We still default to permanent exceptions. Sometimes people ask why we don’t do temporary exceptions which, being a lesser amount of trust, ought to be a safer default. The problem is, defaulting to temporary means that users see these error pages more often, which teaches them to ignore them. It also eliminates the modicum of protection we build up by being able to detect when a trusted self-signed cert changes. Ad
Firefox 3.5ではさらに改善されてる (スコア:4, 参考になる)
そもそも自分がその「信頼できるサイト」相手につないでいるかどうかが疑わしいということを理解していないからこういう行動を取ると思われるわけですが、このためかFirefox 3.5からは
のように、サイトではなく接続に問題があるのだということをさらに強調するようなメッセージになりました。接続を続行しようとすると、ダメ押しに
とも表示されます(太字も原文ママ)。まあいくら警告しても読んでもらえなければ意味がないのですが。
ところでカーネギーメロン大学は関連ストーリー [srad.jp]にあるPerspectives [cmu.edu]を開発した大学ですね。ComputerWorlsの取材に「無効な証明書を使った攻撃だと判断した場合は、アクセスを強制的に遮断するようにすべきだ」と答えているのは、やはりPerspectivesを念頭に置いているのでしょうか。
Re:Firefox 3.5ではさらに改善されてる (スコア:5, すばらしい洞察)
うーん、それでもまだ長くて読めない、という人もいそうですから、
「改竄の『可能性があります』」じゃなくて「『たぶん』盗聴されてます」
ぐらいにしたほうが良いのかもしれません。
「銀行だから大丈夫だろう」っていうのだから、
「銀行やお店などで、この警告が出るのは《異常事態》です」
と知らせる必要がありますね。
Re:Firefox 3.5ではさらに改善されてる (スコア:2, 参考になる)
ちなみにFxでは、冒頭の警告を無視してその怪しい証明書を受け入れようとすると、
-----------------------------------------------------------------------------
例外的に信頼する証明書としてこのサイトの証明書を登録しようとしています。
本物の銀行、通信販売、その他の公開サイトがこの操作を求めることはありません。
-----------------------------------------------------------------------------
という警告(bold含めて原文ママ)が出てきます。
# よくぞそこまで言い切った、と高木センセが褒めていた気がする。
その上で[証明書を取得]→[セキュリティ例外を承認]と操作しないとアクセスできません。
欲を言えば、「次回以降にもこの例外を有効にする」のチェックはデフォルトでは外して
おいてほしかった。
Re:Firefox 3.5ではさらに改善されてる (スコア:2)
なぜそうなっていないかについて、 Mozilla Corporation の Johnathan Nightingale さんの説明を #1613243 [srad.jp] の人が紹介してくれていますのでどうぞ。
Re:Firefox 3.5ではさらに改善されてる (スコア:1, 興味深い)
いままでは「良くわからなくても、とりあえず OK ボタン押せばいいんです」という 説明でごまかせるような表示だったかもしれませんが、 明らかに疑問を喚起する作りになっているのであれば とりあえずの目的には合致していると言えるでしょう
Re:Firefox 3.5ではさらに改善されてる (スコア:2, おもしろおかしい)
その結果、「firefoxではhttpsでも盗聴されているらしいので、IEを使った方が良いよ。」と言われてしまったりして・・・。
Re:Firefox 3.5ではさらに改善されてる (スコア:1, 興味深い)
>当行の信用に関わるんじゃ?
