アカウント名:
パスワード:
信頼できるサイトであれば多くのユーザーが警告メッセージを無視し、信頼できないサイトについては警告に対して慎重な姿勢を取る
そもそも自分がその「信頼できるサイト」相手につないでいるかどうかが疑わしいということを理解していないからこういう行動を取ると思われるわけですが、このためかFirefox 3.5からは
信頼できない接続 (タイトルバーの表示)接続の安全性を確認できません www.example.com に安全に接続するように求められましたが、接続の安全性が確認できませんでした。
のように、サイトではなく接続に問題があるのだということをさらに強調するようなメッセージになりました。接続を続行しようとすると、ダメ押しに
ただし、たとえこのサイトが信頼できるサイトであっても、誰かが通信を改ざんしているからこのエラー
うーん、それでもまだ長くて読めない、という人もいそうですから、「改竄の『可能性があります』」じゃなくて「『たぶん』盗聴されてます」ぐらいにしたほうが良いのかもしれません。
「銀行だから大丈夫だろう」っていうのだから、「銀行やお店などで、この警告が出るのは《異常事態》です」と知らせる必要がありますね。
ちなみにFxでは、冒頭の警告を無視してその怪しい証明書を受け入れようとすると、-----------------------------------------------------------------------------例外的に信頼する証明書としてこのサイトの証明書を登録しようとしています。本物の銀行、通信販売、その他の公開サイトがこの操作を求めることはありません。-----------------------------------------------------------------------------という警告(bold含めて原文ママ)が出てきます。# よくぞそこまで言い切った、と高木センセが褒めていた気がする。その上で[証明書を取得]→[セキュリティ例外を承認]と操作しないとアクセスできません。
欲を言えば、「次回以降にもこの例外を有効にする」のチェックはデフォルトでは外しておいてほしかった。
なぜそうなっていないかについて、 Mozilla Corporation の Johnathan Nightingale さんの説明を #1613243 [srad.jp] の人が紹介してくれていますのでどうぞ。
その結果、「firefoxではhttpsでも盗聴されているらしいので、IEを使った方が良いよ。」と言われてしまったりして・・・。
>当行の信用に関わるんじゃ?>それは早急に修正しなさい
ダメな銀行だと「それ」は「サイト」ではなく「ブラウザ」のほうだ、と判断する人が権力握ってそうだ。
つまり「そんなブラウザは当サイトのサポート対象から外せ!」と言われる…
エラーメッセージは、より「穏当」であるほうが望ましい、と本気で思ってる顧客にはしばしば出会います。どう説明したものやら…orz
さすがに銀行ではそんなこと無い、と思いたいですが…
#あとエラーは「悟りのお化け」だということを理解してない開発者/社もしばしば居ますし。#例外の扱いなんてのは、今自分がエラーをどう扱いたいか、ではなく、下からどれくらいの深刻度のエラーが挙がってしまったか、で決めないとならないんだがな。
別に「入手」なんかしなくても、期限切れの証明書なら偽造できますね。現在の暗号は理論上どれも十分に時間さえかければ必ず破れるもので、だからこそ証明書には期限が設けられているわけですから。
意味が変わらなくても、他の意味に解釈されるような表現となってしまっては困るわけですが、例えばどのような縮め方がありますでしょうか。
http://guideline.livedoor.biz/archives/51254216.html LESSON:2 Kanako:すいません。 Ken:あ?(どうしたのですか?) Kanako:駅へ行くには、どう行けば良いのですか? Ken:は?(この道をまっすぐ行くと花屋があります、そこを右に曲がってください。) Kanako:ありがとうございます。 Ken:舐めてんのかてめぇ(どういたしまして)
http://guideline.livedoor.biz/archives/51254216.html
LESSON:2 Kanako:すいません。 Ken:あ?(どうしたのですか?) Kanako:駅へ行くには、どう行けば良いのですか? Ken:は?(この道をまっすぐ行くと花屋があります、そこを右に曲がってください。) Kanako:ありがとうございます。 Ken:舐めてんのかてめぇ(どういたしまして)
こうですね、わかります。
