ここはちょっと見せられない

ぜったいぜったい見せられない

信頼できない発行元のプログラムは実行しちゃいけません!

こないだ、JVNバージョンチェッカの話が身の回りで出たので、IPAのサイトに見に行った。

http://jvndb.jvn.jp/apis/myjvn/

これがそのプログラムへのリンクが貼られているところなんだけど。

IPAの公式サイトはちゃんと SSLが用意されていて、http でつながっていてもそのまま https にすればいいようになってる。

https://www.ipa.go.jp/

SECOM 使ってるんだ〜と眺めつつ、URLのところがグリーンになってるので、SSLにちゃんと費用をかけてるのね。

でも、jvn.jp には SSL が用意されてない。
脆弱性を扱うところなんだし、まさかねぇと、素朴な疑問を投げてみたよ。

http://jvndb.jvn.jp/apis/myjvn/

このサイトがSSLを通していないのですが、このサイトが信頼できるかどうかは
どう見ればよいでしょうか。

それが意外にも早く返事をもらった。

平素は当機構事業運営に格別のご理解、ご支援を賜り厚くお礼申し上げ
ます。
IPA セキュリティセンターの○○と申します。

MyJVNバージョンチェッカのサイト(http://jvndb.jvn.jp/apis/myjvn/)
が信頼できるか、を確認するにはどうすればよいか、というご質問につ
いて回答いたします。

信頼のできる別のサイト上(例えばIPAのトップページ)でリンクの案内が
されている、という点から、MyJVNサイトの信頼性をご判断いただくこと
が可能です。

例えば、IPAのトップページである、https://www.ipa.go.jp を閲覧して
いただくと、右袖のスペシャルコンテンツの枠中に、
「MyJVN バージョンチェッカ」へのリンク画像が存在しています。
リンクURLは、http://jvndb.jvn.jp/apis/myjvn/ です。

また、IPAとJPCERTが共同で運営を行っている、
JVNサイトのトップページ(http://jvn.jp/index.html)の右袖の中段あ
たりに「MyJVN」と記載されているリンク画像が存在します。
こちらのリンクURLも上記の「MyJVN バージョンチェッカ」と同様にな
ります。

以上、よろしくお願いします。


えっ? なんか聞き方おかしかったかな?

お返事いただきまして、誠にありがとうございました。

公式サイトからリンクが貼られているという点が信頼する
ポイントであるというのがIPAとしての回答ということだと
理解してよいのでしょうか。

言い方が遠まわしで申し訳なかったのですが、
SSL通信での提供はしていらっしゃらないのかを
問いたかったのです。

もっかい聞いてみた。

ご質問に回答します。
MyJVNに関しては、重要な情報の取扱がないこともあり、SSLによるサービ
ス提供は行っておりません。

> 公式サイトからリンクが貼られているという点が信頼する
> ポイントであるというのがIPAとしての回答ということだと
> 理解してよいのでしょうか。

上記については、公式サイトにリンク情報があることは信頼できるサイト
としての判断材料の1つとして参考にできる、というものです。

以上、よろしくお願いします。

ちょっと微妙な言い回しになったようだけど、これが公式回答だったよ。


判断材料のひとつなんだって。
じゃあもっと材料ないのかな。
昔は、ハッシュ値とかミラーリングサーバとか用意されてて、もっと材料あったと思うんだけど、そういう文化消えちゃったんかな。


ということで、判断材料を緩募。