アカウント名:
パスワード:
本来、通信の暗号化と、サーバ認証は別のはずなのに、通信の暗号化を行うのにサーバ認証ガセットじゃないといけないっていう、押し売りシステムが採用されてる
サーバ鍵・サーバ証明書とかなくても、DH鍵交換を使えばちゃんと暗号化が可能
次期SSL/TLSは、サーバ認証なしで通信の暗号化だけ行うってのも選択可能なシステムにすればいい
SSL/TLSの規格上は、DH_anonが入っていて、匿名認証も可能です。
ただ、「誰かも保証されない相手」と暗号通信できたところで、守れるものはいったい何があるのでしょうか(つないだ相手が悪意の第三者、ということも考えられます)。実用問題としては、ブラウザでも通さないようになっています。
暗号化も認証もしない平文HTTPより、暗号化だけするHTTPSのほうがましでしょうまたいまはフィッシング詐欺業者が当たり前のように証明書とる時代、サーバ証明の価値が大きく下がってる
サーバ証明書はフィッシング詐欺犯名義じゃなく、大手CDN事業者名義になってることが多く、本物と区別がつかない
暗号化も認証もしない平文HTTPより、暗号化だけするHTTPSのほうがましでしょう
いまだこんな認識の人間がいるのか。
相手を認証しない暗号化はMITM攻撃にたいして全く無力です。盗聴のリスクをまったく防止できません。
MITM攻撃以外の盗聴を防止できることに価値を見出だしてしまう人がいるからでしょう。
開発者がそういう理解しがたい理由で無認証暗号通信という選択肢を拒むんでしょうね
経路で盗聴されることを防ぐのと通信相手が本物であることの証明は独立したことなのに
理解しがたいじゃなくて理解しろ。何度でも繰り返すが、一般に暗号化だけでは経路で盗聴されることを防ぐことはできない。セキュアでないものをセキュアだと思い込むのは立派なセキュリティリスクだし、具体的なメリットもなくセキュリティリスクを増やすのは技術者倫理に反する。
反論するなら具体例を示してみろよ。
盗聴が容易なアナログのコードレス電話を使うか、流通が制限されて相手が何者かがある程度保証されて、仮に送受信機が盗まれても執行処理ができる警察無線のようなシステムを選べ傍受は困難だけど、通話相手が何者かの保証はされていない、成りすましで電話に出られる等本質的には盗聴を防げないデジタルコードレス電話機みたいなのは要らないというようなもの
認証付き暗号しか認めない。気休めの暗号なんて要らない。いやなら平文通信しろって頑固すぎる
そうですね、頑固過ぎました。ここは雑談サイトなのだから、具体例に制限せず、的外れな喩え話も認めるべきでした。失礼しました。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
暗号化とサーバ認証をセットで押し売りするシステム (スコア:0)
本来、通信の暗号化と、サーバ認証は別のはずなのに、
通信の暗号化を行うのにサーバ認証ガセットじゃないといけないっていう、
押し売りシステムが採用されてる
サーバ鍵・サーバ証明書とかなくても、DH鍵交換を使えばちゃんと暗号化が可能
次期SSL/TLSは、サーバ認証なしで通信の暗号化だけ行うってのも選択可能なシステムにすればいい
Re: (スコア:0)
SSL/TLSの規格上は、DH_anonが入っていて、匿名認証も可能です。
ただ、「誰かも保証されない相手」と暗号通信できたところで、守れるものはいったい何があるのでしょうか(つないだ相手が悪意の第三者、ということも考えられます)。実用問題としては、ブラウザでも通さないようになっています。
Re: (スコア:0)
暗号化も認証もしない平文HTTPより、暗号化だけするHTTPSのほうがましでしょう
またいまはフィッシング詐欺業者が当たり前のように証明書とる時代、サーバ証明の価値が大きく下がってる
サーバ証明書はフィッシング詐欺犯名義じゃなく、大手CDN事業者名義になってることが多く、本物と区別がつかない
Re: (スコア:0)
いまだこんな認識の人間がいるのか。
相手を認証しない暗号化はMITM攻撃にたいして全く無力です。
盗聴のリスクをまったく防止できません。
Re: (スコア:0)
ぐだぐだ言わずに実装するだけなのに何を抵抗してるのか
Re: (スコア:0)
MITM攻撃以外の盗聴を防止できることに価値を見出だしてしまう人がいるからでしょう。
Re: (スコア:0)
開発者がそういう理解しがたい理由で無認証暗号通信という選択肢を拒むんでしょうね
経路で盗聴されることを防ぐのと通信相手が本物であることの証明は独立したことなのに
Re: (スコア:0)
理解しがたいじゃなくて理解しろ。
何度でも繰り返すが、一般に暗号化だけでは経路で盗聴されることを防ぐことはできない。
セキュアでないものをセキュアだと思い込むのは立派なセキュリティリスクだし、
具体的なメリットもなくセキュリティリスクを増やすのは技術者倫理に反する。
反論するなら具体例を示してみろよ。
Re: (スコア:0)
盗聴が容易なアナログのコードレス電話を使うか、流通が制限されて相手が何者かがある程度保証されて、仮に送受信機が盗まれても執行処理ができる警察無線のようなシステムを選べ
傍受は困難だけど、通話相手が何者かの保証はされていない、成りすましで電話に出られる等本質的には盗聴を防げない
デジタルコードレス電話機みたいなのは要らないというようなもの
認証付き暗号しか認めない。気休めの暗号なんて要らない。いやなら平文通信しろって頑固すぎる
Re:暗号化とサーバ認証をセットで押し売りするシステム (スコア:0)
そうですね、頑固過ぎました。
ここは雑談サイトなのだから、具体例に制限せず、的外れな喩え話も認めるべきでした。
失礼しました。