可能性を述べるより、ちょっと長くなっても主体的な表現にすべき所ですね。ルート証明が最新であることを確認した上で、
未知の管理者による、不正なウェブサイトに接続しようとしています。続行すると、たとえウェブサイトを目的の通信相手が管理していたとしても、悪意のある第三者があなたの通信を盗聴できます。ウェブサイトの管理者に連絡し、正しく設定されたウェブサイトを作成してもらうか、盗聴の危険性を考慮して、パスワードなどの重要な情報を送信しないように注意してください。
未知の管理者による、不正なウェブサイトに接続しようとしています。続行すると、たとえウェブサイトを目的の通信相手が管理していたとしても、悪意のある第三者があなたの通信を盗聴できます。
ウェブサイトの管理者に連絡し、正しく設定されたウェブサイトを作成してもらうか、盗聴の危険性を考慮して、パスワードなどの重要な情報を送信しないように注意してください。
とかどうでしょう
>「改竄の『可能性があります』」じゃなくて「『たぶん』盗聴されてます」>ぐらいにしたほうが良いのかもしれません。
それは不正確で、誹謗中傷や名誉毀損、威力営業妨害になる可能性もあります。いまだに「証明書のエラーは無視してください」な企業も少なからず存在します。
また、多くの素人は「SSL証明書の信頼性」よりも、「相手企業の一般的な信頼性」の方を重視します。なぜなら、「SSL証明書」がなんなのか?その信頼性をどこが保証しているのか?どういうシステムになっているのか?といった「SSL証明書を信頼する根拠になる知識」がないからです。根本的に啓蒙がたりないのですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
Firefox 3.5ではさらに改善されてる (スコア:4, 参考になる)
そもそも自分がその「信頼できるサイト」相手につないでいるかどうかが疑わしいということを理解していないからこういう行動を取ると思われるわけですが、このためかFirefox 3.5からは
のように、サイトではなく接続に問題があるのだということをさらに強調するようなメッセージになりました。接続を続行しようとすると、ダメ押しに
Re:Firefox 3.5ではさらに改善されてる (スコア:5, すばらしい洞察)
うーん、それでもまだ長くて読めない、という人もいそうですから、
「改竄の『可能性があります』」じゃなくて「『たぶん』盗聴されてます」
ぐらいにしたほうが良いのかもしれません。
「銀行だから大丈夫だろう」っていうのだから、
「銀行やお店などで、この警告が出るのは《異常事態》です」
と知らせる必要がありますね。
Re:Firefox 3.5ではさらに改善されてる (スコア:2, 参考になる)
ちなみにFxでは、冒頭の警告を無視してその怪しい証明書を受け入れようとすると、
-----------------------------------------------------------------------------
例外的に信頼する証明書としてこのサイトの証明書を登録しようとしています。
本物の銀行、通信販売、その他の公開サイトがこの操作を求めることはありません。
-----------------------------------------------------------------------------
という警告(bold含めて原文ママ)が出てきます。
# よくぞそこまで言い切った、と高木センセが褒めていた気がする。
その上で[証明書を取得]→[セキュリティ例外を承認]と操作しないとアクセスできません。
欲を言えば、「次回以降にもこの例外を有効にする」のチェックはデフォルトでは外して
おいてほしかった。
Re:Firefox 3.5ではさらに改善されてる (スコア:2)
なぜそうなっていないかについて、 Mozilla Corporation の Johnathan Nightingale さんの説明を #1613243 [srad.jp] の人が紹介してくれていますのでどうぞ。
Re:Firefox 3.5ではさらに改善されてる (スコア:1, 興味深い)
いままでは「良くわからなくても、とりあえず OK ボタン押せばいいんです」という 説明でごまかせるような表示だったかもしれませんが、 明らかに疑問を喚起する作りになっているのであれば とりあえずの目的には合致していると言えるでしょう
Re:Firefox 3.5ではさらに改善されてる (スコア:2, おもしろおかしい)
その結果、「firefoxではhttpsでも盗聴されているらしいので、IEを使った方が良いよ。」と言われてしまったりして・・・。
Re:Firefox 3.5ではさらに改善されてる (スコア:1, 興味深い)
>当行の信用に関わるんじゃ?
