web-dev-qa-db-ja.com

(プレーンで暗号化されていない)HTTPについて警告:これはどの著名なセキュリティトークで提唱されましたか?

数ヶ月前、私は情報セキュリティに関心のある聴衆を対象とした講演/プレゼンテーションのビデオ録画をオンラインで見ました。

講演では、UI/UX /使いやすさ、利便性、セキュリティに関するものであり、これらの懸念を考慮する必要のあるソフトウェアを開発する人々に役立つ推奨事項がいくつかありました。

それが指摘した点の1つは、デフォルトでは、ユーザーがHTTP経由でWebページにアクセスしようとしてもブラウザーは警告を出さないが、ユーザーがHTTP経由でWebページにアクセスしようとするとdo警告するということでした。証明書に問題がある場合はHTTPS。これにより、後者は前者よりもプライバシー/セキュリティのリスクが高いという誤った認識がユーザーに生じます。私は他の場所でその観察に遭遇したことがありません。

最近、その話を参照したかったのですが、ブックマークを付けていなかったため、広範囲にわたるWeb検索にもかかわらず、参照できませんでした。

私の質問は:もしあなたがこの話を見たことがあれば、これがどの話だったか教えてください、または少なくとも議論する代替の引用可能なリソースを提案してください上記のブラウザの警告の問題。

それが役立つ場合:

  • 私はおそらくYouTubeでビデオを見つけました。
  • 話は DEF CONBlack Hat[〜#〜] ccc [〜#〜] 、またはより小さなイベントからのものであった可能性があります。どこに録音されたか忘れてしまいました。
  • いつ話があったかは覚えていませんが、過去10年以内だったと思います。
  • 講演には、無効なHTTPS証明書についてユーザーに警告するブラウザーのスクリーンショットが少なくとも1つ含まれていました。
  • 講演者は学界での地位を持っていたと思います。
  • 最初はダン・カミンスキーやウェズリー・マクグルーの話だったのではないかと思いましたが、運が悪かったので、今ではいくつかの(素晴らしい)話を再視聴したので、おそらく他の誰かによるものでした。
1
sampablokuper

DEFCON17でのMoxieMarlinspikeのプレゼンテーション のビデオを参照していると思います。ここでは、彼が「sslstrip」ツールについて説明しています。

1
mti2935