アカウント名:
パスワード:
「『緑色だから安全』ではなく会社名を確認しなさい」と言っているわけだが。
> 会社名を確認しなさい
まず、これが大きな間違い。会社名は安全ではない。
ちゃんと登記されている会社で、フィッシングサイトではなくEV-SSLもバッチリだけど、単に悪徳企業とかね。
「会社名を確認しなさい」っていうのは単に登記されてるかとか見ろという話しじゃなくて、信頼できる会社かチェックしろという意味でしょ・・・
はい、信頼してはいけません。
マジな話、外部に全部丸投げしてる結果なわけで本当に信頼出来ないよ、それ。
役所じゃないけど3Dセキュアでカード会社以外、しかもwhoisで確認しないと会社名すら確認できないサイトに飛ばすのマジやめてほしい。cafis-paynet.jpって何なんだよw
社会人になって、有名企業の闇を目の当たりにして、信頼とはなんだろうと。まぁ、闇の深さでは官公庁がアレゲですが。
Доверя́й, но проверя́й [wikipedia.org]という諺を知らんのか信頼というのは思考停止して依存していいという話ではない
だから何を検証すればいいのさ。思考停止言うのは簡単だけど。
トヨタや三菱、東電といった過去に問題を起こした企業は何をやったところで信用されないでしょうから駄目でしょうね。
逆だよ。問題があっても責任を追及できるから「信用」できるんだよ。大企業が信用できる一番の理由はそれ。信用ってのはいろんな要素が絡むんだリスクマネジメントなんだよ。
例えば、AmazonのサイトへのリンクをクリックしたつもりでAmasonを表示していることに気付くにはどうすれば良いかって話じゃ無いの?
身分詐称するタイプの詐欺に共通の問題で、今のところ有効な解決策は無いと思うが。
ミドリ安全なら大丈夫だな。
ミドリ電子ってミドリ安全の子会社だったんだ。知らんかった。ミドリ十字は関係ないよね?
「EV証明書に関しては単にサイトの運営社名を保証するだけであり」と書いてあるから"会社名だけでは信頼できませんよ" ということでは?
そうでなく、自分が情報を送信しようとしているサイトが情報を送信しようとしている会社と一致していますか?ということを確認しなさいってこと。
緑だから安全ではなくて、自分で判断出来るようにしなさいよ。そうしないと危険ですよ。というところまで解説せずに「緑色なら安全」と解説するところはあまりにも無責任でしょ。と高木先生は言っているわけだ。
最近のChrome(バージョン77以降)やFirefox(バージョン70以降)ではEV証明書でも緑色にならなくなったので、誰でも簡単に見分ける方法は、残念ですが減りつつあります。
EV証明書の緑色と組織名表示であたかも誰でも簡単に見分けられるかのような幻想を与えるのが有害だから仕様が変わったんだよ。「残念ながら」と言っているようでは何もわかっていない
それは確かにそうなんだけど、企業名まで表示しなくなったのは残念だとも思ってる。DVとEV(OVも含んでいい)では、存在確認という埋めがたい差があるのだから。
EVの存在確認すら正確性を担保できてないからSSLを存在証明に使うのは辞めたって流れだったような
でもこれって認証局の信頼性も併せて確認するってんじゃダメなのかな。Symantecが信用できないとなれば何を信用すればいいんだって話もあるけど、逆にWoSignとか「明らかに信用できない」って奴と同列に語るのも無理筋だとも思う。あと日本にいればセコムの信頼性の高さは最高レベルだし。
SymantecはSSL事業ごと売り飛ばして逃亡したじゃないか、WoSignは論外だが
人の話を鵜呑みにしないこと。自分で判断して自分なりの信頼基準を作ること。
友人・知人になる時とかも、そうじゃありませんか?
