Q&A
こちらの質問が他のユーザから「プログラミングに関係がない質問」という評価を受けています
teratailでは、プログラミングに関して困っていることがないと思われる質門を推奨していません。
具体的に困っている理由や解決したいことを明確に記入していただくと、回答が得られやすくなります。
いまSBI証券のサイトにアクセスしたところ、下記のように「https」に斜線が引かれた状態となっています。
これは何が問題なのでしょうか? こちらのブラウザが悪いのか、サイト側が悪いのか。
セキュリティ的に安全でないとマズいサイトだと思いますので、ログインする前に念のため質問させていただきました。
こちらの質問が他のユーザから「プログラミングに関係がない質問」という評価を受けています
teratailでは、プログラミングに関して困っていることがないと思われる質門を推奨していません。
具体的に困っている理由や解決したいことを明確に記入していただくと、回答が得られやすくなります。
こちらの質問が他のユーザから「プログラミングに関係がない質問」という評価を受けています
teratailでは、プログラミングに関して困っていることがないと思われる質門を推奨していません。
具体的に困っている理由や解決したいことを明確に記入していただくと、回答が得られやすくなります。
SSLに関する問題を解決することは、結果的にはサイト開発やWebプログラミングなどにもたいへん役立つ情報になると思いますので、技術的に詳しい方が多いteratailに質問投稿させていただきました。
他のブラウザ、IE や FireFox でも https 接続できない状況でしょうか?
回答3件
0
その状態でログインしないでください。
あとで時間が取れたらもう少し詳しく書きますが、何かブラウザ側にスクリプトを仕込まれている可能性も見るべきです。
----(詳細を追記)----
状況とその詳細の確認方法はyukihaneさんのお答えの通りで、「HTTPSサイトなのにHTTPでスクリプトを読み込んでいるよ。それはおかしいのでセキュアなページとは認められないよ」というエラーです。
そして、実際HTTPで読み込んでいるスクリプトはどこの何? は開発者ツールで確認できますというのもyukihaneさんの解説の通りです。
ただ、SBI証券のサイトがHTTPでスクリプトを読み込むことは通常考えにくいのです。SoftBank系の、技術的にはしっかりしたところですから、そんな基本をはずすとはまず思えない。そこでブラウザ側で何かの仕掛けが <script> タグを挿入して外部からスクリプトを読み込んでいるのではないか? という疑いが出てくるわけです。
そのような仕込みをするには、ブラウザに機能拡張やプラグイン、もしくはユーザースクリプトを入れることで可能になります。Chromeの機能拡張・プラグインはすべてストア経由で入手することになっていますので一通りの審査は経ているはずですが、審査で悪意ある動作をすべて発見できるわけではありませんから、100%の信頼はおけません。
そうするとやはり、HTTPで読み込んでいるスクリプトの素性は? というのが気にかかってくるわけです。悪意あるスクリプトが実行されれば、証券会社のWebサイト上でいかなる操作も(例えば指定口座への全額出金も)なされ得ますから。
投稿2015/12/15 00:13
編集2015/12/15 03:15
総合スコア5568
念のため私のPCをウイルス検査(PC内全ファイル検査)しましたが、ウイルス感染やルートキット感染等はありませんでした。
ウィルス検査をかけたのは賢明です。ただもちろん、ウィルス検査で引っかかるのは広くばらまかれた(ゆえにウィルス研究機関に捕捉された)ものに限られますので、何も仕込まれていないことを証明するものでは在りません。
0
ベストアンサー
オフィシャルのヘルプに解説があります。
サイトへの接続は暗号化されていますが、Google Chrome では混合スクリプトが検出されました。このページで個人情報を入力する場合は注意が必要です。
混合スクリプトとは、HTTPS 経由で配信されるページに、HTTP 経由でコンテンツが読み込まれる状態を指します。このようなスクリプトを通じて、ページが乗っ取られる危険性があります。ページに埋め込まれたサードパーティのスクリプトや動画がこれに該当します。
リスクについてはFirefoxのサイトの方が詳しいです。
攻撃者は、あなたが訪れたページ上の HTTP コンテンツを置き換えることができるため、あなたの信頼情報を無断で借用したり、アカウントを乗っ取ったり、あなたの個人情報を入手したり、ページのコンテンツを変更したり、あなたのコンピュータにマルウェアのインストールを試みたりすることができます。
こちらのブラウザが悪いのか、サイト側が悪いのか。
上記説明中にありますが、サーバ側(エンドユーザ管理の範囲外)の問題である可能性が一番大きいです(ご自身のPCがウィルスに感染していた場合にそのような表示になることはないのかというと、必ずしもそうではありませんが、可能性は低い)。
ちなみに、私の環境でhttps://www.sbisec.co.jp/ へアクセスしたところ、グリーンバーが表示されており、正しく暗号化されているとみなされています。
SHA-1なのかSHA-2なのか、がもし気になるのでしたら、こちらの確認方法を試してみてください。(オフィシャルドキュメントからは探せませんでした…)
コメントを受けて、混在コンテンツのGoogle Chromeでの混在コンテンツ(混在スクリプト)確認方法を記載します。
Google Chromeのメニューから
その他ツール > デベロッパーツールを開きます。
表示された画面でNetworkのタブを開き、SBI証券のサイトを開くと、取得したコンテンツが表示されますので、ここでHTTPSで取得したのかHTTPで取得したのかがわかります。
投稿2015/12/14 14:27
編集2015/12/15 01:31退会済みユーザー
総合スコア0
念のため私のPCをウイルス検査(PC内全ファイル検査)しましたが、ウイルス感染やルートキット感染等はありませんでした。
これはサイト側の問題であった・・・と考えるのが自然でしょうか?
