アカウント名:
パスワード:
証明書の本人確認って、郵便の到達や紙の書類で確認するだけなんだよね?
例えば登記簿謄本とかで確認するんだろうけど、海外の業者にどれだけ有効なんだろ? 丁寧にニセモノを作れば騙せそうな気がするんだけど。郵便は民間の私書箱でも使えば問題ないし。
日本でそれなりに有名な企業名を名乗っていたとしても、それを知らないかもしれないし、有名企業の社名やブランド名と同じ名の零細企業があったとしても、それが即、商標法違反というわけでもないから、ニセモノだと判断できない気がする。この辺り、どんな運用なんだろうね。
SSLは充分に有用な仕組みだとは思うんだけど、かといって、それほど信用できるものでもない気がする。
「SSLなんて大して信用できるものではありませんから、自己責任と割り切っていい加減に証明書をインストールしてください」と書かれていたならそれはそれでかまいませんが、> 安全なHTTPS環境でのサイト表示をおこなっておりますので、「はい」を選択して続行してください。などと正反対のことが書かれていました。おまけに> この表示を出さなくするためには、SSL証明書をご使用のパソコンにインストールしてくださいなどと、マトモに運用しようと努力している人たちの足まで引っ張っていました。だから叩かれたのです。
ところで今見たらもう該当のページは消えてますね。とりあえず素早い対応は率直に評価できます。
×:底に穴の開いたバケツに○:底に穴のありそうなバケツに
問題が明らかなホースを放置して、あるかどうかも分からない穴を最初に塞ごうとするあなたが滑稽です。
>途中で盗聴されて個人情報が漏れるよりも、>セミナー主催者の悪意や不手際で漏れる方が>よっぽどありそうなんだが。
なるほど、不手際で漏れた場合に、盗聴されていたことにするために、SSLを使わないようにした方が良さそうですね。
えー本日はお忙しい中セミナーにお集まりいただきありがとうございます。ではお手持ちのクライアント証明書をご提示・・・え?持ってきていない?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
SSLが必要か? (スコア:1, おもしろおかしい)
途中で盗聴されて個人情報が漏れるよりも、
セミナー主催者の悪意や不手際で漏れる方が
よっぽどありそうなんだが。
Re: (スコア:0)
機密性の問題ではありません。信憑性の問題です。
いまだに、SSLといえば暗号化しか思いつかない人もいるんですね。
何故フィッシングが成功するか理解できてますか?
何故EV SSLが必要となったか理解できてますか?
>セミナー主催者の悪意や不手際で漏れる方が
>よっぽどありそうなんだが。
「よっぽどありそう」だとあなたが思うリスクがあるからといって、
その他のリスクを無視していいということはありません。
Re:SSLが必要か? (スコア:3, 参考になる)
証明書の本人確認って、郵便の到達や紙の書類で確認するだけなんだよね?
例えば登記簿謄本とかで確認するんだろうけど、海外の業者にどれだけ有効なんだろ? 丁寧にニセモノを作れば騙せそうな気がするんだけど。郵便は民間の私書箱でも使えば問題ないし。
日本でそれなりに有名な企業名を名乗っていたとしても、それを知らないかもしれないし、有名企業の社名やブランド名と同じ名の零細企業があったとしても、それが即、商標法違反というわけでもないから、ニセモノだと判断できない気がする。この辺り、どんな運用なんだろうね。
SSLは充分に有用な仕組みだとは思うんだけど、かといって、それほど信用できるものでもない気がする。
Re:SSLが必要か? (スコア:3, 参考になる)
代表的な実在性認証を行う証明書では、ドメイン名登録者との整合性、登記簿謄本などを用いて実在性、電話で本人性を確認しています。
またドメイン認証と呼ばれている安価な証明書では、ドメイン名を登録した時に申告したメールアドレスに届くメールアドレスがWhois情報に公開されていますので、そこにメールが届けば認証したとみなす模様です。
悪意の有無とは関係なく同名の企業は存在します。ですから、実在性認証をした証明書を使っていても、通信相手の企業が自分が目的とする企業なのかは、証明書を受け取った利用者が確認する必要が有るでしょうね。厳格には毎回確認すべきと思いますが、そこまでしなくとも初めて参照したWebサイトでは証明書の記載事項を確認するのが良いと思います。
ドメイン認証の証明書では、企業団体名の記載はきっと無いと思いますので、そのドメイン名が確実に目的のドメイン名であると確信が持てなければ、とりあえず怪しいと疑っても良いと思います。
フィッシングサイトなど偽サイトを運用する側から見れば、仮に証明書を取得しようとするなら、手間暇を掛けた上に多額の代金を支払わないといけない実在性認証の証明書を取得するより、遥かに簡単に安価なドメイン認証の証明書を取得するように思いますね。
SSLだから信用できるという物ではなく、証明書の中身をきちんと見て、通信相手が目的の相手だと利用者自信が確信を持てる事が重要だと思いますね。
Re:SSLが必要か? (スコア:1, すばらしい洞察)
「SSLなんて大して信用できるものではありませんから、自己責任と割り切っていい加減に証明書をインストールしてください」と書かれていたならそれはそれでかまいませんが、
> 安全なHTTPS環境でのサイト表示をおこなっておりますので、「はい」を選択して続行してください。
などと正反対のことが書かれていました。おまけに
> この表示を出さなくするためには、SSL証明書をご使用のパソコンにインストールしてください
などと、マトモに運用しようと努力している人たちの足まで引っ張っていました。だから叩かれたのです。
ところで今見たらもう該当のページは消えてますね。とりあえず素早い対応は率直に評価できます。
Re: (スコア:0)
> その他のリスクを無視していいということはありません。
そうかな。
底に穴の開いたバケツに、穴のあいたホースで水を注いでいるとしよう。
バケツの穴をふさがずにホースの穴を修理しようとすることにどんな意味がある?
Re: (スコア:0)
×:底に穴の開いたバケツに
○:底に穴のありそうなバケツに
問題が明らかなホースを放置して、あるかどうかも分からない穴を最初に塞ごうとするあなたが滑稽です。
Re:SSLが必要か? (スコア:1)
さすがノーガード戦法 (スコア:0)
>途中で盗聴されて個人情報が漏れるよりも、
>セミナー主催者の悪意や不手際で漏れる方が
>よっぽどありそうなんだが。
なるほど、不手際で漏れた場合に、
盗聴されていたことにするために、
SSLを使わないようにした方が良さそうですね。
Re: (スコア:0)
Re: (スコア:0)
えー
本日はお忙しい中セミナーにお集まりいただきありがとうございます。
ではお手持ちのクライアント証明書をご提示・・・え?
持ってきていない?