その友人・知人のアナロジーが成立しない(#3714461)というのが……
いやだから"その友人が信用している友人まで信用"しちゃだめでしょ? 同様に、”その友人が中が悪いだけ”で、”その友人が信用していない”のも理由にならない。別ルートで裏を取る。例えばgo.jp とかのドメイン名を信用判断に加えるとか。CMで流してるドメインと同じかとか。
大金払ってURLバーの色が緑だから信頼できるという、SSL業者の価格差マーケティングはもう10数年前に終わったしな
基本は、目的のホスト名+HTTPS、なら安心していい、と言えるでしょ。google.comのHTTPSなら安全だけど、HTTPSになってない(壊れてる)google.comは危険。
見知らぬホストなら、HTTPSであろうがなかろうが信頼はできない。鍵で判断しようってのがそもそもの間違い。
# Googleも裏で何してるかわからんから安全とは言えないのでは、という反論は認める
基本的に「目的のホスト名」とやらが正しいのか何て殆ど分からんと思うんですが……https://srad.co.jp/comment/3714313 [srad.co.jp] のコメントみてどう思う?
サーバが見つかりませんでした。
あれー? と30秒ぐらい首をひねったよ…
最近は、サブオプションの最初だけ無料なのを”無料”とでっかく書いてものをうる商法がはやってるらしいぞ。インターネットはクーリングオフの対象ではないのでどうにもならないらしい。儲けが費用を上回るならEVSSL買うくらいわけない。
つまり比較的安全な手順としてはこれでいいんじゃない?1. 複数のソースから大規模な DNS, CDN 攻撃が行われていないことを確認する。2. google 等の大手検索サイトにブックマークからアクセスする。3. 検索サイトの証明書が正しいことを確認する。4. 対象サービスを検索して上位のサイトにアクセスする。5. 対象のサイトの証明書が正しいことを確認する。
> 1. 複数のソースから大規模な DNS, CDN 攻撃が行われていないことを確認する。
どのサイトにもアクセスせずに、「複数のソースから大規模な DNS, CDN 攻撃が行われていないことを確認する」方法を教えてください。
ルータやらDNSハックされてたら、ホスト名が合っててHTTPSでも駄目だしなぁ。ちょっと前もルート証明書もれてたとかもあるので証明書のシグネチャぐらいは覚えてないと駄目かも。
結局、これだけ見れば大丈夫と保証できるもんは無いし、かといって全部確認してまわってたら何も出来ない。
そのために証明書があるんじゃんwいくらDNSハックされててもPCのルート証明書を改竄されてない限りはCN,OU,O,LとSANsのDNSは信用していいので。
逆に、どれかの情報が嘘だったら全く信用してはいけないし、OとかOUが欠けてたら信用性は低い。
> 証明書のシグネチャぐらいは覚えてないと駄目かも
もしかして:証明書の fingerprint (thumbprint)証明書のシグネチャ(部分)はちょっと長いから覚えるのは辛いと思う。
じゃあ結局、本当の意味での「信頼できるサイトの見分け方」って何なの?
で、信じる者はすくわれると
# 主に足元を
数多あるサイトを指しているのであれば、そんなものはないでしょ。見分け方を知ってるから批判してるっていうよりも、誰しもが適切に見分ける方法なんてほぼ存在しないのに、さも、それ(しかも軽く時代遅れな方法)で見分けられるようなことをいうから批判される。「サイトにアクセスする際に注意すべきポイント」のうちの一つっていうならわかるけど。
何かしら公式的なものだったら、リンクをたどらず検索するとか直打ちするとか、ブックマークしてるんならブックマークしとくとかあるかもしれないけどね。ただ、検索でも詐欺サイトでてくる可能性はあるし、ブックマークだって古いURLだったら詐欺サイトにつながってる可能性もあるから、難しいところ。
.comとかは危ないけど、.co.jpなら大丈夫!
