アカウント名:
パスワード:
おうちサーバのメールをGMailからPOP3s取得させてるみたいな、「ユーザは自分だけ」の場合でも認証機関が署名したSSL証明書を入手(業者から買ったり無料でもらったり)しないといけない、ということですか# ただのPOP3にするってのはできればナシの方向で。
imapもだよね。これを機会に個人向けの無料証明書でもとってみようかな。
# retrieving mail ってimapも含まないとか?
他人が発行する無料証明書より、俺様が発行したオレオレ証明書のほうがよっぽど信頼できるのに。
gmailなんて使わないけど、オレオレ証明書を敵視する風潮は嫌だな。
>他人が発行する無料証明書より、俺様が発行したオレオレ証明書のほうがよっぽど信頼できるのに。お前自身の「俺様は信頼できる」という主張なんぞ信頼できるものか。
ユーザーは自分のみという場合に限定すれば、自分が発行した証明書は、どこぞの他人が発行した無料証明書より、よっぽど自分自身にとっては信頼できると思いますよ。ただし自分以外の誰かが信頼できるかというと別の次元の問題。
今回は「Gmailがユーザー」ですから全く信用できないねという話にしかなりません。
自分を信じるんだ!!
…という話ではないの?
自分を信じるな!
お前を信じる俺を信じろ!!
どこの兄貴ですか
# 再放送するみたいですね
ここで言う信頼は「ある秘密鍵が漏れていない」という点に関する信頼だからね。内容を公にするならまだしも、自分で使うサービスで不利益を蒙るのも自分なら、俺俺でいいような気もする。マルウェアとかにやられちゃったらどうしようもないけれど、それでも諦めがつく、というか。
# ハードディスクが飛んで鍵を失くしたことならある。いや、バックアップとるのもマズいような気がしてたんだよね。何となく。
つ「部分信頼」
「信頼できない」とは「発言がいちいち真偽不明」という状態であり、「発言が一貫して偽であると期待できる」というわけではない。
「俺様は信頼できない」というコメントを偽と仮定すると矛盾が生じるが、真と仮定してもとくに矛盾は生じない。(たまたまこの発言は真だった)よって、信頼できる。
当然オレオレ認証局の鍵をブラウザとかクライアントに入れてるんだろうね
そうすればお前様はオレオレ証明書を信頼できるだろうけど
googleから見ればお前様がお前様であることを信頼できないだろ
Google から見て信頼できる必要はあるのか。どの認証局を信頼するかの判断をユーザが制御できなくてよいのか。
Google から見て信頼できる必要がないのであれば、SSL 経由にする必要もないお前様のPOPサーバを騙ってSPAMをgmailに注入できる可能性があるのは同じ
社内文書は社内の合意が取れてればあらかじめ伝えた三文判でいいが、社外に出すしかるべき文書は実印(鍵)と印鑑証明(認証局の証明)が必要ってこと
Gmail側の設定だって証明書作った本人がやるんだし別にいいんじゃないかな。
Google から見て信頼できる必要がないのであれば、SSL 経由にする必要もない
そりゃあかつて平文で流れていたかもしれないメールだけど、また平文で流れるのは嫌でしょ。
お前様のPOPサーバを騙ってSPAMをgmailに注入できる可能性があるのは同じ
偽のPOP3サーバならURLが証明書と一致してないだろうし、騙される可能性は低いと思う。逆に一致してたらもう色々手遅れ。
gmailにオレオレ証明書をインストールできるようにするという解はないのか?
今までなかったチェックをするようにするんだから、このぐらいできるようにしてからじゃないとダメだろ。
> お前様のPOPサーバを騙ってSPAMをgmailに注入できる可能性があるのは同じそれ spam とは関係ないんじゃね?
本来の POP サーバの認証情報を詐取される可能性はあるが、じゃなんで平文の POP を許容しているのだろう。digest 認証も対応していないみたいだし。
> 社内文書は社内の合意が取れてればあらかじめ伝えた三文判でいいが、メールサーバのユーザって、たいていは特定有限数なので、信頼できる方法で証明書を伝達できれば暗号強度さえあれば三文判で十分運用できるケースがあるんだよ。jbeef たんの言う第四種オレオレ証明書。
> 社外に出すしかるべき文書は実印(鍵)と印鑑証明(認証局の証明)が必要ってことむしろ「しかるべき文書」を Gmail で扱うな,と言いたい情報システム部門の方々は多いだろうね。S/MIME も PGP も使えないし。今ユーザから不条理な問い合わせが集中しているかも。せめて事前に周知してほしいよね。
オレオレ証明書を望む人にはこれが最適解だと思うが無償ユーザーにどこまでサービスするかという話
仮に有償でそういうサービスがあったとしても、普通に認証局の鍵買ったほうが安い予感
ニセモノも同じことを言うと思うけど……。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
オレオレでないSSL証明書が必要 (スコア:1)
おうちサーバのメールをGMailからPOP3s取得させてるみたいな、「ユーザは自分だけ」の場合でも
認証機関が署名したSSL証明書を入手(業者から買ったり無料でもらったり)しないといけない、と
いうことですか
# ただのPOP3にするってのはできればナシの方向で。
popだけじゃないよね。 (スコア:1)
imapもだよね。
これを機会に個人向けの無料証明書でもとってみようかな。
# retrieving mail ってimapも含まないとか?
スルースキル:Lv2
Keep It Simple, Stupid!
