アカウント名:
パスワード:
信頼できるサイトであれば多くのユーザーが警告メッセージを無視し、信頼できないサイトについては警告に対して慎重な姿勢を取る
そもそも自分がその「信頼できるサイト」相手につないでいるかどうかが疑わしいということを理解していないからこういう行動を取ると思われるわけですが、このためかFirefox 3.5からは
信頼できない接続 (タイトルバーの表示)接続の安全性を確認できません www.example.com に安全に接続するように求められましたが、接続の安全性が確認できませんでした。
のように、サイトではなく接続に問題があるのだということをさらに強調するようなメッセージになりました。接続を続行しようとすると、ダメ押しに
ただし、たとえこのサイトが信頼できるサイトであっても、誰かが通信を改ざんしているからこのエラー
>まあいくら警告しても読んでもらえなければ意味がないのですが。
というか、極言すると、なんぼ「警告」したって意味がない。ユーザーが知りたいのは「じゃあどうすればいいのか」なのであって。
起こっていることを伝えるだけのメッセージでは、「そんなこといわれても俺はこのサイトを利用したいんだ! OK!」という人を止めることはできない。
もうね、分かりやすい表現がいいんじゃね。
「盗聴されている恐れがあります。 ただちに切断しますか?」
# この際正確性には目をつぶってもらおう。# 技術情報はクリックしたら確認出来るようにしておいてもらえばいいよ。
「この通信は盗聴されています。接続を切断します。」
でおk
Firefox 「この通信な、盗聴されているんだ、盗聴。お前ら全員やばいんだぞ。」
ユーザー「エディー!」
# お約束
信頼できない証明書が使用されているため、接続できません。
みたいなことを言ってくれる携帯電話やらが実際にいるという罠。 そのサーバーは実機テスト用に立ててもらった信頼できないけど繋いでいいサーバーなんです、どうか何卒ご勘弁を・・・orz
未知の管理者による、不正なウェブサイトに接続しようとしています。 続行すると、たとえウェブサイトを目的の通信相手が管理していたとしても、 悪意のある第三者があなたの通信を盗聴できます。
が正しいとすると、こういう警告を突破したいのは「善意の第三者に盗聴されてもしかたない」ケースなんだから、ダメったらダメいますぐ接続切って首つれとか言っても、それが受け入れられることはないよ。
問題はそのサーバーが繋いでいいかどうかではありません。 繋がっているのが本当にそのサーバーかどうかが証明できないのです。 そんなのどーでもいーからテストさせてくれよー、と言いたい気持ちはわかりますけど、 あなたが間違ったことを口走ってることは事実。
事実w 何を馬鹿なことを。 テストフェーズで使うSSL証明書は、テスト環境が本物であることを確認するために入れられるのではありません。 本番環境が本物であることを確認させるために、そのSSLの環境に対応したアプリを開発するために使われるのです。 別にテスト環境が本物であることを証明する必要はありま
問題はその テスト用 サーバーが繋いでいいかどうかではありません。繋がっているのが本当にその テスト用 サーバーかどうかが証明できないのです。
こう書けばおバカさんにもわかるかな?
ひょっとして、完全性や機密性がそれほど要求されないシチュエーションというのが理解できないのだろうか・・・? 限られた関係者しか使わない状況下でもブラウザに完璧なセキュリティを要求されると困りますね、という話なんだが。 誰がサーバーの完全性を保証してほしいなどと言ったのだ?
それとも、1000円を保管するためでも必ず10万円もするような金庫が必要だというのか? リスクに見合った対策をするのは当たり前 [kogures.com]だぞ?