なんて言ってた時代もありました。
安全性の面では、.comより.co.jpの方がはるかに安全少なくとも登記はされてるから実在証明の一部になり得るフィッシングで○○-co.jpなんていう.co.jpもどきのドメインが使われるのも、.co.jpが安全だと思っている人を騙すという目的もある絶対的な指標ではないけど、複数の要素から安全性を確認するための一要素であるのは今でも変わらない
株式会社の称号を得るのに資本金1000万円が必要だったのに、今では1円起業も可能だもんなぁ。
100ドル以下で適当なオフショア国に会社作って外国会社扱いでco.jpドメイン取れるのでco.jpにも意味ないぞドメイン業者がcomより高いco.jpを取らせるためのマーケティングに洗脳されてるな
外国会社の登記をするには、ドメイン取得以上に厳格な存在証明が必要になるのでは。
取るのにも面倒な時点で詐欺師が回避してくれる力はあると思うぞ
あとco.jpはwhoisで必ず公開されるので、見たことも聞いたこともないような会社なら信用しないだけの話。
フィッシング詐欺はサイバーオレオレ詐欺であって、手口は常に進化し続けている。「こうすれば安全」なんて方法があると思うのがそもそもの間違い
この世に信頼して良いサイトなんて無い。ってのが正解だと思うが。
大手通販会社でコンプラがしっかりしてそうなところでも設計ミスやバグなんて良く有るしね。
今の所とりあえず会社名やURLをGoogle先生になげるのが最善ってところでしょう詐欺通販サイトとかならたいてい最上位に何かしら注意喚起記事が出てくる
・目的のサイトのドメイン名は覚えておく・覚えていたドメイン名と一致していてhttpsで信頼できる証明書ならとりあえずよしとする。 少なくともbankに行ったつもりがbonkとかbamkとかになってないとか・DNSが毒ってたりしたら残念だったねと諦めるあたりが現実的でしょうか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
結局のところ (スコア:2)
「信頼できるサイトの見分け方」
って何なの?
他人の批判ばかりしていないで教えてほしい。
Re:結局のところ (スコア:1)
「『緑色だから安全』ではなく会社名を確認しなさい」と言っているわけだが。
Re: (スコア:0)
> 会社名を確認しなさい
まず、これが大きな間違い。
会社名は安全ではない。
Re: (スコア:0)
ちゃんと登記されている会社で、フィッシングサイトではなくEV-SSLもバッチリだけど、単に悪徳企業とかね。
Re: (スコア:0)
「会社名を確認しなさい」っていうのは単に登記されてるかとか見ろという話しじゃなくて、
信頼できる会社かチェックしろという意味でしょ・・・
Re: (スコア:0)
これは信用できない詐欺サイトに誘導されたということでいいですか?
Re: (スコア:0)
はい、信頼してはいけません。
マジな話、外部に全部丸投げしてる結果なわけで本当に信頼出来ないよ、それ。
Re: (スコア:0)
役所じゃないけど3Dセキュアでカード会社以外、しかもwhoisで確認しないと会社名すら確認できないサイトに飛ばすのマジやめてほしい。
cafis-paynet.jpって何なんだよw
Re: (スコア:0)
社会人になって、有名企業の闇を目の当たりにして、信頼とはなんだろうと。
まぁ、闇の深さでは官公庁がアレゲですが。
Re: (スコア:0)
Доверя́й, но проверя́й [wikipedia.org]という諺を知らんのか
信頼というのは思考停止して依存していいという話ではない
Re: (スコア:0)
だから何を検証すればいいのさ。思考停止言うのは簡単だけど。
Re: (スコア:0)
トヨタや三菱、東電といった過去に問題を起こした企業は何をやったところで信用されないでしょうから駄目でしょうね。
Re: (スコア:0)
逆だよ。
問題があっても責任を追及できるから「信用」できるんだよ。大企業が信用できる一番の理由はそれ。
信用ってのはいろんな要素が絡むんだリスクマネジメントなんだよ。
Re: (スコア:0)
例えば、AmazonのサイトへのリンクをクリックしたつもりでAmasonを表示していることに気付くにはどうすれば良いかって話じゃ無いの?
身分詐称するタイプの詐欺に共通の問題で、今のところ有効な解決策は無いと思うが。
Re: (スコア:0)
ミドリ安全なら大丈夫だな。
Re: (スコア:0)
ミドリ電子ってミドリ安全の子会社だったんだ。知らんかった。
ミドリ十字は関係ないよね?
Re: (スコア:0)
「EV証明書に関しては単にサイトの運営社名を保証するだけであり」と書いてあるから
"会社名だけでは信頼できませんよ" ということでは?