基本的には、この表示はサイト側の問題です。ただし、本文記載の通り私の環境では問題が無いので、zico_teratailさんの環境で何か問題が発生している可能性が高いです。PCでなくとも、通信経路上の問題など。何が(HTTPSでなく)HTTPで送信されているのかを見れば問題あり/なしの当たりはつきそうです(が、zico_teratailさんの質問のされ方からしてご自身では判断できない可能性もあります)。取り敢えずはSBI証券のサポートへ連絡されるのがよろしいかと考えます。
詳しいご説明ありがとうございます。
まさか証券会社のサイトでこうなるとは想定外のことで、慌ててキャプチャを取るのが精一杯でデベロッパーツールで確認するのを忘れておりました。
別の方の回答へのコメント(2015/12/15 09:41)にも記載しましたとおり、現在では通常の状態に戻っておりますのでもう確認のしようがありません。
もしまた同じような状況になったときにはすぐにデベロッパーツールを使って確認してみたいと思います。
なお意味があるかどうか分かりませんが、補足情報です。
昨夜質問を投稿したあと、特にPCをいじったりせず、すぐにスリープ状態にして寝ました。
そして翌朝(つまり今朝)、スリープ復帰して再度SBI証券にアクセスしたら通常状態に戻っておりました。ウイルス検査をかけたのはその後です。
したがってPCにはソフトのアンインストールやその他設定の変更などは一切やっておりませんので、私のPC側に問題がある(何か仕込まれた)という可能性は低いのではないかな、と推測されます。
0
恐らく、chrome をご使用なのですよね?
もしそうであれば、下記ページの説明が詳しいので、ご確認ください。
GoogleがSHA-1証明書を利用するサイトに警告を表示
それによると、最近まで十分に安全と見なされていた SHA-1証明書(まだ切り替えが済んでおらず使い続けているサイトも多い)に脆弱性が見つかったので、chrome はいち早く厳格な対応を取ったということです。
他のブラウザでは、警告を表示するものの証明書を確認の上アクセス可能なものもあります。(急に全くアクセス出来なくなると支障を来すので移行措置として)
投稿2015/12/14 13:59
編集2015/12/14 14:00
総合スコア5936
その場合でもアイコン上は同様の表示になるようですが、今回のエラーメッセージからは別の事象を表しているように見えます。また、実際に証明書を見たところSHA-2のフィンガープリントもあるようでした。
確かに、 yukihaneさんがご回答くださっているように『混合スクリプトな状態』なのかもしれませんね。
「SHA-2のフィンガープリント『も』あるようでした。」とのことですが、逆に質問欄に貼り付けられている画面キャプチャのように「メッセージ認証にはHMAC-SHA1」が使われている訳ですよね?その他の部分は、更にセキュリティレベルの低いコンテンツが含まれているかもしれません。
部分的に「SHA-2」が使用されていたとしてもページ全体としてのレベルは一番低いレベルに引きずられてしまうので、いずれにしても zico_teratailさん がアクセスされたページ(トップページではない)のセキュリティレベルが chrome の基準に満たなかったということだと思います。
「https://www.sbisec.co.jp/ へアクセスしたところ、グリーンバーが表示されて」というのは、zico_teratailさん がアクセスしようとされたページとはページの構成が異なりますので、そのまま比較することは出来ないと思います。
https://www.sbisec.co.jp/ にアクセスすると、自動的に
https://www.sbisec.co.jp/ETGate にリダイレクトされます。
で、いつもでしたらChromeのアドレスバーには「https://www.sbisec.co.jp/ETGate」と表示され、緑色の鍵マークが出ます。
しかし昨日、質問を投稿した時間帯には投稿した画像のように赤い×マークとなっており、アドレスバーにも「ETGate」以降にクエリ文字列が長々と表示されました。
なお、いま(2015/12/15 9:38)再度アクセスしてみましたところ、普段どおりの表示(緑色の鍵マーク、ETGateより後のクエリ文字列無し)に戻っておりました。
ということは、昨日の段階でサイト側になんらかの変更が行われ、それに何か問題があり、現在までにその問題が修正された・・・と考えて良いでしょうか?
念のため私のPCをウイルス検査(PC内全ファイル検査)しましたが、ウイルス感染やルートキット感染等はありませんでした。
あなたの回答
tips
プレビュー
