アカウント名:
パスワード:
甘いですね。そんなこと言ってると、
なりすましは防げないが、盗聴は防げている(暗号化には全く問題ない)。
それを「盗聴」と呼べるかどうかは意見が分かれるところですから、やはり「なりすまし」を使う方がいいですね。
君みたいなことを言う人がいるからいつまでたっても理解されないんだよ。
ご本人の日記 [hyuki.com]より。
# こんな事で命を取らんでも…
当サイトでは、お客さまの個人情報など保護が必要なデータを安全にやりとりするため、SSL(Secure Socket Layer)を利用した暗号化通信を使用しています。当サイトのウェブサーバとお客さまがお使いのブラウザ間の情報はSSL技術を使って保護されています。
NTT西日本公式ホームページの利用は、お客さまの責任において行われるものとします。
ルート証明書を安全に配付,という言葉には,プライベート認証局をきちんと運営している,という意味も含まれるし,プライベート認証局,という用語を使った時点で当然のことながら,CPやCPSは設定されていると仮定されると思うのは世間を信用しすぎなのだろうか.
もちろん,上の匿名投稿で言いたかった内容は理解できるけど,,,
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
盗聴される? (スコア:1)
自認証局による証明書だって*暗号化には*問題ないんじゃ?
# 「オレオレ証明書」って初めて聞いたのでAC
Re:盗聴される? (スコア:3, 参考になる)
Re:盗聴される? (スコア:1, 参考になる)
中継せずに情報を盗む形の悪用もあるよね。盗聴といってしまうと、そういうのが抜け落ちちゃうでしょ。
今回の問題点は「盗聴」と呼ぶより、「なりすまし」と言った方が誤解を招かないと思う。
Re:盗聴される? (スコア:2, 参考になる)
# だいたい、安全か否かなんてのは程度の問題であって、
# 素のHTTP>オレオレ証明書を使ったHTTPS>マトモなHTTPS>通信しない
# といった風に段階的に危険度が上がっているに過ぎないんだよなぁ。
そもそも「エンドユーザーがルート証明機関を評価して選択しなければならない(しかも評価のための情報が豊富でない)」というSSLの仕様が一番の問題なんでしょうね。
# だからといって他にどうすればいいという考えもないけど。
yp
Re:盗聴される? (スコア:0)
> # といった風に段階的に危険度が上がっているに過ぎないんだよなぁ。
素のHTTPを安全だと思ってクレジットカードの番号とか流す人は(たぶん)いませんが、オレオレ証明書を使った場合は「安全だと思わせておいて」実はそれほど安全ではないという点が罪深いのです。
Re:盗聴される? (スコア:0)
甘いですね。そんなこと言ってると、
と言われるのがオチですよ。この人 [hyuki.com] みたいに。Re:盗聴される? (スコア:0)
> と言われるのがオチですよ。
中継するタイプのも、「なりすまし」していることには違いないので、その問題はカバーできています。
逆に、それを「盗聴」と呼べるかどうかは意見が分かれるところですから、やはり「なりすまし」を使う方がいいですね。
Re:盗聴される? (スコア:0)
君みたいなことを言う人がいるからいつまでたっても理解されないんだよ。
Re:盗聴される? (スコア:0)
Re:盗聴される? (スコア:0)
以下、#819127 [srad.jp] の繰り返し。
Re:盗聴される? (スコア:0)
上の#819127は、
本物サイト ←→ 中継ルータ ←→ 被害者
という話だけど、「本物サイト ←→ 中継ルータ」の部分って、この悪用では本質じゃないでしょ。中継ルーターが本物サイトに通信を転送せずに、内容を捏造するような悪用もあるんだから。あくまでも、中継ルータが本物サイトのふりをして、被害者と通信できてしまう点が問題なわけ。
Re:盗聴される? (スコア:0)
で?