Re:結局のところ (スコア:1)
そうでなく、自分が情報を送信しようとしているサイトが情報を送信しようとしている会社と一致していますか?ということを確認しなさいってこと。
緑だから安全ではなくて、自分で判断出来るようにしなさいよ。そうしないと危険ですよ。というところまで解説せずに「緑色なら安全」と解説するところはあまりにも無責任でしょ。と高木先生は言っているわけだ。
Re:結局のところ (スコア:1)
最近のChrome(バージョン77以降)やFirefox(バージョン70以降)ではEV証明書でも緑色にならなくなったので、誰でも簡単に見分ける方法は、残念ですが減りつつあります。
Re: (スコア:0)
EV証明書の緑色と組織名表示であたかも誰でも簡単に見分けられるかのような幻想を与えるのが有害だから仕様が変わったんだよ。「残念ながら」と言っているようでは何もわかっていない
Re: (スコア:0)
それは確かにそうなんだけど、企業名まで表示しなくなったのは残念だとも思ってる。
DVとEV(OVも含んでいい)では、存在確認という埋めがたい差があるのだから。
Re: (スコア:0)
EVの存在確認すら正確性を担保できてないからSSLを存在証明に使うのは辞めたって流れだったような
Re: (スコア:0)
でもこれって認証局の信頼性も併せて確認するってんじゃダメなのかな。
Symantecが信用できないとなれば何を信用すればいいんだって話もあるけど、
逆にWoSignとか「明らかに信用できない」って奴と同列に語るのも無理筋だとも思う。
あと日本にいればセコムの信頼性の高さは最高レベルだし。
Re: (スコア:0)
SymantecはSSL事業ごと売り飛ばして逃亡したじゃないか、WoSignは論外だが
Re:結局のところ (スコア:1)
人の話を鵜呑みにしないこと。
自分で判断して自分なりの信頼基準を作ること。
友人・知人になる時とかも、そうじゃありませんか?
Re: (スコア:0)
その友人・知人のアナロジーが成立しない(#3714461)というのが……
Re:結局のところ (スコア:1)
いやだから"その友人が信用している友人まで信用"しちゃだめでしょ?
同様に、”その友人が中が悪いだけ”で、”その友人が信用していない”のも理由にならない。別ルートで裏を取る。
例えばgo.jp とかのドメイン名を信用判断に加えるとか。CMで流してるドメインと同じかとか。
Re: (スコア:0)
大金払ってURLバーの色が緑だから信頼できるという、SSL業者の価格差マーケティングはもう10数年前に終わったしな
Re: (スコア:0)
基本は、目的のホスト名+HTTPS、なら安心していい、と言えるでしょ。
google.comのHTTPSなら安全だけど、HTTPSになってない(壊れてる)google.comは危険。
見知らぬホストなら、HTTPSであろうがなかろうが信頼はできない。
鍵で判断しようってのがそもそもの間違い。
# Googleも裏で何してるかわからんから安全とは言えないのでは、という反論は認める
Re:結局のところ (スコア:1)
基本的に「目的のホスト名」とやらが正しいのか何て殆ど分からんと思うんですが……
https://srad.co.jp/comment/3714313 [srad.co.jp] のコメントみてどう思う?
Re: (スコア:0)
サーバが見つかりませんでした。
あれー? と30秒ぐらい首をひねったよ…
Re: (スコア:0)
最近は、サブオプションの最初だけ無料なのを”無料”とでっかく書いてものをうる商法がはやってるらしいぞ。
インターネットはクーリングオフの対象ではないのでどうにもならないらしい。
儲けが費用を上回るならEVSSL買うくらいわけない。
Re: (スコア:0)
つまり比較的安全な手順としてはこれでいいんじゃない?
