アカウント名:
パスワード:
>、Microsoft Edge 99%、
少しでもアヤシイファイルは全部「警告」扱いにするからだよ。Edge だと、そのあとユーザーの同意を上で実行可能にさせるから、実質ザル。
そんなこと言ったらマルウェア対策アプリだってザルじゃんユーザーが操作すれば実行できたり隔離したのを出したりできるんだからさフィッシングサイトだろうがアクセスしようと思えばできちゃうしね
タイトルは誇大広告じゃなくてマジですEdge/IEに搭載されているのは、最初全部誤検出して、ダウンロード・実行ユーザーがある程度増えてきてはじめて誤検出がなくなる人柱が必要なホワイトリスト形式の迷惑セキュリティソフトなんです
こういうのがフリーソフト文化を破壊するんだよね作者にウイルスだと表示されたのなんだのと冤罪メールばっかきて迷惑
『少しでもアヤシイファイルは全部「警告」扱いにする』のが問題なんだよ
自分でプログラム作れば分かるけど、EdgeやIEはexeなどの実行ファイルをこう扱う
・EVコードサイニング署名付き ⇒ デフォルトでスルー(ブラック
EV署名のない実行ファイルをデフォルトでブロックするのは普通の動作に見える。
当然知っていると思うけど、EVでないコード署名はプログラムの信用を担保しない。ただ改竄されていないことを証明するだけだ。例えば、フィッシングサイトが公開するマルウェアにEVでないコード署名がついていたところで、なんの保証にもならない。身元を証明したいのならEV署名は必要だ。
昔ながらの開発者として気に入らないのはわかるけど、これが不当に思えるのはちょっと時代遅れというしかない。
また、根本的な誤解として、SmartScreenはウイルススキャナではない。SmartScreenはドメインやURLの信頼性を評価するもので、フィッシングサイトなどを遮断するのが目的だ。その性能が高くて、特に新たに登場したフィッシングサイトへの対応がきわめて速いとされている。
SSL/TLSに使うX.509 証明書かなんかと勘違いしているように思える。
CA/Browser ForumのBaseline Requirementsではコードサイニング証明書にはVerification of Organizational Applicantsが必須だと書かれている。
11.Verification Practices から引用すると
・設立・存在を示す政府機関発行の文書(日本でいえば登記事項証明など)の存在、または連絡・信頼できる第三者機関の発行する文書の存在、または連絡(帝国データバンクやDUNSなど)・商号や屋号を管理する政府機関発行の文書の存在、または連絡・信頼できる第三者機関の発行する意見書・公共料金の請求書、銀行の明細書、クレジットカードの明細書、国税の書類、信頼できる第三者機関の発行する文書
のいずれかが必須。
実際の運用としては、大抵の認証局はEVでもEVでなくてもコードサイニング証明書は同じような審査をする(EVでなくてもコールバック確認や書類審査をする)のでなりすましリスクについては大きな違いがあるとはいえない)。EVの方が値段が高いので認証局の儲けが大きいという違うはあるね。
EVと非EVの大きな違いは、EVの方は個人事業主を含む個人だと取得できないことぐらいかな。でも、死ぬまで逃亡できない個人と、いくらでもペーパーカンパニー作り放題の法人で、後者の方が信頼できるというのは違うと思う。
民事の賠償責任や法人格としての刑事責任も法人は会社つぶせば逃れられるけど、個人の自己破産免責は簡単には認められない。
本当に検出率が高いのか疑問だ。怪しげな詐欺サイトが表示されたことはあるが、SmartScreenの赤い画面を見たことがない。
SmartScreenがアンチウイルスかどうかは考え方次第では? https://hebikuzure.wordpre [wordpress.com]
仮に「プログラムの信用を担保する」のなら、それで問題が起きた時は証明書を発行した機関や実行を許可したOSメーカーは責任とってくれるの?連帯保証人のハンコついたわけじゃないのに、信用を担保するなんてことはないでしょ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
99% の実態は (スコア:-1)
>、Microsoft Edge 99%、
少しでもアヤシイファイルは全部「警告」扱いにするからだよ。
Edge だと、そのあとユーザーの同意を上で実行可能にさせるから、実質ザル。
Re: (スコア:0)
