アカウント名:
パスワード:
> 意図したドメイン名と無関係だったら、危ないって判断できる。> ただ、一般の人に取ってドメイン名で確認するより、EV-SSL だとブラウザに組織名が表示されるんで、その方が気が付きやすい、日本では銀行のオンラインバンキングのサイトでなぜかNTTデータの名前が表示されたりする [takagi-hiromitsu.jp]ので、こういう状況に慣らされてしまうと結局役に立たないのです。米SymantecのBlogはそんなトンデモな状況がありうるなんて夢にも思っていないのでしょう。EV SSLを導入最初期の段階で早くも役立たずにしてくれたNTTデータは腹を切って死ぬべきであるとか思いました。
EV SSLを導入最初期の段階で早くも役立たずにしてくれたNTTデータは腹を切って死ぬべきであるとか思いました。
いや、あれは他ならぬ、日本ベリサイン株式会社がNTTデータに売り込んだものでしょう。宣伝のためにね。
プレスリリース - 2008 NTTデータ、インターネットバンキング「ANSER-WEB®」にEV SSL証明書を採用 [verisign.co.jp]
このコメントの右にベリサインの広告が表示されて笑った。
本では銀行のオンラインバンキングのサイトでなぜかNTTデータの名前が表示されたりするので、こういう状況に慣らされてしまうと結局役に立たないのです。米SymantecのBlogはそんなトンデモな状況がありうるなんて夢にも思っていないのでしょう。
そういうことが可能なレベルの運用しかされていないということであり、遅かれ早かれ破綻するレベルの仕組みなんでしょう。なので、
これはむしろ、この商品が役立たずで、販売者を儲けさせるためだけに存在するものであるということを身をもって実証してくれたNTTデータは賞賛に値すると思いますが。
> 実際に証明書が証明してるドメイン名を確認して
ってことで、「URL窓 (ていうのかな?) を穴の開くほど見れ」というのだが、最近お値段の高い証明書使ってるサイトで、その緑色の蘊蓄が長くて、肝心の URL が読み取れないサイトがある。
Whois ボタン [mozilla.org] でも追加して、どこに繋がったかを確認するのがいいかも。
#はい、ごめんなさい。Firefox の話です。
EV SSLはドメイン名ではなく組織名で確認するものなので、ドメイン名の表示はあまり重要視されていないものと思われます。> 緑色の蘊蓄が長くて、肝心の URL が読み取れないこれは話が反対で、確認が必要なもの(証明書の種類によって組織名だったりドメイン名だったりする)は緑色だったり青かったりする部分に常に表示されるという設計になっています(Firefox 3.5の場合 [takagi-hiromitsu.jp])。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
EV-SSL の効果 (スコア:2, すばらしい洞察)
と自分も思ってしばし考えたんだけど、もともと、この話って、「SSL でつながったことで安心しちゃだめだよ」で、実際に証明書が証明してるドメイン名を確認して、意図したドメイン名と無関係だったら、危ないって判断できる。
ただ、一般の人に取ってドメイン名で確認するより、EV-SSL だとブラウザに組織名が表示されるんで、その方が気が付きやすい、ということはあるかな、と。
にしても、あの IT Media の記事を見たら、まるで証明書が偽装されているような印象をうけるよなぁ。あのイメージは元のブログだと、「ほら、Verisign の本当の証明書でしょ」というのを示していて、その後のイメージで、「でも、本物と乗っ取られたものでは、Issued to のところが全然関係ないドメイン名になっているんだよ」ということを示している。...と思う(英文を細かく読んでないけど)。
元のブログ: http://www.symantec.com/connect/blogs/phishing-toolkit-attacks-are-abu... [symantec.com]
Re:EV-SSL の効果 (スコア:4, すばらしい洞察)
> 意図したドメイン名と無関係だったら、危ないって判断できる。
> ただ、一般の人に取ってドメイン名で確認するより、EV-SSL だとブラウザに組織名が表示されるんで、その方が気が付きやすい、
日本では銀行のオンラインバンキングのサイトでなぜかNTTデータの名前が表示されたりする [takagi-hiromitsu.jp]ので、こういう状況に慣らされてしまうと結局役に立たないのです。米SymantecのBlogはそんなトンデモな状況がありうるなんて夢にも思っていないのでしょう。
EV SSLを導入最初期の段階で早くも役立たずにしてくれたNTTデータは腹を切って死ぬべきであるとか思いました。
Re:EV-SSL の効果 (スコア:2, 参考になる)
いや、あれは他ならぬ、日本ベリサイン株式会社がNTTデータに売り込んだものでしょう。宣伝のためにね。
プレスリリース - 2008 NTTデータ、インターネットバンキング「ANSER-WEB®」にEV SSL証明書を採用 [verisign.co.jp]
Re:EV-SSL の効果 (スコア:1)
このコメントの右にベリサインの広告が表示されて笑った。
Aaron Rashid
Re:EV-SSL の効果 (スコア:2)
何も解らない一般人(アレゲ的な意味で)は、戸惑いながら言われるままにパスワードを入力し、一般的じゃないアレゲ人は、SSL証明書を見てずっこけるという・・・。
SSL証明書の存在意義を問う社会派ジョークなんだね。きっと。
事態は際限なく悪化する。
Re:EV-SSL の効果 (スコア:1, おもしろおかしい)
そういうことが可能なレベルの運用しかされていないということであり、遅かれ早かれ破綻するレベルの仕組みなんでしょう。なので、
これはむしろ、この商品が役立たずで、販売者を儲けさせるためだけに存在するものであるということを身をもって実証してくれたNTTデータは賞賛に値すると思いますが。
Re: (スコア:0)
Re:EV-SSL の効果 (スコア:1)
> 実際に証明書が証明してるドメイン名を確認して
ってことで、「URL窓 (ていうのかな?) を穴の開くほど見れ」というのだが、最近お値段の高い証明書使ってるサイトで、その緑色の蘊蓄が長くて、肝心の URL が読み取れないサイトがある。
Whois ボタン [mozilla.org] でも追加して、どこに繋がったかを確認するのがいいかも。
#はい、ごめんなさい。Firefox の話です。
Re:EV-SSL の効果 (スコア:3, 参考になる)
EV SSLはドメイン名ではなく組織名で確認するものなので、ドメイン名の表示はあまり重要視されていないものと思われます。
> 緑色の蘊蓄が長くて、肝心の URL が読み取れない
これは話が反対で、確認が必要なもの(証明書の種類によって組織名だったりドメイン名だったりする)は緑色だったり青かったりする部分に常に表示されるという設計になっています(Firefox 3.5の場合 [takagi-hiromitsu.jp])。
Re:EV-SSL の効果 (スコア:1)
元のブログに貼り付けられていた画像から、わざわざ証明書の部分(元画像の右下にある証明書内容を表示しているウィンドウ)を抜き出すように編集していたんで、それもどうなのかなぁ、とは思っていたけど。
編集しているのがまずいと思ったのか、内容が不適切と思ったのか、画像を削除した理由は分かりませんが...
EV-SSL の『逆』効果 (スコア:1)
インラインフレームだとか共有サーバでのEV-SSL等での詐欺行為が楽になります。
そういう意味では、SSLだろうとEV-SSLだろうと、セキュリティレベルはほとんど変わりません。