- 広島市曰く「警告は出ますがセキュリティ自体には問題ない」
- 高知県情報企画課曰く「とくにおかしいと思わない」
- 簡単な結論
ちょっと考えさせられた、というか認識をあらためさせられた話。
恥ずかしながら私もこの記事を読まなければ、こういう状況ではそれほど躊躇なく「はい」を押してしまったかもしれない。
それはこの証明認証システムというものを良く知らなかったからというのが大きな理由だ。しかし記事中でも言われているように、インターネットを利用するなら、やはり誰もが知ってなきゃいけない事だと思う。
別に難しい原理とか理論とかまでは知らなくていい。
最低限、こういう警告は無視しちゃいけないという認識が必要なだけなんだと思う。
あとは、当然サイトの管理者なり開発陣なりがこういう警告を出さないように対処するのと、こういう問い合わせが来た時に適切な回答ができるようにすれば良い。(それがなかなかできていないから問題になっているのだが…)
最後の「簡単な結論」には思わず「なるほど」と思ったので、引用しておく。
けっきょく、自治体の担当者が発注仕様書にセキュリティ要件を書く能力がない限り、Webアプリケーションのセキュリティ欠陥の問題は解決しないわけだが、少なくとも上の問題については簡単に解決できる。
ようするに、Webアプリケーションの発注仕様書に、
ようするに、Webアプリケーションの発注仕様書に、
ブラウザが警告をひとつも出さないこと。
という要件を入れておくだけでよい*1。どんな素人にでもできることだ。できない理由はあるまい。
ちなみに上記記事へトラックバックしている記事にも参考になるものがあるので、余裕があったら参照してみることをお勧め。