パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

HTTPSやEV証明書を使っているのは「信頼できるサイト」なのか」記事へのコメント

  • by hakikuma (47737) on 2019年11月11日 17時14分 (#3714313)
    じゃあ結局、本当の意味での
    「信頼できるサイトの見分け方」
    って何なの?

    他人の批判ばかりしていないで教えてほしい。
    • 「『緑色だから安全』ではなく会社名を確認しなさい」と言っているわけだが。

      親コメント
      • by Anonymous Coward

        > 会社名を確認しなさい

        まず、これが大きな間違い。
        会社名は安全ではない。

        • by Anonymous Coward

          ちゃんと登記されている会社で、フィッシングサイトではなくEV-SSLもバッチリだけど、単に悪徳企業とかね。

          • by Anonymous Coward

            「会社名を確認しなさい」っていうのは単に登記されてるかとか見ろという話しじゃなくて、
            信頼できる会社かチェックしろという意味でしょ・・・

            • by Anonymous Coward
              市役所のサイトに行ったらNTTデータとか書いてありました
              これは信用できない詐欺サイトに誘導されたということでいいですか?
              • by Anonymous Coward

                はい、信頼してはいけません。

                マジな話、外部に全部丸投げしてる結果なわけで本当に信頼出来ないよ、それ。

              • by Anonymous Coward

                役所じゃないけど3Dセキュアでカード会社以外、しかもwhoisで確認しないと会社名すら確認できないサイトに飛ばすのマジやめてほしい。
                cafis-paynet.jpって何なんだよw

            • by Anonymous Coward

              社会人になって、有名企業の闇を目の当たりにして、信頼とはなんだろうと。
              まぁ、闇の深さでは官公庁がアレゲですが。

          • by Anonymous Coward

            トヨタや三菱、東電といった過去に問題を起こした企業は何をやったところで信用されないでしょうから駄目でしょうね。

            • by Anonymous Coward

              逆だよ。
              問題があっても責任を追及できるから「信用」できるんだよ。大企業が信用できる一番の理由はそれ。
              信用ってのはいろんな要素が絡むんだリスクマネジメントなんだよ。

        • by Anonymous Coward

          例えば、AmazonのサイトへのリンクをクリックしたつもりでAmasonを表示していることに気付くにはどうすれば良いかって話じゃ無いの?

          身分詐称するタイプの詐欺に共通の問題で、今のところ有効な解決策は無いと思うが。

      • by Anonymous Coward

        ミドリ安全なら大丈夫だな。

        • by Anonymous Coward

          ミドリ電子ってミドリ安全の子会社だったんだ。知らんかった。
          ミドリ十字は関係ないよね?

      • by Anonymous Coward

        「EV証明書に関しては単にサイトの運営社名を保証するだけであり」と書いてあるから
        "会社名だけでは信頼できませんよ" ということでは?

        • そうでなく、自分が情報を送信しようとしているサイトが情報を送信しようとしている会社と一致していますか?ということを確認しなさいってこと。

          緑だから安全ではなくて、自分で判断出来るようにしなさいよ。そうしないと危険ですよ。というところまで解説せずに「緑色なら安全」と解説するところはあまりにも無責任でしょ。と高木先生は言っているわけだ。

          親コメント
    • by accentor (48880) on 2019年11月11日 17時44分 (#3714336) 日記

      最近のChrome(バージョン77以降)やFirefox(バージョン70以降)ではEV証明書でも緑色にならなくなったので、誰でも簡単に見分ける方法は、残念ですが減りつつあります。

      親コメント
      • by Anonymous Coward

        EV証明書の緑色と組織名表示であたかも誰でも簡単に見分けられるかのような幻想を与えるのが有害だから仕様が変わったんだよ。「残念ながら」と言っているようでは何もわかっていない

        • by Anonymous Coward

          それは確かにそうなんだけど、企業名まで表示しなくなったのは残念だとも思ってる。
          DVとEV(OVも含んでいい)では、存在確認という埋めがたい差があるのだから。