>それは早急に修正しなさい
ダメな銀行だと
「それ」は「サイト」ではなく「ブラウザ」のほうだ、
と判断する人が権力握ってそうだ。
つまり「そんなブラウザは当サイトのサポート対象から外せ!」と言われる…
エラーメッセージは、より「穏当」であるほうが望ましい、と
本気で思ってる顧客には
しばしば出会います。
どう説明したものやら…orz
さすがに銀行ではそんなこと無い、と思いたいですが…
#あとエラーは「悟りのお化け」だということを理解してない開発者/社もしばしば居ますし。
#例外の扱いなんてのは、今自分がエラーをどう扱いたいか、ではなく、下からどれくらいの深刻度のエラーが挙がってしまったか、で決めないとならないんだがな。
Re: (スコア:0)
社内の報告システムで使っていたサーバの証明書が期限切れになりました。orz
自己署名証明書+フィンガープリント紙配布でいいから、対応してくれよ。
お客さんの目に触れないとは限らないものなので、信用を損ねないかとヒヤヒヤです。
現状では全く言い訳のしようが無い。
Re: (スコア:0)
悪意のある誰かが、期限切れの証明書を入手あるいは捏造して偽サーバを構築し、LANケーブルをこっそり差し替えるか何かで偽サーバに繋げさせてるのではないでしょうか。
本当のサーバはきちんと証明書は更新されてるんじゃないですか流石に。
Re:Firefox 3.5ではさらに改善されてる (スコア:2)
正規の証明書をつかった偽サーバのできあがり。
okome
Re: (スコア:0)
別に「入手」なんかしなくても、期限切れの証明書なら偽造できますね。現在の暗号は理論上どれも十分に時間さえかければ必ず破れるもので、だからこそ証明書には期限が設けられているわけですから。
Re: (スコア:0)
Re:Firefox 3.5ではさらに改善されてる (スコア:1, 参考になる)
ちゃんと認証局の署名のついた期限切れ証明書が期限切れて即偽造できるんなら問題でしょうが、十分に時間をかけなければ期限が切れていようがいまいが認証局の証明がついているかいないかぐらい見分けることはできます。
期限切れの証明書なんて作れるなら期限も偽装して作れるはずですが、作れた頃にはブラウザ内のルート証明書や中間証明書の期限が切れてます。中間証明書の期限切れかサーバ証明書の期限切れなのか見ることで偽物かただの期限切れなのかわかります。
それが何年くらいもつのかは、技術の進歩具合によるんでしょう。ルート証明書の期限が目安でしょうか。
サーバの1年更新程度の証明書が数日ぐらい期限超えたものがあっても、わかる人は目くじら立てずに多めに見てもいいんじゃないでしょうかって気分です。
VeriSignの署名付きの偽期限切れ証明書、できそうなら作ってみてください。楽しみです。
Re: (スコア:0)
意味が変わらなくても、他の意味に解釈されるような表現となってしまっては困るわけですが、
例えばどのような縮め方がありますでしょうか。
Re: (スコア:0)
こうですね、わかります。
Re:Firefox 3.5ではさらに改善されてる (スコア:1)
可能性を述べるより、ちょっと長くなっても主体的な表現にすべき所ですね。
ルート証明が最新であることを確認した上で、
とかどうでしょう
Re: (スコア:0)
Re:Firefox 3.5ではさらに改善されてる (スコア:1)
>「改竄の『可能性があります』」じゃなくて「『たぶん』盗聴されてます」
>ぐらいにしたほうが良いのかもしれません。
それは不正確で、誹謗中傷や名誉毀損、威力営業妨害になる可能性もあります。
いまだに「証明書のエラーは無視してください」な企業も少なからず存在します。
また、多くの素人は「SSL証明書の信頼性」よりも、「相手企業の一般的な信頼性」の方を重視します。
なぜなら、「SSL証明書」がなんなのか?その信頼性をどこが保証しているのか?どういうシステムになっているのか?といった「SSL証明書を信頼する根拠になる知識」がないからです。
根本的に啓蒙がたりないのですね。
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re:Firefox 3.5ではさらに改善されてる (スコア:4, すばらしい洞察)
>まあいくら警告しても読んでもらえなければ意味がないのですが。
というか、極言すると、なんぼ「警告」したって意味がない。
ユーザーが知りたいのは「じゃあどうすればいいのか」なのであって。
起こっていることを伝えるだけのメッセージでは、
「そんなこといわれても俺はこのサイトを利用したいんだ! OK!」という人を止めることはできない。
Re: (スコア:0)
もうね、分かりやすい表現がいいんじゃね。
「盗聴されている恐れがあります。
ただちに切断しますか?」
# この際正確性には目をつぶってもらおう。
# 技術情報はクリックしたら確認出来るようにしておいてもらえばいいよ。
Re: (スコア:0)
「この通信は盗聴されています。接続を切断します。」
でおk
そこで一言 (スコア:1)
Firefox 「この通信な、盗聴されているんだ、盗聴。お前ら全員やばいんだぞ。」
ユーザー「エディー!」
# お約束
vyama 「バグ取れワンワン」
実際にある (スコア:0)
信頼できない証明書が使用されているため、接続できません。
みたいなことを言ってくれる携帯電話やらが実際にいるという罠。
そのサーバーは実機テスト用に立ててもらった信頼できないけど繋いでいいサーバーなんです、どうか何卒ご勘弁を・・・orz
Re: (スコア:0)
#1613231の例文、
未知の管理者による、不正なウェブサイトに接続しようとしています。
続行すると、たとえウェブサイトを目的の通信相手が管理していたとしても、
悪意のある第三者があなたの通信を盗聴できます。
が正しいとすると、こういう警告を突破したいのは「善意の第三者に盗聴されてもしかたない」ケースなんだから、ダメったらダメいますぐ接続切って首つれとか言っても、それが受け入れられることはないよ。
本番とテスト環境の区別が付いてない方が・・・ (スコア:0)
事実w 何を馬鹿なことを。
テストフェーズで使うSSL証明書は、テスト環境が本物であることを確認するために入れられるのではありません。
本番環境が本物であることを確認させるために、そのSSLの環境に対応したアプリを開発するために使われるのです。
別にテスト環境が本物であることを証明する必要はありま
Re: (スコア:0)
こう書けばおバカさんにもわかるかな?