盗聴されるわけなんだけど。
あなたや hyuki のように、「なりすましは防げないが、盗聴は防げる(暗号化には全く問題ない)」という言い方をしている限り、#819123 [srad.jp]のように「中継サイトに誘導別途する必要があるけどな」(だからそれほどたいした問題じゃない)とか言い出す奴がいつまでも絶えないわけよ。
Re:盗聴される? (スコア:0)
それを盗聴と呼べるかどうかは言葉の定義しだいです。
「盗聴」という言葉から、捏造した内容をまぎれこませるような悪用ができることは連想できないでしょう。不当な問題の矮小化になっているのでは。そんな表現を使ってれば、理解されるものもされなくなってしまいます。
> #819123のように「中継サイトに誘導別途する必要があるけどな」(だからそれほどたいした問題じゃない)とか言い出す奴がいつまでも絶えないわけよ。
それは「なりすまし」の危険性に対する認識の問題ですね。「なりすまし」の代わりに「盗聴」を問題にすれば解決する話ではありません。「なりすまし」の危険性に対する正しい認識を広めることによって解決する話でしょう。
Re:盗聴される? (スコア:0)
あなたがやってるように見えますけど。
あなたに残された手段は「これがスラドクオリティ」とか言って退散することくらいしか残されてないでしょう。
# 半可通ほど居丈高の法則だなあ
Re:盗聴される? (スコア:0)
オレオレ証明書を悪用されたときにどのような被害をこうむる可能性があるかを理解してもらうために必要です。それとも、正しく理解してもらうことは必要ではないという意見なのでしょうか?
> 関係ない話を持ち出すなよ。
通信内容の捏造や改竄の問題が「関係ない」ですか。単なる盗聴より重大問題だとは思わないんですか?ちょっとだけカルチャーショック。
Re:盗聴される? (スコア:0)
Re:盗聴される? (スコア:0)
Aを導入する動機がBだから、Aで防止できるものはBと呼ぶべきだ?
本気でそんなこと思ってるのだとしたらアホだとしか思えん。
というか、アホだな。
まあ、なんだ。
とりあえず、「盗聴を防止したいことがSSL導入の最大の動機」が真であることの証明からはじめてみろよ。
Re:盗聴される? (スコア:0)
「盗聴」なら本物にも情報は行くが
なりすましでは偽サイトで情報の行き来は止まるので本物には通信の存在すら確認できない。
>「なりすましは防げないが、盗聴は防げる(暗号化には全く問題ない)」
で問題(少)ないケースはクライアントがそれ単体で意味を成す情報(個人情報やプレーンパスワード)を送信せずに情報を引き出すのみのシステムの場合。
Re:盗聴される? (スコア:2, 参考になる)
オレオレ証明書の問題点は自身が証明書を作成しているので信頼性がない点でしょう。
暗号化は行われておりますが、証明書に信頼性がないため、このような証明書を信頼する癖をつけてしまうと簡単にフィッシングサイトに騙されます。
安全のため、NTT西日本とはお付き合いをやめましょう。:-)
違います (スコア:3, 参考になる)
Re:もうちょっと流行ったら (スコア:3, おもしろおかしい)
私がオリジナリティを付加して発表したものとかいう
騒動が起きるとか起きないとかいうデジャヴ。
#んなこたない
Re:盗聴される? (スコア:0)
紙媒体で対面時に渡すのが確実かも。
偽ルート証明書入りのオープンソースブラウザやJavaランタイムが出回ったりしたらどうなるんだか。
Re:盗聴される? (スコア:2, すばらしい洞察)
そう認識されちゃうことが問題。
Re:盗聴される? (スコア:2, すばらしい洞察)
ルート認証機関に認証してもらう必要がなければ誰にでも「NTT西日本」と名乗れるわけですから。
というかリンク先読んでください。
Re:盗聴される? (スコア:1, すばらしい洞察)
通信路上で改竄されたら、盗聴されますよ。
Re:盗聴される? (スコア:0)
Re:盗聴される? (スコア:2, すばらしい洞察)
Re:盗聴される? (スコア:0)
中継サイトでまた「それっぽく見える」証明書を使って署名していても気がつく方法がない、ってことだぞ。
中継サイトに誘導別途する必要があるけどな。
Re:盗聴される? (スコア:1, 参考になる)
それも典型的な誤解なの。いやはや根が深いね。
本物サイト ←→ 中継ルータ ←→ 被害者
これでわかる?
「ルータに入れるはずがない」なんて言うなら、そもそも SSL なんかいらないわけ。
Re:盗聴される? (スコア:3, 参考になる)
私は、セキュリティー初心者ですが興味があったので、結城浩著の『暗号技術入門 ―― 秘密の国のアリス』 [hyuki.com]を買いました。
中間者攻撃の怖さと”信頼できる”証明書取得の必要性が、わかりやすい話と豊富な図で解説されているので、 すごくためになりました。
Re:盗聴される? (スコア:0)
暗号化に語感を合わせて復号化とする誤りは実際多いですが
どの辺が「致命的」なのでしょう?