          • by Anonymous Coward

            EVの存在確認すら正確性を担保できてないからSSLを存在証明に使うのは辞めたって流れだったような

            • by Anonymous Coward

              でもこれって認証局の信頼性も併せて確認するってんじゃダメなのかな。
              Symantecが信用できないとなれば何を信用すればいいんだって話もあるけど、
              逆にWoSignとか「明らかに信用できない」って奴と同列に語るのも無理筋だとも思う。
              あと日本にいればセコムの信頼性の高さは最高レベルだし。

              • by Anonymous Coward

                SymantecはSSL事業ごと売り飛ばして逃亡したじゃないか、WoSignは論外だが

    • by bero (5057) on 2019年11月12日 0時48分 (#3714593) 日記

      人の話を鵜呑みにしないこと。
      自分で判断して自分なりの信頼基準を作ること。

      友人・知人になる時とかも、そうじゃありませんか?

      親コメント
      • by Anonymous Coward

        その友人・知人のアナロジーが成立しない(#3714461)というのが……

        • by bero (5057) on 2019年11月14日 4時06分 (#3715981) 日記

          いやだから"その友人が信用している友人まで信用"しちゃだめでしょ? 
          同様に、”その友人が中が悪いだけ”で、”その友人が信用していない”のも理由にならない。別ルートで裏を取る。
          例えばgo.jp とかのドメイン名を信用判断に加えるとか。CMで流してるドメインと同じかとか。

          親コメント
    • by Anonymous Coward

      大金払ってURLバーの色が緑だから信頼できるという、SSL業者の価格差マーケティングはもう10数年前に終わったしな

    • by Anonymous Coward

      基本は、目的のホスト名+HTTPS、なら安心していい、と言えるでしょ。
      google.comのHTTPSなら安全だけど、HTTPSになってない(壊れてる)google.comは危険。

      見知らぬホストなら、HTTPSであろうがなかろうが信頼はできない。
      鍵で判断しようってのがそもそもの間違い。

      # Googleも裏で何してるかわからんから安全とは言えないのでは、という反論は認める

      • by Anonymous Coward on 2019年11月11日 19時04分 (#3714404)

        基本的に「目的のホスト名」とやらが正しいのか何て殆ど分からんと思うんですが……
        https://srad.co.jp/comment/3714313 [srad.co.jp] のコメントみてどう思う?

        親コメント
        • by Anonymous Coward

          サーバが見つかりませんでした。

          あれー? と30秒ぐらい首をひねったよ…

      • by Anonymous Coward

        最近は、サブオプションの最初だけ無料なのを”無料”とでっかく書いてものをうる商法がはやってるらしいぞ。
        インターネットはクーリングオフの対象ではないのでどうにもならないらしい。
        儲けが費用を上回るならEVSSL買うくらいわけない。

      • by Anonymous Coward

        つまり比較的安全な手順としてはこれでいいんじゃない?
        1. 複数のソースから大規模な DNS, CDN 攻撃が行われていないことを確認する。
        2. google 等の大手検索サイトにブックマークからアクセスする。
        3. 検索サイトの証明書が正しいことを確認する。
        4. 対象サービスを検索して上位のサイトにアクセスする。
        5. 対象のサイトの証明書が正しいことを確認する。

        • by Anonymous Coward

          > 1. 複数のソースから大規模な DNS, CDN 攻撃が行われていないことを確認する。

          どのサイトにもアクセスせずに、「複数のソースから大規模な DNS, CDN 攻撃が行われていないことを確認する」方法を教えてください。

      • by Anonymous Coward

        ルータやらDNSハックされてたら、ホスト名が合っててHTTPSでも駄目だしなぁ。
        ちょっと前もルート証明書もれてたとかもあるので証明書のシグネチャぐらいは覚えてないと駄目かも。

        結局、これだけ見れば大丈夫と保証できるもんは無いし、かといって全部確認してまわってたら何も出来ない。

        • by Anonymous Coward on 2019年11月12日 2時19分 (#3714609)

          そのために証明書があるんじゃんw
          いくらDNSハックされててもPCのルート証明書を改竄されてない限りはCN,OU,O,LとSANsのDNSは信用していいので。

          逆に、どれかの情報が嘘だったら全く信用してはいけないし、OとかOUが欠けてたら信用性は低い。

          親コメント
        • by nim (10479) on 2019年11月12日 12時38分 (#3714810)

          > 証明書のシグネチャぐらいは覚えてないと駄目かも

          もしかして:証明書の fingerprint (thumbprint)
          証明書のシグネチャ(部分)はちょっと長いから覚えるのは辛いと思う。

          親コメント
    • by Anonymous Coward

      じゃあ結局、本当の意味での
      「信頼できるサイトの見分け方」
      って何なの?

