高岡市の図書館のホームページだが、いっちょ前にhttps接続するページがある。
このサイトで入力する個人情報に近いものといえば、高岡生涯学習カードのカード番号と登録してあるたった4桁の数字のパスワードだけだ。
生涯学習カードの番号はおそらくただの連番なので、自分の番号の次の番号とかでパスワードを1万回試せばログインできるだろう。
そんなショボいセキュリティで通信内容だけをhttpsで暗号化したところで、何が嬉しいのかってことだ。
つまり、大したことのない情報を通信傍受されても読めないようにしているだけ。
そのサイトだが、暗号化にTLS1.1かTLS1.0を使っているようだ。
暗号化の有効設定はサーバ側の仕事。
クライアントが暗号化通信始めたいつてリクエストが来たら、暗号化プロトコルは何にする?この中から選んで!つてサーバが返す。
クライアントは提示された中から1番安全と思われるものを選んで、おっちゃん、これでお願い!ってなるんだけど、ブラウザがクライアントだと、こんなショボいプロトコルかよ!ってわけで、ユーザに対して危ないサイトでっせって警告を出したりする。
さて、高岡市の図書館サイトだがいつTLS1.2,1.3に対応してくれるだろうか。
サーバ業者に連絡したら、設定ファイルをちょこっと書き換えて、WEBサーバを、再起動して終わりなんだけどね。
その間当然サイトに繋がらなくなるけど、ホンの数十秒だろう?
さっさと対応してね。