そんなこと言ったらマルウェア対策アプリだってザルじゃん
ユーザーが操作すれば実行できたり隔離したのを出したりできるんだからさ
フィッシングサイトだろうがアクセスしようと思えばできちゃうしね
署名無し exe ファイルの誤検出率は、公開直後は 100% (スコア:0, 参考になる)
タイトルは誇大広告じゃなくてマジです
Edge/IEに搭載されているのは、最初全部誤検出して、ダウンロード・実行ユーザーがある程度増えてきてはじめて誤検出がなくなる人柱が必要なホワイトリスト形式の迷惑セキュリティソフトなんです
こういうのがフリーソフト文化を破壊するんだよね
作者にウイルスだと表示されたのなんだのと冤罪メールばっかきて迷惑
『少しでもアヤシイファイルは全部「警告」扱いにする』のが問題なんだよ
自分でプログラム作れば分かるけど、EdgeやIEはexeなどの実行ファイルをこう扱う
・EVコードサイニング署名付き ⇒ デフォルトでスルー(ブラック
Re:署名無し exe ファイルの誤検出率は、公開直後は 100% (スコア:1)
EV署名のない実行ファイルをデフォルトでブロックするのは普通の動作に見える。
当然知っていると思うけど、EVでないコード署名はプログラムの信用を担保しない。ただ改竄されていないことを証明するだけだ。
例えば、フィッシングサイトが公開するマルウェアにEVでないコード署名がついていたところで、なんの保証にもならない。
身元を証明したいのならEV署名は必要だ。
昔ながらの開発者として気に入らないのはわかるけど、これが不当に思えるのはちょっと時代遅れというしかない。
また、根本的な誤解として、SmartScreenはウイルススキャナではない。
SmartScreenはドメインやURLの信頼性を評価するもので、フィッシングサイトなどを遮断するのが目的だ。
その性能が高くて、特に新たに登場したフィッシングサイトへの対応がきわめて速いとされている。
Re:署名無し exe ファイルの誤検出率は、公開直後は 100% (スコア:2, 参考になる)
当然知っていると思うけど、EVでないコード署名はプログラムの信用を担保しない。ただ改竄されていないことを証明するだけだ。
例えば、フィッシングサイトが公開するマルウェアにEVでないコード署名がついていたところで、なんの保証にもならない。
身元を証明したいのならEV署名は必要だ。
SSL/TLSに使うX.509 証明書かなんかと勘違いしているように思える。
CA/Browser ForumのBaseline Requirementsではコードサイニング証明書にはVerification of Organizational Applicantsが必須だと書かれている。
11.Verification Practices から引用すると
のいずれかが必須。
実際の運用としては、大抵の認証局はEVでもEVでなくてもコードサイニング証明書は同じような審査をする(EVでなくてもコールバック確認や書類審査をする)のでなりすましリスクについては大きな違いがあるとはいえない)。EVの方が値段が高いので認証局の儲けが大きいという違うはあるね。
EVと非EVの大きな違いは、EVの方は個人事業主を含む個人だと取得できないことぐらいかな。でも、死ぬまで逃亡できない個人と、いくらでもペーパーカンパニー作り放題の法人で、後者の方が信頼できるというのは違うと思う。
民事の賠償責任や法人格としての刑事責任も法人は会社つぶせば逃れられるけど、個人の自己破産免責は簡単には認められない。
Re: (スコア:0)
本当に検出率が高いのか疑問だ。怪しげな詐欺サイトが表示されたことはあるが、SmartScreenの赤い画面を見たことがない。
Re: (スコア:0)
また、根本的な誤解として、SmartScreenはウイルススキャナではない。
SmartScreenはドメインやURLの信頼性を評価するもので、フィッシングサイトなどを遮断するのが目的だ。
その性能が高くて、特に新たに登場したフィッシングサイトへの対応がきわめて速いとされている。
SmartScreenがアンチウイルスかどうかは考え方次第では?
https://hebikuzure.wordpre [wordpress.com]
Re: (スコア:0)
仮に「プログラムの信用を担保する」のなら、それで問題が起きた時は証明書を発行した機関や実行を許可したOSメーカーは責任とってくれるの?
連帯保証人のハンコついたわけじゃないのに、信用を担保するなんてことはないでしょ。