1. 複数のソースから大規模な DNS, CDN 攻撃が行われていないことを確認する。
2. google 等の大手検索サイトにブックマークからアクセスする。
3. 検索サイトの証明書が正しいことを確認する。
4. 対象サービスを検索して上位のサイトにアクセスする。
5. 対象のサイトの証明書が正しいことを確認する。
Re: (スコア:0)
> 1. 複数のソースから大規模な DNS, CDN 攻撃が行われていないことを確認する。
どのサイトにもアクセスせずに、「複数のソースから大規模な DNS, CDN 攻撃が行われていないことを確認する」方法を教えてください。
Re: (スコア:0)
ルータやらDNSハックされてたら、ホスト名が合っててHTTPSでも駄目だしなぁ。
ちょっと前もルート証明書もれてたとかもあるので証明書のシグネチャぐらいは覚えてないと駄目かも。
結局、これだけ見れば大丈夫と保証できるもんは無いし、かといって全部確認してまわってたら何も出来ない。
Re:結局のところ (スコア:1)
そのために証明書があるんじゃんw
いくらDNSハックされててもPCのルート証明書を改竄されてない限りはCN,OU,O,LとSANsのDNSは信用していいので。
逆に、どれかの情報が嘘だったら全く信用してはいけないし、OとかOUが欠けてたら信用性は低い。
Re:結局のところ (スコア:1)
> 証明書のシグネチャぐらいは覚えてないと駄目かも
もしかして:証明書の fingerprint (thumbprint)
証明書のシグネチャ(部分)はちょっと長いから覚えるのは辛いと思う。
Re: (スコア:0)
じゃあ結局、本当の意味での
「信頼できるサイトの見分け方」
って何なの?
で、信じる者はすくわれると
# 主に足元を
Re: (スコア:0)
数多あるサイトを指しているのであれば、そんなものはないでしょ。
見分け方を知ってるから批判してるっていうよりも、誰しもが適切に見分ける方法なんてほぼ存在しないのに、さも、それ(しかも軽く時代遅れな方法)で見分けられるようなことをいうから批判される。
「サイトにアクセスする際に注意すべきポイント」のうちの一つっていうならわかるけど。
何かしら公式的なものだったら、リンクをたどらず検索するとか直打ちするとか、ブックマークしてるんならブックマークしとくとかあるかもしれないけどね。
ただ、検索でも詐欺サイトでてくる可能性はあるし、ブックマークだって古いURLだったら詐欺サイトにつながってる可能性もあるから、難しいところ。
Re: (スコア:0)
.comとかは危ないけど、.co.jpなら大丈夫!
なんて言ってた時代もありました。
Re:結局のところ (スコア:1)
安全性の面では、.comより.co.jpの方がはるかに安全
少なくとも登記はされてるから実在証明の一部になり得る
フィッシングで○○-co.jpなんていう.co.jpもどきのドメインが使われるのも、
.co.jpが安全だと思っている人を騙すという目的もある
絶対的な指標ではないけど、複数の要素から安全性を確認するための一要素であるのは今でも変わらない
Re: (スコア:0)
株式会社の称号を得るのに資本金1000万円が必要だったのに、今では1円起業も可能だもんなぁ。
Re: (スコア:0)
100ドル以下で適当なオフショア国に会社作って外国会社扱いでco.jpドメイン取れるのでco.jpにも意味ないぞ
ドメイン業者がcomより高いco.jpを取らせるためのマーケティングに洗脳されてるな
Re: (スコア:0)
外国会社の登記をするには、ドメイン取得以上に厳格な存在証明が必要になるのでは。
Re: (スコア:0)
取るのにも面倒な時点で詐欺師が回避してくれる力はあると思うぞ
あとco.jpはwhoisで必ず公開されるので、見たことも聞いたこともないような会社なら信用しないだけの話。
Re: (スコア:0)
フィッシング詐欺はサイバーオレオレ詐欺であって、手口は常に進化し続けている。「こうすれば安全」なんて方法があると思うのがそもそもの間違い
Re: (スコア:0)
それを機械化するのがお前らの仕事だろ
Re: (スコア:0)
この世に信頼して良いサイトなんて無い。
ってのが正解だと思うが。
大手通販会社でコンプラがしっかりしてそうなところでも
設計ミスやバグなんて良く有るしね。
Re: (スコア:0)
今の所とりあえず会社名やURLをGoogle先生になげるのが最善ってところでしょう
詐欺通販サイトとかならたいてい最上位に何かしら注意喚起記事が出てくる
Re: (スコア:0)
・目的のサイトのドメイン名は覚えておく
・覚えていたドメイン名と一致していてhttpsで信頼できる証明書ならとりあえずよしとする。
少なくともbankに行ったつもりがbonkとかbamkとかになってないとか
・DNSが毒ってたりしたら残念だったねと諦める
あたりが現実的でしょうか?