OPAP-JPさん のコメント
このコメントは以下の記事についています
どうもこんばんわ。システム運用担当のButameronです。 今更ながら、OPAP-JP公式サイト及び関連サイトをSSL対応しました。 https:// opap.jp/ 本当に今更ですよね。 何がセキュリティ意識を啓蒙したいだという話ですが。 始めるなら自分からということで、ようやくSSL化することができました。 (ちなみに、本当にちゃんとした証明書を購入するのは今回が初めてです) 今回は、まだサークル内の承認手続きは済んでいませんが、いったんは自費立替で証明書を購入しました。承認手続きが済み次第、サークル活動費から支出させていただきたいと思います。 パスワードが平文でネットワークを流れなくなりハッピーハッピー ウルトラハッピー! しかし、ひとつだけ残念なことがありました。 ニコニコ動画やpixivのブログパーツ類がSSLに対応していないという問題です。 SSLが有効なページから、SSLに対応していない場所に置かれているJavaScriptを参照すると、セキュリティの関係で無効化されるようになっています。まさに、ニコニコ動画やpixivのブログパーツ類はSSLに対応していない場所のJavaScriptを参照しているため、無効となってしまうのです。 というわけで、https://opap.jp/ を閲覧すると、ニコニコ動画の埋め込み動画や、pixivのブログパーツが見えない状態になっており、IEからアクセスした場合は警告が表示されるという始末。 https://ext.nicovideo.jp/thumb_watch/1397053610 これを https:// ext.nicovideo.jp/thumb_watch/1397053610 こういう感じでアクセス出来るようになったらいいのにな。 はてさて、どうするべきか。 まあ、自分で自分用のリバースプロキシを提供するしかないんでしょうけど、それって他人の著作物を自分のWEBサイトに組み込むのと同義なので、権利的にOKなの?という問題もありますし……。 GoogleがSSL対応有無を検索結果のランキングに反映させるということで、SSLの導入が割と進んだ感はありますが、こういうところが足を引っ張りそうな気がしますね。 というわけで、ニコニコ運営各位とpixiv運営各位にはブログパーツのSSL対応化を進めていただきたいと思います。
ところがどっこい、最近は常時SSL化することが流行だそうです。
理由は様々あるようですが、一般的な理由としては、Cookieを盗聴されてセッションをハイジャックされるというのを防ぐということでしょうか。
うちの場合、
・ログイン画面等のセキュアにしたいところだけセキュアにするというのはWEBアプリの改修が必要
・そもそもSSL化でパフォーマンスが悪化するほどPV数が多くない
・リバースプロキシとアプリケーションサーバーのサーバー機が分かれている
(SSL化によってアプリケーションのパフォーマンスそのものには影響が少ない)
ということから、常時SSL化を決めました。
Post