      で、信じる者はすくわれると

      # 主に足元を

    • by Anonymous Coward

      数多あるサイトを指しているのであれば、そんなものはないでしょ。
      見分け方を知ってるから批判してるっていうよりも、誰しもが適切に見分ける方法なんてほぼ存在しないのに、さも、それ(しかも軽く時代遅れな方法)で見分けられるようなことをいうから批判される。
      「サイトにアクセスする際に注意すべきポイント」のうちの一つっていうならわかるけど。

      何かしら公式的なものだったら、リンクをたどらず検索するとか直打ちするとか、ブックマークしてるんならブックマークしとくとかあるかもしれないけどね。
      ただ、検索でも詐欺サイトでてくる可能性はあるし、ブックマークだって古いURLだったら詐欺サイトにつながってる可能性もあるから、難しいところ。

    • by Anonymous Coward

      .comとかは危ないけど、.co.jpなら大丈夫!

      なんて言ってた時代もありました。

      • by Anonymous Coward on 2019年11月12日 10時18分 (#3714736)

        安全性の面では、.comより.co.jpの方がはるかに安全
        少なくとも登記はされてるから実在証明の一部になり得る
        フィッシングで○○-co.jpなんていう.co.jpもどきのドメインが使われるのも、
        .co.jpが安全だと思っている人を騙すという目的もある
        絶対的な指標ではないけど、複数の要素から安全性を確認するための一要素であるのは今でも変わらない

        親コメント
        • by Anonymous Coward

          株式会社の称号を得るのに資本金1000万円が必要だったのに、今では1円起業も可能だもんなぁ。

        • by Anonymous Coward

          100ドル以下で適当なオフショア国に会社作って外国会社扱いでco.jpドメイン取れるのでco.jpにも意味ないぞ
          ドメイン業者がcomより高いco.jpを取らせるためのマーケティングに洗脳されてるな

          • by Anonymous Coward

            外国会社の登記をするには、ドメイン取得以上に厳格な存在証明が必要になるのでは。

          • by Anonymous Coward

            取るのにも面倒な時点で詐欺師が回避してくれる力はあると思うぞ

            あとco.jpはwhoisで必ず公開されるので、見たことも聞いたこともないような会社なら信用しないだけの話。

    • by Anonymous Coward

      フィッシング詐欺はサイバーオレオレ詐欺であって、手口は常に進化し続けている。「こうすれば安全」なんて方法があると思うのがそもそもの間違い

      • by Anonymous Coward
        「こうすれば安全」な方法も一緒に日々進化させればいいだけ
        それを機械化するのがお前らの仕事だろ
    • by Anonymous Coward

      この世に信頼して良いサイトなんて無い。
      ってのが正解だと思うが。

      大手通販会社でコンプラがしっかりしてそうなところでも
      設計ミスやバグなんて良く有るしね。

    • by Anonymous Coward

      今の所とりあえず会社名やURLをGoogle先生になげるのが最善ってところでしょう
      詐欺通販サイトとかならたいてい最上位に何かしら注意喚起記事が出てくる

    • by Anonymous Coward

      ・目的のサイトのドメイン名は覚えておく
      ・覚えていたドメイン名と一致していてhttpsで信頼できる証明書ならとりあえずよしとする。
          少なくともbankに行ったつもりがbonkとかbamkとかになってないとか
      ・DNSが毒ってたりしたら残念だったねと諦める
      あたりが現実的でしょうか?

犯人はmoriwaka -- Anonymous Coward

処理中...