何を言っているのかはわかるが、何がやりたいんだか全く理解できない典型だな。君は自分の主張だけじゃなく、相手が何を求めているのかを理解する努力をした方が良い。君以外の誰かにとって、テスト環境におけるSSLの完全性なんてどーでもよい (工学的な意味で) 話なのだよ。
AC じゃ誰が誰だか分からないからまとめてこっちにぶら下げるけど、
>ひょっとして、完全性や機密性がそれほど要求されないシチュエーションというのが理解できないのだろうか・・・?>何がやりたいんだか全く理解できない典型だな。おまえら全員ツリーを最初から声に出して読み直せ。そんなのどーでもいーからテストさせてくれよーと言いたい気持ちはわかるって書いてるだろ?その気持ちはよくわかるし、それを咎めるつもりもない。
オレが言いたいのは、その不満に対する愚痴が不適切だってこと。
そのサーバーは実機テスト用に立ててもらった信頼できないけど繋いでいいサーバーなんです
なんというかだれがだれかわかんないけど、携帯ごときにごちゃごちゃいうなよ、おれはテスト項目に丸つけてさっさとかえいりたいんよ!ということかと。
なるほど、一般論として一見さんが誤解するから困る、という話か。それは確かに失礼した。 事前知識なしにSSLの話の中で「繋いでいいサーバーなんです」だけ読めば、確かに誤解を招く余地はある。
そんなのどーでもいーからテストさせてくれよーと言いたい気持ちはわかるって書いてるだろ? その気持ちはよくわかるし、それを咎めるつもりもない。
ここだけ、まだ微妙にわかってないみたいなので一応フォロー。 このケースは、そもそも「運用としてリスクを織り込んでる」から「問題ない」んだってば。 そもそもSSL証明書を配置し
完全性や機密性がそれほど要求されないシチュエーションならhttpでいいのでは?man-in-the-middleで盗聴/改変される可能性がある環境では、httpも信頼できない証明書によるhttpsも完全性や機密性に差はありません。(ここ重要。httpと信頼できる証明書によるhttpsの中間と思ってる人がいるようですが)
限られた関係者しか使わない状況下なら、関係者のブラウザにあらかじめ俺俺証明書を手動インストールして(関係者が)「信頼できる証明書」にしてしまえばいい。
前述のテスト環境の話で言うなら、(携帯は知らないけど手動インスコできないなら)「完全性や機密性が要求される実環境で動くかどうかのテスト」でもあり、かつ「証明書は今3000円/年くらいから」なので許容できるコストだと思いますが
何故にそういう結論になる? 実機で画面デザインを見たいとか使用感を試したいとかいくらでも試験ケースは考えられるでしょ? SSLを使う=安全な通信がしたい、というわけではないのですよ。
後、盗聴だの改竄だのの書き込みが絶えないけど、テスト太郎だのの個人情報が漏れて何か困るの? むしろ問題点は、開発中のシステムが盗聴・改竄できるほど漏洩していることじゃないの? セキュリティ対策の優先度が違うでしょ?
> # 技術情報はクリックしたら確認出来るようにしておいてもらえばいいよ。Firefoxはまさにそうなってますけど。まあまだ前口上が長すぎるかもしれませんが「切断しますか?」と尋ねてクリック1回で続行できるような構造にはなっていません。
とか表示するとか。
その企業に直接行って、自己署名証明書の内容を確認してくる、というのもいいんじゃないでしようか。
会社の所在地をその会社のウェブサイトで調べて、会社を訪問して証明書の内容を確認してきたのでさあ安心と思ったら、じつはウェブサイトに書かれていた所在地も改竄されていて、訪問した会社自体が巧妙に似せた偽物だった、とか。
リアル詐欺で都心の一等地に架空の事業所をデッチ上げたりするのはよくある手口ですね。認証局の実在証明というのはそういうところも含めて審査してくれるわけで、無駄に高い金を取っているわけではないはずなのですが…。
ユーザーが知りたいのは「じゃあどうすればいいのか」なのであって。
それもズバリ表示されてます。
どうすればよいのか? これまでこのサイトに問題なく接続できていた場合、このエラーが表示されるのは誰かがこのサイトになりすましている可能性があるということであり、接続すべきではありません。
自ら詐欺にかかりたがっている奴に何言っても無駄だからって、振り込め詐欺の注意喚起そのものが無意味ということにはならないでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