Re:盗聴される? (スコア:0)
Re:盗聴される? (スコア:0)
留学して海外の先生について基礎を習った人の場合、用語を誤っても不思議ではないわけだが、それは致命的かな?
日本語を理解する人しか「きちんとした先生」とは認めない、という意見の持ち主なのだろうか?
Re:盗聴される? (スコア:0)
Re:盗聴される? (スコア:1)
このストーリが、今読んでいる本の内容と重なる話だと思い、本の紹介をしました。
直前の話が、中間者攻撃(man-in-the-middle攻撃)の話のように思えたので、レスをつけました。
man-in-the-middle攻撃は、『暗号技術入門』のP136「man-in-the-middle攻撃」
証明書の信頼性については、P259「証明書がなぜ必要なのか?」
オレオレ証明書のように、信頼できない証明書だと、中間者攻撃の危険性を増すように思いますが、私の理解は間違っていますでしょうか?
門外漢ですので、ご指摘願えれば幸いです。
Re:盗聴される? (スコア:0)
それが致命的だとしたら、あなたの読解力が致命的ということでしょう。
>その本のいったいどこにオレオレ証明書問題が書いてありますか?
致命的なのは、あなたの知能かもしれません。オレオレ証明書問題がわかりやすくなるということを、読解できていないわけですからね。
本人の弁 (スコア:2, 参考になる)
ご本人の日記 [hyuki.com]より。
# こんな事で命を取らんでも…
Re:盗聴される? (スコア:0)
Re:盗聴される? (スコア:0)
「復号」というモノはないので、名詞だと解釈するのは強引すぎて無理。
Re:盗聴される? (スコア:1)
こういう場合は俺様認証局っていうことが多いわな。
Re:盗聴される? (スコア:1, 参考になる)
で、暗号化の時にどのような手段をとるかは、復号できないといけないから、あらかじめ通信相手と決めておく必要がありますよね。
今回は証明書の信頼性が問題で、誰が通信相手かはっきりわからないことだと思います。
誰かわからない通信相手=他者の可能性がある時点で、暗号化という言葉の利用は適切でないと思います。
NTT西日本以外に知られたくない情報を、別の他者とやりとりする状況が考えられるわけですよね。
Re:盗聴される? (スコア:1)
Re:盗聴される? (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:盗聴される? (スコア:1)
オレオレ証明書クイズへの回答リンクから内容をざーっと見て、最後にそのページからリンクを二つたどった先の高木さんの日記を眺めると、この問題に対して何が誤解されているかが見えるかな、ということで紹介しました。
Re:Linux やOS X の人 (スコア:1)
問題はどこに? (スコア:2, 参考になる)
NTT西日本に、連絡をとりたい顧客が「SSLなんか使わなくっても平文でもいいよ」と思って連絡する場合には問題にならないでしょう。しかし「うちはSSL使っているから安心ですよ」と説明しているというのは、不誠実な対応だと考えます。
# ま、SSLを使っているという一点だけを見ると嘘ではないですが
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:問題はどこに? (スコア:1, 参考になる)
とある。
民法の信義誠実の原則でなんとかしなくちゃ駄目か?
違う (スコア:1, 参考になる)
Re:違う (スコア:1)
ルート証明書を安全に配付,という言葉には,プライベート認証局をきちんと運営している,という意味も含まれるし,プライベート認証局,という用語を使った時点で当然のことながら,CPやCPSは設定されていると仮定されると思うのは世間を信用しすぎなのだろうか.
もちろん,上の匿名投稿で言いたかった内容は理解できるけど,,,
Re:違う (スコア:0)
1.証明書を、証明局が正式に発行した物で有ると確認出来る方式で渡せること
(ネットワーク経由は偽装可能なので不可)
2.責任範囲は自社内等組織内で閉じている方が好ましい
最低限でも何かあったときに即座に対応出来る範囲でなければならない
3.CAの秘密鍵は物理的にも論理的にも厳重な環境で保管されていること
上記運用状態がサービス停止まで継続して実施され、サービス停止後には責任をもって無効に出来る事
まぁ第三者にちゃんと提供するなら証明書買った方が安いとは思うね