Re:本番とテスト環境の区別が付いてない方が・・・ (スコア:1, 参考になる)
ひょっとして、完全性や機密性がそれほど要求されないシチュエーションというのが理解できないのだろうか・・・?
限られた関係者しか使わない状況下でもブラウザに完璧なセキュリティを要求されると困りますね、という話なんだが。
誰がサーバーの完全性を保証してほしいなどと言ったのだ?
それとも、1000円を保管するためでも必ず10万円もするような金庫が必要だというのか?
リスクに見合った対策をするのは当たり前 [kogures.com]だぞ?
Re: (スコア:0)
何を言っているのかはわかるが、何がやりたいんだか全く理解できない典型だな。
君は自分の主張だけじゃなく、相手が何を求めているのかを理解する努力をした方が良い。
君以外の誰かにとって、テスト環境におけるSSLの完全性なんてどーでもよい (工学的な意味で) 話なのだよ。
Re: (スコア:0)
AC じゃ誰が誰だか分からないからまとめてこっちにぶら下げるけど、
>ひょっとして、完全性や機密性がそれほど要求されないシチュエーションというのが理解できないのだろうか・・・?
>何がやりたいんだか全く理解できない典型だな。
おまえら全員ツリーを最初から声に出して読み直せ。
そんなのどーでもいーからテストさせてくれよーと言いたい気持ちはわかるって書いてるだろ?
その気持ちはよくわかるし、それを咎めるつもりもない。
オレが言いたいのは、その不満に対する愚痴が不適切だってこと。
Re: (スコア:0)
なんというかだれがだれかわかんないけど、携帯ごときにごちゃごちゃいうなよ、おれはテスト項目に丸つけてさっさとかえいりたいんよ!ということかと。
Re: (スコア:0)
なるほど、一般論として一見さんが誤解するから困る、という話か。それは確かに失礼した。
事前知識なしにSSLの話の中で「繋いでいいサーバーなんです」だけ読めば、確かに誤解を招く余地はある。
ここだけ、まだ微妙にわかってないみたいなので一応フォロー。
このケースは、そもそも「運用としてリスクを織り込んでる」から「問題ない」んだってば。
そもそもSSL証明書を配置し
Re:本番とテスト環境の区別が付いてない方が・・・ (スコア:1)
完全性や機密性がそれほど要求されないシチュエーションならhttpでいいのでは?
man-in-the-middleで盗聴/改変される可能性がある環境では、httpも信頼できない証明書によるhttpsも完全性や機密性に差はありません。(ここ重要。httpと信頼できる証明書によるhttpsの中間と思ってる人がいるようですが)
限られた関係者しか使わない状況下なら、関係者のブラウザにあらかじめ俺俺証明書を手動インストールして(関係者が)「信頼できる証明書」にしてしまえばいい。
前述のテスト環境の話で言うなら、(携帯は知らないけど手動インスコできないなら)「完全性や機密性が要求される実環境で動くかどうかのテスト」でもあり、かつ「証明書は今3000円/年くらいから」なので許容できるコストだと思いますが
Re: (スコア:0)
あります。なぜかないことにしたい人が多いようですが。
Re: (スコア:0)
> # 技術情報はクリックしたら確認出来るようにしておいてもらえばいいよ。
Firefoxはまさにそうなってますけど。
まあまだ前口上が長すぎるかもしれませんが「切断しますか?」と尋ねてクリック1回で続行できるような構造にはなっていません。
Re: (スコア:0)
複数の端末で「セキュリティ証明書に問題があります」と表示される
ようになったので、その旨問い合わせたところ
・接続しているサーバが自己証明書を利用している場合、ユーザの
パソコンに登録されている証明書の情報では証明書を確認できない
ため、その表示が出る
・ユーザ側で対応の必要はない
・問題ないので安心してください
という趣旨の返答がきました。
「どうすればいいのか」という問いに対する正解は、「その企業ごと全部
利用しない」ですか?