Firefox 3.5ではさらに改善されてる (スコア:4, 参考になる)
そもそも自分がその「信頼できるサイト」相手につないでいるかどうかが疑わしいということを理解していないからこういう行動を取ると思われるわけですが、このためかFirefox 3.5からは
のように、サイトではなく接続に問題があるのだということをさらに強調するようなメッセージになりました。接続を続行しようとすると、ダメ押しに
Re:Firefox 3.5ではさらに改善されてる (スコア:4, すばらしい洞察)
>まあいくら警告しても読んでもらえなければ意味がないのですが。
というか、極言すると、なんぼ「警告」したって意味がない。
ユーザーが知りたいのは「じゃあどうすればいいのか」なのであって。
起こっていることを伝えるだけのメッセージでは、
「そんなこといわれても俺はこのサイトを利用したいんだ! OK!」という人を止めることはできない。
Re: (スコア:0)
もうね、分かりやすい表現がいいんじゃね。
「盗聴されている恐れがあります。
ただちに切断しますか?」
# この際正確性には目をつぶってもらおう。
# 技術情報はクリックしたら確認出来るようにしておいてもらえばいいよ。
Re: (スコア:0)
「この通信は盗聴されています。接続を切断します。」
でおk
そこで一言 (スコア:1)
Firefox 「この通信な、盗聴されているんだ、盗聴。お前ら全員やばいんだぞ。」
ユーザー「エディー!」
# お約束
vyama 「バグ取れワンワン」
実際にある (スコア:0)
信頼できない証明書が使用されているため、接続できません。
みたいなことを言ってくれる携帯電話やらが実際にいるという罠。
そのサーバーは実機テスト用に立ててもらった信頼できないけど繋いでいいサーバーなんです、どうか何卒ご勘弁を・・・orz
Re: (スコア:0)
#1613231の例文、
未知の管理者による、不正なウェブサイトに接続しようとしています。
続行すると、たとえウェブサイトを目的の通信相手が管理していたとしても、
悪意のある第三者があなたの通信を盗聴できます。
が正しいとすると、こういう警告を突破したいのは「善意の第三者に盗聴されてもしかたない」ケースなんだから、ダメったらダメいますぐ接続切って首つれとか言っても、それが受け入れられることはないよ。
本番とテスト環境の区別が付いてない方が・・・ (スコア:0)
事実w 何を馬鹿なことを。
テストフェーズで使うSSL証明書は、テスト環境が本物であることを確認するために入れられるのではありません。
本番環境が本物であることを確認させるために、そのSSLの環境に対応したアプリを開発するために使われるのです。
別にテスト環境が本物であることを証明する必要はありま
Re: (スコア:0)
こう書けばおバカさんにもわかるかな?
Re:本番とテスト環境の区別が付いてない方が・・・ (スコア:1, 参考になる)
ひょっとして、完全性や機密性がそれほど要求されないシチュエーションというのが理解できないのだろうか・・・?
限られた関係者しか使わない状況下でもブラウザに完璧なセキュリティを要求されると困りますね、という話なんだが。
誰がサーバーの完全性を保証してほしいなどと言ったのだ?
それとも、1000円を保管するためでも必ず10万円もするような金庫が必要だというのか?
リスクに見合った対策をするのは当たり前 [kogures.com]だぞ?
Re: (スコア:0)
何を言っているのかはわかるが、何がやりたいんだか全く理解できない典型だな。
君は自分の主張だけじゃなく、相手が何を求めているのかを理解する努力をした方が良い。
君以外の誰かにとって、テスト環境におけるSSLの完全性なんてどーでもよい (工学的な意味で) 話なのだよ。
Re: (スコア:0)
AC じゃ誰が誰だか分からないからまとめてこっちにぶら下げるけど、
>ひょっとして、完全性や機密性がそれほど要求されないシチュエーションというのが理解できないのだろうか・・・?
>何がやりたいんだか全く理解できない典型だな。
おまえら全員ツリーを最初から声に出して読み直せ。
そんなのどーでもいーからテストさせてくれよーと言いたい気持ちはわかるって書いてるだろ?
