アカウント名:
パスワード:
そのような証明書で一体何を「証明」するというのか、またその「証明」する内容が果たして一般の利用者の「安全」に寄与しているのかと思うと甚だ疑問です。
暗号化通信を実現しているじゃない。そのドメインの所有者との暗号化通信をしていることが証明される。それがSSLの基本機能でしょうが。
実在性を認証していない証明書が警告も表示されずに受け入れられてしまうというのは、ドメインスクワッティングと組み合わせる事で、SSLで暗号化された中間者攻撃を容易に実現できるものです。
ドメインを間違いなく確認する手だてがあればいい話。例えばパスワードマネージャとか。 逆に、実在証明があったところで利用者が何も確認しないんじゃ何も解決しない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
サーバ証明書? (スコア:-1, 荒らし)
Re: (スコア:3, 興味深い)
いずれの技術も、巧みなマーケティングと情報操作によって
「必要不可欠なもの」の座を見事に勝ち取った。
必要以上に一般人の不安を煽り、導入していないのは悪だ無謀だとの認識を広め、
一部の企業が莫大な利益を上げている。
たちが悪いのは、「一般的な安全性」のハードルを上げることに成功しているため、
「導入せずとも安全だ」との角度から攻めても絶対に論破できないからである。
現実世界に例えれば、空き巣の被害にあった家庭に対して、
誰もが「セコムしてなきゃ当然だ。」と思うようになってしまったようなもの。
# オフトピであることには変わりないですが・・・
Re: (スコア:0)
これはどうかと思います。
情報セキュリティ絡みの仕事をしていますが、実際問題、まだまだ全然、
この手の仕事ができる人や企業は少なすぎると思います。
「被害にあったのでどうにかしたい」という人は、増える一方で減る気配すらありません。
正直な所、業界は正直なデータを出してるにも関わらず、一般の人(もちろん
大半は被害を受けた事が無い、しかし母数が圧倒的に大きい)からは、それでも
「狼少年」扱いされている、というのが現状です。
一般の人からすれば交通事故に当たる程度の確率かもしれませんが、
病院が圧倒的に少ない、という状況でしょうか。
Re: (スコア:0)
> 「狼少年」扱いされている、というのが現状
データは正直でも、導入・運営ノウハウまで売り物にしちゃうと、うさん臭く思われるのは仕方がないと思う。ノウハウが売れるというのは、内容が一般的に知られていないわけで。ブラックボックスの値段が正当かどうかというのは判断しにくいから。ドメイン取るぐらいの気軽さになれば、解消されるんじゃないですか。
Re: (スコア:1)
ただしドメインを取る位の安全性しか担保されていませんから、Whoisに書かれた内容が信頼できるか否かという程度の安全性でしか有りません。
安全はタダでは有りません。当然ですね。
ちなみに、そのような証明書で一体何を「証明」するというのか、またその「証明」する内容が果たして一般の利用者の「安全」に寄与しているのかと思うと甚だ疑問です。
実在性を認証していない証明書が警告も表示されずに受け入れられてしまうというのは、ドメインスクワッティングと組み合わせる事で、SSLで暗号化された中間者攻撃を容易に実現できるものです。証明書を取得する「費用」だけが攻撃者がその方法を取らない唯一の理由であり、攻撃者が期待する「利益」がその「費用」より大きいのなら、そのような証明書の存在は利用者の「安全」に寄与するどころか、むしろ「危険」に曝しているに過ぎないと思います。
Re: (スコア:0)
暗号化通信を実現しているじゃない。そのドメインの所有者との暗号化通信をしていることが証明される。それがSSLの基本機能でしょうが。
ドメインを間違いなく確認する手だてがあればいい話。例えばパスワードマネージャとか。
逆に、実在証明があったところで利用者が何も確認しないんじゃ何も解決しない。
Re:サーバ証明書? (スコア:1)
> 暗号化通信を実現しているじゃない。そのドメインの所有者との暗号化通信をしていることが証明される。それがSSLの基本機能でしょうが。
いいえ、それは違います。
まず一般に実在性を認証したサーバ証明書の発行対象はドメイン所有者では「ありません」。そのドメインを利用したWebサイトの運営主体となっている個人や団体です。
つまりexample.jpのドメイン登録者がnisigutiで、example.jpのドメイン名を使って/.Jが運営されているとすると、そのサーバ証明書の発行対象は/.Jであってnisigutiでは有りません。
またドメインの到達性を認証したサーバ証明書の発行対象もドメイン所有者では「ありません」。あくまでもその「ドメイン」であって、実際にはWhoisに登録者として記載された人物とは別の人かも知れません。Whois情報に正しい情報を記載するのはあくまでも紳士協定的な物であって、実在性確認をした証明書とは、信頼度は全く異なるものです。