Re:popだけじゃないよね。 (スコア:1)
他人が発行する無料証明書より、
俺様が発行したオレオレ証明書のほうが
よっぽど信頼できるのに。
gmailなんて使わないけど、
オレオレ証明書を敵視する風潮は嫌だな。
Re:popだけじゃないよね。 (スコア:2, おもしろおかしい)
>他人が発行する無料証明書より、俺様が発行したオレオレ証明書のほうがよっぽど信頼できるのに。
お前自身の「俺様は信頼できる」という主張なんぞ信頼できるものか。
Re:popだけじゃないよね。 (スコア:1)
ユーザーは自分のみという場合に限定すれば、自分が発行した証明書は、どこぞの他人が発行した無料証明書より、よっぽど自分自身にとっては信頼できると思いますよ。ただし自分以外の誰かが信頼できるかというと別の次元の問題。
Re:popだけじゃないよね。 (スコア:1)
今回は「Gmailがユーザー」ですから全く信用できないねという話にしかなりません。
Re: (スコア:0)
自分を信じるんだ!!
…という話ではないの?
Re: (スコア:0)
自分を信じるな!
お前を信じる俺を信じろ!!
Re: (スコア:0)
どこの兄貴ですか
# 再放送するみたいですね
Re: (スコア:0)
ここで言う信頼は「ある秘密鍵が漏れていない」という点に関する信頼だからね。内容を公にするならまだしも、自分で使うサービスで不利益を蒙るのも自分なら、俺俺でいいような気もする。マルウェアとかにやられちゃったらどうしようもないけれど、それでも諦めがつく、というか。
# ハードディスクが飛んで鍵を失くしたことならある。いや、バックアップとるのもマズいような気がしてたんだよね。何となく。
Re: (スコア:0)
Re: (スコア:0)
つ「部分信頼」
Re: (スコア:0)
「信頼できない」とは「発言がいちいち真偽不明」という状態であり、
「発言が一貫して偽であると期待できる」というわけではない。
「俺様は信頼できない」というコメントを偽と仮定すると矛盾が生じるが、
真と仮定してもとくに矛盾は生じない。(たまたまこの発言は真だった)
よって、信頼できる。
Re:popだけじゃないよね。 (スコア:1)
当然オレオレ認証局の鍵をブラウザとかクライアントに入れてるんだろうね
そうすればお前様はオレオレ証明書を信頼できるだろうけど
googleから見ればお前様がお前様であることを信頼できないだろ
第4種 (スコア:0)
Google から見て信頼できる必要はあるのか。
どの認証局を信頼するかの判断をユーザが制御できなくてよいのか。
Re:第4種 (スコア:1)
Google から見て信頼できる必要がないのであれば、SSL 経由にする必要もない
お前様のPOPサーバを騙ってSPAMをgmailに注入できる可能性があるのは同じ
社内文書は社内の合意が取れてればあらかじめ伝えた三文判でいいが、社外に出すしかるべき文書は実印(鍵)と印鑑証明(認証局の証明)が必要ってこと
Re:第4種 (スコア:2)
Gmail側の設定だって証明書作った本人がやるんだし別にいいんじゃないかな。
そりゃあかつて平文で流れていたかもしれないメールだけど、また平文で流れるのは嫌でしょ。
偽のPOP3サーバならURLが証明書と一致してないだろうし、騙される可能性は低いと思う。
逆に一致してたらもう色々手遅れ。
Re: (スコア:0)
gmailにオレオレ証明書をインストールできるようにするという解はないのか?
今までなかったチェックをするようにするんだから、このぐらいできるようにしてからじゃないとダメだろ。
Re: (スコア:0)
> お前様のPOPサーバを騙ってSPAMをgmailに注入できる可能性があるのは同じ
それ spam とは関係ないんじゃね?
本来の POP サーバの認証情報を詐取される可能性はあるが、じゃなんで平文の POP を許容している
のだろう。digest 認証も対応していないみたいだし。
> 社内文書は社内の合意が取れてればあらかじめ伝えた三文判でいいが、
メールサーバのユーザって、たいていは特定有限数なので、信頼できる方法で証明書を伝達できれば
暗号強度さえあれば三文判で十分運用できるケースがあるんだよ。jbeef たんの言う第四種オレオレ
証明書。
> 社外に出すしかるべき文書は実印(鍵)と印鑑証明(認証局の証明)が必要ってこと
むしろ「しかるべき文書」を Gmail で扱うな,と言いたい情報システム部門の方々は
多いだろうね。S/MIME も PGP も使えないし。今ユーザから不条理な問い合わせが
集中しているかも。せめて事前に周知してほしいよね。
Re:第4種 (スコア:1)
オレオレ証明書を望む人にはこれが最適解だと思うが
無償ユーザーにどこまでサービスするかという話
仮に有償でそういうサービスがあったとしても、普通に認証局の鍵買ったほうが安い予感
Re:popだけじゃないよね。 (スコア:1)
httpやらpopやらだとユーザ層も使い方も違うので、sshの良い感じのバランスをそのまま導入と言うわけには行かないんでしょうけど、 もうちょっと何とかして欲しい場面は多々あります。
まあ、結局、そこまでして色んなプロトコルでSSLの導入を考えるぐらいなら、sshのポート転送やらSOCKSやらに乗っける方が楽なんですが。
Re: (スコア:0)
ニセモノも同じことを言うと思うけど……。