#そういうわけにもいかない
Re:Firefox 3.5ではさらに改善されてる (スコア:1)
とか表示するとか。
-- 哀れな日本人専用(sorry Japanese only) --
それなんて詐欺? (スコア:0)
とりあえず1つめは正確ではない。
こうして過剰反応詐欺師は今日も生まれる。
Re: (スコア:0)
直接行っても (スコア:2)
会社の所在地をその会社のウェブサイトで調べて、会社を訪問して証明書の内容を確認してきたのでさあ安心と思ったら、じつはウェブサイトに書かれていた所在地も改竄されていて、訪問した会社自体が巧妙に似せた偽物だった、とか。
Re: (スコア:0)
リアル詐欺で都心の一等地に架空の事業所をデッチ上げたりするのはよくある手口ですね。
認証局の実在証明というのはそういうところも含めて審査してくれるわけで、無駄に高い金を取っているわけではないはずなのですが…。
Re: (スコア:0)
Re: (スコア:0)
それもズバリ表示されてます。
自ら詐欺にかかりたがっている奴に何言っても無駄だからって、振り込め詐欺の注意喚起そのものが無意味ということにはならないでしょう。
Re:Firefox 3.5ではさらに改善されてる (スコア:1)
敵の次の一手は、「ただし、たとえこのサイトが(中略)注意してください。 」で検索すると、「このエラーで困ったときはこのパッチ当てればOK」と懇切丁寧に手順まで書いてあるサイトが検索の上位に来るようがんばることでしょうか。
# パッチと言わずキーロガーでもインストールさせりゃ、とも思ったけど、
# それじゃ明らかに犯罪になっちゃうので、配布サイトは法的手段で潰されやすい。
# 一方、危険改造版FireFoxは改悪が比較的簡単だし、改造・配布してもなお合法。
## だから、オープンソースじゃないブラウザの方が安全なんだよ!! ・・・というキャンペーンが起こらないことを祈る
Re: (スコア:0)
Firefoxを名乗るのにはそれなりの条件 [mozilla-japan.org]を満さないと違法ですが。
Re:Firefox 3.5ではさらに改善されてる (スコア:1)
>さらに、変更されたソフトウェアのユーザが正規の Mozilla 製品を使っていると勘違いしないようにするため、実行ファイルの名称も変更しなればなりません。
とか、この程度の悪巧みはすでに対策済みなんですね。
Re:Firefox 3.5ではさらに改善されてる (スコア:1)
その点、OutlookなどのMUAの電子署名に関する警告は良く考えて作られていますよね。WEBブラウザもスピードとか、ユーザビリティとか、かっこよっさとかの前に、基本に立ち返って警告メッセージのあり方を考えるべきだと思います。
Re: (スコア:0)
こういう話もありますね。
Re: (スコア:0)
Re: (スコア:0)
Firefox3.5の警告が大きく出て、接続するために数クリック必要なデザインはいいと思うのですが
危険性を分かった上で接続するときの設定に不満があります
警告画面で例外を追加→証明書を取得→セキュリティ例外を承認とクリックしていくときに
「次回以降にもこの例外を有効にする」というチェックボックスがデフォルトで有効になっていて
いちいちこのチェックボックスを外すのが面倒です
何故、このような設定になっているのでしょうか。
Re: (スコア:0)
「接続の安全性」って何ですか? で、わからないからそのまま進めて終わりじゃないのかな。
ウイルスに感染しています、危険なスクリプトがあります、というような具体的な表現じゃないと、わからない利用者は多いと思う。
偽装? 証明書の期限が切れただけで偽装されんの? って利用者が大半でしょう。期限なんてどれだけ金払ってるかだけの目安でしかないんですから。具体的な危険があれば挙げてみようかと思うんですが、証明書が期限切れなだけで危険な場合って具体的な例があんまり思いつきません。同じ期間利用している有効期限が1年(期限切れ)と有効期限2年(期限内)の証明書の違いって何でしょう。
管理者が更新忘れたかそうでないか、それに対して保証等々があるかないかの違いぐらいしか思いつきませんよ。
確認する手段が多少面倒になるだけで、同じではないかのぉ?
という問題を出すと、まじめに考えてみるか、ただ期限が切れたら何がなんでも危ないと主張するだけか。
そのあたりまじめに検証ってされてるんでしょうか?