アカウント名:
パスワード:
この場合に限って言えば,ブラウザが出す警告が 「ドメイン名と証明書が一致していない」のみであり, 証明書を表示してGTE CyberTrustをRoot証明書として署名された 正規の証明書であることを確認すれば,一応は安全です。
しかし,ブラウザが出すSSLの警告について, ・ドメイン名と証明書が一致していない ・正規の認証局で署名された証明書ではない の区別を一般人に要求するのは無理であり,本当にやばい状況である 後者についても「このサイトででる警告は無視してOK」と続行されたら, 危険極まりないことになります。
ましてや利用している人が「SSLの警告は無視してもいいんだ」という 誤った知識を情報を学習し,他の状況でもSSL警告を無視するようになると, SSLが保障しようとしている安全性が根幹から崩れてしまいます。
しかし,ブラウザが出すSSLの警告について, ・ドメイン名と証明書が一致していない ・正規の認証局で署名された証明書ではないの区別を一般人に要求するのは無理であり
以下のダイアログメッセージが表示されましたら、「はい(Y)」を選択(クリック)してください。
なんていうのは大嘘で「以下と一言一句違わないダイアログメッセージ」であることまで確認させないと「セキュリティ上の問題はございません」なんてとても言えない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
で結局安全なの? (スコア:0)
Re:で結局安全なの? (スコア:5, すばらしい洞察)
この場合に限って言えば,ブラウザが出す警告が
「ドメイン名と証明書が一致していない」のみであり,
証明書を表示してGTE CyberTrustをRoot証明書として署名された
正規の証明書であることを確認すれば,一応は安全です。
しかし,ブラウザが出すSSLの警告について,
・ドメイン名と証明書が一致していない
・正規の認証局で署名された証明書ではない
の区別を一般人に要求するのは無理であり,本当にやばい状況である
後者についても「このサイトででる警告は無視してOK」と続行されたら,
危険極まりないことになります。
ましてや利用している人が「SSLの警告は無視してもいいんだ」という
誤った知識を情報を学習し,他の状況でもSSL警告を無視するようになると,
SSLが保障しようとしている安全性が根幹から崩れてしまいます。
Re:で結局安全なの? (スコア:0)
なんていうのは大嘘で「以下と一言一句違わないダイアログメッセージ」であることまで確認させないと「セキュリティ上の問題はございません」なんてとても言えない。おまけにホクギン [hokuetsubank.co.jp]はまだしも武蔵野銀行 [musashinobank.co.jp]はダイアログの説明に縮小したサムネイルしか表示していなくて、警告の文言の確認すらできないというありさま。まさかこんなんで「説明と違うダイアログで "はい(Y)" を押したユーザーが悪い」なんて言い訳が通用するはずもないだろう。
結局、実際にフィッシングされた被害者がまだいないってだけの理由で油断してるんだろうな。Mac ユーザーとおんなじで。
Re:で結局安全なの? (スコア:1, おもしろおかしい)
Re:で結局安全なの? (スコア:0)
確認させるダイアログメッセージ自体を偽装できてしまいますが……