unixusers.net> wrote:

> 　私が懸念してるのは、セキュリティ上の都合にしろプログラム上
> の都合にしろ、ユーザにそれと伝わらなければ「原因不明の切断」
> にしか見えないという点です。
> 　一般的に、入力した URL が別サーバに redirect されていたと
> して、いちいち気にする人っていませんよね。だから phishing 詐
> 欺が流行ってる訳で。
> 　もしセキュリティを理由にしてアクセスを遮断するんだったら、
> それと判るメッセージなり挙動なりが必要になって来ますよね。

この考え方をやや杓子定規に敷衍すると、現状の http->https redirect
された際に黙って元の文字列になる挙動も「それと判る」ような挙動が
必要ではないでしょうか。


> 　で、遮断を知らされたら知らされたで、今度は phishing 等の悪
> 意ないケースで「余計なことするな」と思うユーザの方が多いので
> はないでしょうか。
> 　メッセージを用意するなら「redirect して宜しいですか？」と
> 確認た上で、遮断しないという選択肢を用意しておかないと、不必
> 要に神経を逆撫でするだけになってしまいます。

私がイメージしていたのは

  HTTPALLOWREDIR : (needs URLDRIVE=1)
      0 : Deny (Default)
      1 : Ask
      2 : Allow

みたいな感じでした。デフォルトは Ask でもいいですね。それならば
常時 (許可|不許可) にしたい人はそうすれば良いので。


> 　FDclone の HTTP browsing で想定してるのは Ring Server のよ
> うな複雑な階層構造を持つサイトなんで、セキュリティ面を重視し
> ても余り意味がないように思えます。
> 　それよりは、redirect を挟むことで無条件に遮断されてしまう
> 現状の方が問題が大きいのではないでしょうか。

実際の利用状況が不明なので難しいところですが、FDclone 3.00 から
2 年余り、「他のホストへの redirect が出来ない」などの問い合せが
特に無いのであれば、それほど問題とは思われていないのかも。
まあ「声が無いのは満足の証」とは限りませんけど。


-- 
Rikito INAKAZU (稲員力士) <riki1017kazu@gmail.com>