呼ばれていたのに2日ほど気がつきませんでした。こんばんは。

「特別な理由がない限り」って何？ 特別な理由って何？ 理由があればいいの？ 理由がないときはなぜ提供しちゃいけないの？ *2

https:// のはずのページが攻撃者によって http:// にすり替えられることを懸念してのつもりかもしれないが、そんなのは、サーバ側で http:// を止めたところで解決にならない。攻撃者は https:// へ中継するだけだし、中継しないでそのまま偽ページを返してもいい。結局のところ、利用者自身が、見ている画面が https:// になっていることを自力で確認しないかぎり、SSLは機能しない*3のであって、サーバで http:// が稼働しているか否かは関係ない。

高木浩光＠自宅の日記 - なぜ一流企業はhttpsでの閲覧をさせないようにするのか

おっしゃる通りだと思いますが、わざわざサイト運営者がHTTPSで提供しているページを、HTTPでも提供する必要はないのではないでしょうか。どうせ違うファイルなんだし、片方だけ提供しておけばよいのでは。

と書いて思いましたが、HTTPのドキュメントルートと、HTTPSのドキュメントルートは同じディレクトリを指すのが一般的？
想定していた”特別な理由”には、レンタルサーバーなどの仕様の制限などで同じディレクトリを指すしかない場合などを考えていましたが、それが特別じゃなくて普通だとすれば提供しても仕方がないのか。

こういう似非セキュリティコンサルの指摘を真に受けて守ろうとするとどうなるか。

A社ホームページ http://www.example.jp/ のうち、重要な情報を掲載するページを https:// でも閲覧できるようにと、SSLを導入したとする。https://www.example.jp/important.html というページができることになるが、このSSLページは http:// でもアクセスできることになる。セキュリティコンサルが言う要件に違反してしまう。

こんな本末転倒な話があるか。似非コンサルの戯言など無視して、https:// でも閲覧できるようにするべきだ。http:// で閲覧するか https:// にするかは利用者が選ぶことだ。

高木浩光＠自宅の日記 - なぜ一流企業はhttpsでの閲覧をさせないようにするのか

どっちでアクセスするかはユーザーが選ぶとして、WebサーバーでHTTPとHTTPSのサイトを立ち上げるときは、たとえば下記のように異なるディレクトリをドキュメントルートとして指定すれば、要件には違反しないのではないでしょうか。

• http://のページ /var/www/
• https://のページ /var/www2/

とは言え、ご意見には納得しましたので、この一文は削ることにします。
いつもご指摘ありがとうございます。

• 発注者のためのWebシステム／Webアプリケーションセキュリティ要件書 | 株式会社トライコーダ

改訂してVer.1.2になりました。