ぶっちゃけインターネット上の通信の盗聴のリスクって実際のところ結構低いんでないだろうか？というのをオレンジML*1を見ていて思ったしだい。
実際、通信を盗聴しようとしたら、通信系路経路上にスニファを仕掛けるか、通信元あるいは先にスニファを仕掛けるしかないと思う。さて、通信元あるいは先にスニファを仕掛けるというのは、かなり論外なので考えない。
では、通信系路経路上はどうか？現在のネットワークのほとんどは、スイッチで構成されているだろうから、他のホストへのパケットが流れることはほぼないだろう。となると盗聴するにはゲートウェイorスイッチということになる。でも実際のところそういったものを攻略して大量に流れるパケットを取得するor別のホストに転送するというのは、労力に比べて得るもの少なくないか？
まあ、流れる情報に依存するので得るものが少ないというのは間違いだけど・・・

というわけで、オレンジ(笑)の議論を考えてみる。そこでは、MLの個人の管理用WebサイトのログインにHTTPSが使われていないのは問題ではないか？というものであった。
実際のところそのWebアプリはMLから退会するかとかその程度の情報しか取り扱っていない。さて、こういう場合、HTTPSを使うほどのものなのか？というのを考えてみる。
先に述べたようにインターネットでの通信の盗聴のリスクというのは言うほど高くはないだろう、加えて今回の場合、守るべき情報というのもそれほど重要ではないと考える。もちろん、ML参加者全員のメールアドレスが漏れたらことだけど、そういったものがないと考えるとHTTPSによる通信が必要ないという運営側の判断は妥当といえると思う。

後、HTTPSの誤解が結構あると思うんだよなぁ。HTTPSの最も大きい利点は、通信先が信頼できるということに尽きると思う。ぶっちゃけ言えば通信の暗号化はあくまでおまけみたいなものだと思うんだよなぁ。通信先が信頼できて初めて暗号というのが生きてくるのであって、信頼できない通信先との通信をいくら暗号化しても、その通信データは全く信頼できない。オレオレ証明書は通信先が信頼できないにもかかわらず、HTTPSで通信が暗号化されているから安全という誤った思い込みが発生するので、危険なんだけどなぁ。
HTTPSさえ使っておけば何でも安全と考えるのはそれこそ、「HTTPSは安全脳」だと思うｗ

それに、ECサイトなんかでSSL使っているから安全ですというのもすげ〜違和感があるんだよねぇ。いくらSSLで通信経路を守っていたって、WebアプリにSQLインジェクションの脆弱性があったら、それこそ「SSLなんて飾りです。偉い人にはそれがわからんのですよ」と言ってやりたくなるんだけどｗ

とまあ、オレンジでの議論に参加するには出遅れてしまったので、こっちに書いてみるｗ