アカウント名:
パスワード:
基本は、目的のホスト名+HTTPS、なら安心していい、と言えるでしょ。google.comのHTTPSなら安全だけど、HTTPSになってない(壊れてる)google.comは危険。
見知らぬホストなら、HTTPSであろうがなかろうが信頼はできない。鍵で判断しようってのがそもそもの間違い。
# Googleも裏で何してるかわからんから安全とは言えないのでは、という反論は認める
基本的に「目的のホスト名」とやらが正しいのか何て殆ど分からんと思うんですが……https://srad.co.jp/comment/3714313 [srad.co.jp] のコメントみてどう思う?
サーバが見つかりませんでした。
あれー? と30秒ぐらい首をひねったよ…
最近は、サブオプションの最初だけ無料なのを”無料”とでっかく書いてものをうる商法がはやってるらしいぞ。インターネットはクーリングオフの対象ではないのでどうにもならないらしい。儲けが費用を上回るならEVSSL買うくらいわけない。
つまり比較的安全な手順としてはこれでいいんじゃない?1. 複数のソースから大規模な DNS, CDN 攻撃が行われていないことを確認する。2. google 等の大手検索サイトにブックマークからアクセスする。3. 検索サイトの証明書が正しいことを確認する。4. 対象サービスを検索して上位のサイトにアクセスする。5. 対象のサイトの証明書が正しいことを確認する。
> 1. 複数のソースから大規模な DNS, CDN 攻撃が行われていないことを確認する。
どのサイトにもアクセスせずに、「複数のソースから大規模な DNS, CDN 攻撃が行われていないことを確認する」方法を教えてください。
ルータやらDNSハックされてたら、ホスト名が合っててHTTPSでも駄目だしなぁ。ちょっと前もルート証明書もれてたとかもあるので証明書のシグネチャぐらいは覚えてないと駄目かも。
結局、これだけ見れば大丈夫と保証できるもんは無いし、かといって全部確認してまわってたら何も出来ない。
そのために証明書があるんじゃんwいくらDNSハックされててもPCのルート証明書を改竄されてない限りはCN,OU,O,LとSANsのDNSは信用していいので。
逆に、どれかの情報が嘘だったら全く信用してはいけないし、OとかOUが欠けてたら信用性は低い。
> 証明書のシグネチャぐらいは覚えてないと駄目かも
もしかして:証明書の fingerprint (thumbprint)証明書のシグネチャ(部分)はちょっと長いから覚えるのは辛いと思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
結局のところ (スコア:2)
「信頼できるサイトの見分け方」
って何なの?
他人の批判ばかりしていないで教えてほしい。
Re:結局のところ (スコア:0)
基本は、目的のホスト名+HTTPS、なら安心していい、と言えるでしょ。
google.comのHTTPSなら安全だけど、HTTPSになってない(壊れてる)google.comは危険。
見知らぬホストなら、HTTPSであろうがなかろうが信頼はできない。
鍵で判断しようってのがそもそもの間違い。
# Googleも裏で何してるかわからんから安全とは言えないのでは、という反論は認める
Re:結局のところ (スコア:1)
基本的に「目的のホスト名」とやらが正しいのか何て殆ど分からんと思うんですが……
https://srad.co.jp/comment/3714313 [srad.co.jp] のコメントみてどう思う?
Re: (スコア:0)
サーバが見つかりませんでした。
あれー? と30秒ぐらい首をひねったよ…
Re: (スコア:0)
最近は、サブオプションの最初だけ無料なのを”無料”とでっかく書いてものをうる商法がはやってるらしいぞ。
インターネットはクーリングオフの対象ではないのでどうにもならないらしい。
儲けが費用を上回るならEVSSL買うくらいわけない。
Re: (スコア:0)
つまり比較的安全な手順としてはこれでいいんじゃない?
1. 複数のソースから大規模な DNS, CDN 攻撃が行われていないことを確認する。
2. google 等の大手検索サイトにブックマークからアクセスする。
3. 検索サイトの証明書が正しいことを確認する。
4. 対象サービスを検索して上位のサイトにアクセスする。
5. 対象のサイトの証明書が正しいことを確認する。
Re: (スコア:0)
> 1. 複数のソースから大規模な DNS, CDN 攻撃が行われていないことを確認する。
どのサイトにもアクセスせずに、「複数のソースから大規模な DNS, CDN 攻撃が行われていないことを確認する」方法を教えてください。
Re: (スコア:0)
ルータやらDNSハックされてたら、ホスト名が合っててHTTPSでも駄目だしなぁ。
ちょっと前もルート証明書もれてたとかもあるので証明書のシグネチャぐらいは覚えてないと駄目かも。
結局、これだけ見れば大丈夫と保証できるもんは無いし、かといって全部確認してまわってたら何も出来ない。
Re:結局のところ (スコア:1)
そのために証明書があるんじゃんw
いくらDNSハックされててもPCのルート証明書を改竄されてない限りはCN,OU,O,LとSANsのDNSは信用していいので。
逆に、どれかの情報が嘘だったら全く信用してはいけないし、OとかOUが欠けてたら信用性は低い。
Re:結局のところ (スコア:1)
> 証明書のシグネチャぐらいは覚えてないと駄目かも
もしかして:証明書の fingerprint (thumbprint)
証明書のシグネチャ(部分)はちょっと長いから覚えるのは辛いと思う。