普通に考えると、パスワードを認証後のHTTPレスポンスヘッダ(*1の部分)で
Location: http://www.exmaple.com/logined.html
とかすればいいんじゃないの?と思うのですが、そうするとIEで「セキュリティーで保護されていないページに移動しようとしています」というような警告ダイアログが出てきてしまいます。
そんな警告ダイアログが出るのはユーザーフレンドリーじゃないので、それを防ぐ方法。
セキュアでない接続へ移行する、という重要な警告を回避する手法を「ユーザーフレンドリー」と呼ぶエンジニアがいることも、例えばオレオレ証明書とか、そういう「セキュリティもどき」が大手を振ってまかり通る原因の一つだと思う。
なぜそんな警告ダイアログが表示されるのかをきちんと考えて、こういう手法を「ユーザーフレンドリー」と呼ぶのは即刻やめてもらいたい。
わりと真っ当な説明
正確なダイアログの文章は、このようなものだ。
セキュリティで保護された接続から保護されていない接続へ変更しようとしています。送信する情報は Web 上の他のユーザーに読み取られる可能性があります。続行しますか?
セキュリティで保護されていない接続へリダイレクトされようとしています。現在のサイトへ送信中の情報は、セキュリティで保護されていないサイトへ再送信される可能性があります。続行しますか?
コメントで高木さんからご指摘いただきました。https://〜なページから直接http://〜なページへリダイレクトされる場合には、上記のようなメッセージが表示されます。試した例が適切でなかったため、異なったダイアログのメッセージを引用していましたので、訂正しました。
また、以下の部分は、次のエントリの説明の文脈とも無関係かつ不要なため、削除しました。
冒頭の部分でググってみて、先頭に2つ、わりと真っ当な説明例が出てきたので引用しておく。例その1:
データを暗号化した通信はそれだけサーバに負荷がかかりますので、通常、暗号化を行うのは第3者に知られては困る個人情報などを入力するページです。
そこで通常のURL http://で通信をおこなうWebサイトへ移動するとき「セキュリティで保護された接続から保護されていない接続へ変更しようとしています。送信する情報は Web 上の他のユーザーに読み取られる可能性があります。続行しますか?」というメッセージが表示されます。
意味は、移動後、情報が暗号化されないことを警告しています。
表示されるタイミングは、セキュリティレベルが高いサイトから、 SSL を使用していないページに移動するときです。ただ、SSLを使用しているページで入力した情報は、SSLで暗号化処理されておりますのでご安心ください。
通常のhttpというプロトコルでインタネット接続している時は、データが暗号化されていないということです。
データの暗号化が行われない販売サイトでは、商品を購入する際に個人情報を読み取られる可能性がありますのでご注意を!
例その2:
意味
情報が保護されないページへ移動することを、お知らせしています。
移動後は、情報が暗号化されないことを、警告しています。
表示されるタイミング
セキュリティレベルが高い安全なサイト( 「MyEPSON」 のページ )から、 SSL を使用していないページに移動するとき。
もちろん、変更した接続先(http://〜のページ)へ送られる情報の内容については注意が必要だ。それから、これらの例には証明書によって担保されるURLの真正性についての説明が全く欠けていることにも注意しないといけない。
この2つの後にはおかしな説明がぞろぞろと現れる。いろいろ見てみて、何がおかしいのか、なぜこのような説明になってしまうのか考えると、問題の本質が見えてくる…かも知れない。