>それは早急に修正しなさい
ダメな銀行だと
「それ」は「サイト」ではなく「ブラウザ」のほうだ、
と判断する人が権力握ってそうだ。
つまり「そんなブラウザは当サイトのサポート対象から外せ!」と言われる…
エラーメッセージは、より「穏当」であるほうが望ましい、と
本気で思ってる顧客には
しばしば出会います。
どう説明したものやら…orz
さすがに銀行ではそんなこと無い、と思いたいですが…
#あとエラーは「悟りのお化け」だということを理解してない開発者/社もしばしば居ますし。
#例外の扱いなんてのは、今自分がエラーをどう扱いたいか、ではなく、下からどれくらいの深刻度のエラーが挙がってしまったか、で決めないとならないんだがな。
Re: (スコア:0)
社内の報告システムで使っていたサーバの証明書が期限切れになりました。orz
自己署名証明書+フィンガープリント紙配布でいいから、対応してくれよ。
お客さんの目に触れないとは限らないものなので、信用を損ねないかとヒヤヒヤです。
現状では全く言い訳のしようが無い。
Re: (スコア:0)
悪意のある誰かが、期限切れの証明書を入手あるいは捏造して偽サーバを構築し、LANケーブルをこっそり差し替えるか何かで偽サーバに繋げさせてるのではないでしょうか。
本当のサーバはきちんと証明書は更新されてるんじゃないですか流石に。
Re:Firefox 3.5ではさらに改善されてる (スコア:2)
正規の証明書をつかった偽サーバのできあがり。
okome
Re: (スコア:0)
別に「入手」なんかしなくても、期限切れの証明書なら偽造できますね。現在の暗号は理論上どれも十分に時間さえかければ必ず破れるもので、だからこそ証明書には期限が設けられているわけですから。
Re: (スコア:0)
Re:Firefox 3.5ではさらに改善されてる (スコア:1, 参考になる)
ちゃんと認証局の署名のついた期限切れ証明書が期限切れて即偽造できるんなら問題でしょうが、十分に時間をかけなければ期限が切れていようがいまいが認証局の証明がついているかいないかぐらい見分けることはできます。
期限切れの証明書なんて作れるなら期限も偽装して作れるはずですが、作れた頃にはブラウザ内のルート証明書や中間証明書の期限が切れてます。中間証明書の期限切れかサーバ証明書の期限切れなのか見ることで偽物かただの期限切れなのかわかります。
それが何年くらいもつのかは、技術の進歩具合によるんでしょう。ルート証明書の期限が目安でしょうか。
サーバの1年更新程度の証明書が数日ぐらい期限超えたものがあっても、わかる人は目くじら立てずに多めに見てもいいんじゃないでしょうかって気分です。
VeriSignの署名付きの偽期限切れ証明書、できそうなら作ってみてください。楽しみです。
Re: (スコア:0)
意味が変わらなくても、他の意味に解釈されるような表現となってしまっては困るわけですが、
例えばどのような縮め方がありますでしょうか。
Re: (スコア:0)
こうですね、わかります。
Re:Firefox 3.5ではさらに改善されてる (スコア:1)
可能性を述べるより、ちょっと長くなっても主体的な表現にすべき所ですね。
ルート証明が最新であることを確認した上で、
とかどうでしょう
Re: (スコア:0)
Re:Firefox 3.5ではさらに改善されてる (スコア:1)
>「改竄の『可能性があります』」じゃなくて「『たぶん』盗聴されてます」
>ぐらいにしたほうが良いのかもしれません。
それは不正確で、誹謗中傷や名誉毀損、威力営業妨害になる可能性もあります。
いまだに「証明書のエラーは無視してください」な企業も少なからず存在します。
また、多くの素人は「SSL証明書の信頼性」よりも、「相手企業の一般的な信頼性」の方を重視します。
なぜなら、「SSL証明書」がなんなのか?その信頼性をどこが保証しているのか?どういうシステムになっているのか?といった「SSL証明書を信頼する根拠になる知識」がないからです。
根本的に啓蒙がたりないのですね。
ψアレゲな事を真面目にやることこそアレゲだと思う。