アカウント名:
パスワード:
何もかにも一緒くたにしてダメだダメだ言う前に、なぜそういうものが存在するのがもう少し頭を使って考えるべきです。クリティカルな個人情報に対してオレオレ証明書を使う銀行やネットショップがあるのであれば、するべきことは機械的な排除ではなく、人的な手段による糾弾や啓蒙です。
ただし、スーパーでもコンドームとか買った場合は透明のビニール袋ではなく紙袋に入れてくれますよね。これはまぎれもなく暗号化です。 個人情報や決済手段への認証などのやり取りはオレオレ証明ではまずいかもしれませんが、そういうもの以外の「見られて何か被害が出るわけではないけど気分的にあんまり見られたくないもの」っていうのも実際問題けっこうあるんではないかと。
それがオレオレ容認派の大きな勘違い。その紙袋は本当にそのスーパーから受け取った紙袋ですか?スーパーの店員からあなたの手に渡るまでの間に、誰か知らない人が覗き見たり、中身を盗んだりしていませんか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
根本的な原因は (スコア:0, 興味深い)
SSL証明書って単純に暗号化だけしたい場合にはメンドクサイんですよね・・・
Re:根本的な原因は (スコア:1)
されてますと言うのは、ここでの「意味が全く無い」は「最悪の場合同じ被害を被りうる」という意味で、 暗号アルゴリズムの専門家にとっては「全く無意味」なだけで、社会生活を送る上でも無意味かどうかはまた微妙だと思うんですが。通信とは関係ない要素が含まれてくるので。
# スーパーでリンゴを買ったとして、そのリンゴが本物だという保証は?
# 本物じゃなかった場合に、その損害分を確実に取り返す事は出来るのか?
# 文句を言いに行ったところで、スーパーが夜逃げして消えてたら?
# 結局この場合は、多分そんな事は起こらないだろう(100円200円の買い物にそんなレアケースまで考えてたら生活できない)と言うあたりが落とし所
1. 通販サイトを名乗るどこかの誰かに自分のカード番号を悪用される
2. 隣に座ってる同僚(その他通信路を見張れる誰か)にカード番号を悪用される
暗号化無しの場合は、攻撃されると1も2も防げない。
自己証明書で暗号化された通信の場合は、どちらも防げない。ただし、2の攻撃はマン・イン・ザ・ミドルが必要になる分、攻撃の難易度が上がり攻撃を検出しやすい(?)。
ちゃんと署名された証明書でのhttps通信の場合は、2は確実に防げる(通信相手が同僚とぐるの場合は除く。そもそも通信の問題ではない)。1は、「相手が少なくともそのアドレスをDNSに登録している誰か」であることまでは保証される。されるんですよね? 何だか、妖しい格安SSL証明書発行屋さんとか、それどころか無料で発行してくれるとことかもあると噂に聞きましたが・・・。まあ、大手の有名なアドレスなら、誰かが悪用しようと横からこそっと取っても即座に本物が叩きつぶすはず、と信じてます。誰かが先に気付いて祭りになって自分が第一被害者にはなるまい、とも。
要は、SSL証明書は、スーパーが明日にも潰れそうか繁盛しているかと言ったような信用度を量る参考でしかなく、 そこからどう判断するかは個々人に委ねられてるんだと思ってます。が、素人の生兵法は危険なので、略して「専門家の言うことを聞いとけ」で、「ブラウザの実装ガンバレ」になるのかと。
# 個人利用ではsshの初回接続時に鍵を記録してという実装が良い落とし所だと思う。
Re: (スコア:0)
スーパー側も客が何者でも関係ありません、買ってく商品の分だけお金払ってくれれば良いだけです。
この相互に証明関係は基本的には存在していません。
ただし、スーパーでもコンドームとか買った場合は透明のビニール袋ではなく紙袋に入れてくれますよね。
これはまぎれもなく暗号化です。
個人情報や決済手段への認証などのやり取りはオレオレ証明ではまずいかもしれませんが、
そういうもの以外の「見られて何か被害が出るわけではないけど気分的にあんまり見られたくないもの」っていうのも
実際問題けっこうあるんではないかと。
何もかにも一緒くたにしてダメだダメだ言う前に、なぜそういうものが存在するのがもう少し頭を使って考えるべきです。
クリティカルな個人情報に対してオレオレ証明書を使う銀行やネットショップがあるのであれば、
するべきことは機械的な排除ではなく、人的な手段による糾弾や啓蒙です。
Re:根本的な原因は (スコア:1)
存在していないように見えるだけで、無意識にやってますよ、と言う意見だったんですが。
客側としては、いつも行ってるスーパーで缶詰を買うならいちいち賞味期限をチェックしたりしませんが、 知らない街の埃被った個人商店で買うなら、大丈夫かな?とチェックしますよね。 店側も、フルフェイスの片言日本語の人が100円の買い物に1万円札出したら、 普段よりしっかり本物の札かどうかチェックするでしょう。その前に入店断られるかも知れませんが。
&gr;何もかにも一緒くたにしてダメだダメだ言う前に、なぜそういうものが存在するのがもう少し頭を使って考えるべきです。
それは大いに同意見です。
出された例だと、紙袋を赤外線なんかで箱の大きさを透視して店で売ってる品リストと付き合わせて・・・、 とかまでやられれば、「貴方の買ったのはコンドームですね?」と一発でバレるでしょう。 でもまあ、そこまでやる意味もないから奴も居なかろうし、バレてもちょっと嫌な思い程度だから、 このぐらいのセキュリティでいいかな、と。
ネットでのオレオレ証明書でも、そのぐらいのセキュリティは確保できるからいいやん、とも思うんですが、 オレオレ証明書の場合、例えば「薬局」と「薬局に見せかけた、個人が注文した物を晒して楽しむ釣りサイト」との区別が 付けられないあたりがちょっと問題です。
まあ、結局、みんながみんな徹底的に考えて行動する訳じゃないから、平均的な安全性向上のため、機械的に排除するのもやむを得ないかと。銀行ATMで振り込みしようとしたら「本当にその振り込みは必要なものですか!!?」と出たり、振り込み金額に上限が設けられてたりして不便なのと同じかと。
Re: (スコア:0)
Re: (スコア:0)
それがオレオレ容認派の大きな勘違い。
その紙袋は本当にそのスーパーから受け取った紙袋ですか?
スーパーの店員からあなたの手に渡るまでの間に、誰か知らない人が覗き見たり、中身を盗んだりしていませんか?
Re: (スコア:0)
だから目の前の相手(店員なのか偽店員なのかは知ったこっちゃない。それともいちいひチェーン本部に身分を照会しますか?)と自分の間のやりとりを、たまたま居合わせた第三者から隠蔽したいだけなんですって。わかってくださいよ。
Re: (スコア:0)
あなたの直接の相手はそのたまたま居合わせた第三者かもしれないのに。
Re: (スコア:0)