その気持ちはよくわかるし、それを咎めるつもりもない。
オレが言いたいのは、その不満に対する愚痴が不適切だってこと。
Re: (スコア:0)
なんというかだれがだれかわかんないけど、携帯ごときにごちゃごちゃいうなよ、おれはテスト項目に丸つけてさっさとかえいりたいんよ!ということかと。
Re: (スコア:0)
なるほど、一般論として一見さんが誤解するから困る、という話か。それは確かに失礼した。
事前知識なしにSSLの話の中で「繋いでいいサーバーなんです」だけ読めば、確かに誤解を招く余地はある。
ここだけ、まだ微妙にわかってないみたいなので一応フォロー。
このケースは、そもそも「運用としてリスクを織り込んでる」から「問題ない」んだってば。
そもそもSSL証明書を配置し
Re:本番とテスト環境の区別が付いてない方が・・・ (スコア:1)
完全性や機密性がそれほど要求されないシチュエーションならhttpでいいのでは?
man-in-the-middleで盗聴/改変される可能性がある環境では、httpも信頼できない証明書によるhttpsも完全性や機密性に差はありません。(ここ重要。httpと信頼できる証明書によるhttpsの中間と思ってる人がいるようですが)
限られた関係者しか使わない状況下なら、関係者のブラウザにあらかじめ俺俺証明書を手動インストールして(関係者が)「信頼できる証明書」にしてしまえばいい。
前述のテスト環境の話で言うなら、(携帯は知らないけど手動インスコできないなら)「完全性や機密性が要求される実環境で動くかどうかのテスト」でもあり、かつ「証明書は今3000円/年くらいから」なので許容できるコストだと思いますが
Re: (スコア:0)
あります。なぜかないことにしたい人が多いようですが。
SSLを使う=安全な通信がしたい、ではない(テスト環境) (スコア:0)
何故にそういう結論になる? 実機で画面デザインを見たいとか使用感を試したいとかいくらでも試験ケースは考えられるでしょ?
SSLを使う=安全な通信がしたい、というわけではないのですよ。
後、盗聴だの改竄だのの書き込みが絶えないけど、テスト太郎だのの個人情報が漏れて何か困るの?
むしろ問題点は、開発中のシステムが盗聴・改竄できるほど漏洩していることじゃないの?
セキュリティ対策の優先度が違うでしょ?
Re: (スコア:0)
> # 技術情報はクリックしたら確認出来るようにしておいてもらえばいいよ。
Firefoxはまさにそうなってますけど。
まあまだ前口上が長すぎるかもしれませんが「切断しますか?」と尋ねてクリック1回で続行できるような構造にはなっていません。
Re: (スコア:0)
複数の端末で「セキュリティ証明書に問題があります」と表示される
ようになったので、その旨問い合わせたところ
・接続しているサーバが自己証明書を利用している場合、ユーザの
パソコンに登録されている証明書の情報では証明書を確認できない
ため、その表示が出る
・ユーザ側で対応の必要はない
・問題ないので安心してください
という趣旨の返答がきました。
「どうすればいいのか」という問いに対する正解は、「その企業ごと全部
利用しない」ですか?
#そういうわけにもいかない
Re:Firefox 3.5ではさらに改善されてる (スコア:1)
とか表示するとか。
-- 哀れな日本人専用(sorry Japanese only) --
それなんて詐欺? (スコア:0)
とりあえず1つめは正確ではない。
こうして過剰反応詐欺師は今日も生まれる。
Re: (スコア:0)
直接行っても (スコア:2)
会社の所在地をその会社のウェブサイトで調べて、会社を訪問して証明書の内容を確認してきたのでさあ安心と思ったら、じつはウェブサイトに書かれていた所在地も改竄されていて、訪問した会社自体が巧妙に似せた偽物だった、とか。
Re: (スコア:0)
リアル詐欺で都心の一等地に架空の事業所をデッチ上げたりするのはよくある手口ですね。
認証局の実在証明というのはそういうところも含めて審査してくれるわけで、無駄に高い金を取っているわけではないはずなのですが…。
Re: (スコア:0)
Re: (スコア:0)
それもズバリ表示されてます。
自ら詐欺にかかりたがっている奴に何言っても無駄だからって、振り込め詐欺の注意喚起そのものが無意味ということにはならないでしょう。
Re: (スコア:0)
100%なわけがない。1%の可能性と100%の可能性を同程度に語られると迷惑ですよ。