アカウント名:
パスワード:
> こういったメールアドレスをユーザーが取得> できてしまうと、第三者が勝手にそのドメイン> でのSSL証明書を入手できる可能性がある。
第三者が取得できるとなにが危険なんですか?
EV-SSLのようにサーバーまでを保証しようとするならば第三者を保証してほしくないけど、
単にセキュア通信のためのSSLなら第三者が取得したからともともと以上の危険はないんじゃない?
「セキュアな通信」を本来想定している通信相手以外に行ってしまったらそれはセキュアな通信じゃないんですが…君、証明書に関する警告が出ても一切無視するタイプでしょ?
取得だけされてもねぇ・・・wその証明書を利用するためには、第2段階が必要。(DNSポイゾニングや正規のウェブサーバーに侵入してインストールしなきゃならん)
公衆無線 LAN とか学校なんかで偽 AP を立てて中間者攻撃をするのは結構簡単ですよ。SSL Pinning されていなければ気付けないはず。
>中間者攻撃をするのは結構簡単ですよ。
攻撃するならSSLなくても、、、
オマエは何を言ってるんだ?
えっ?マジで言ってるの?元々そういう時の為の証明書ですよ。
example.comがフリーメールアドレスを取れるサービスを提供していたとして、「危ないからadmin、administrator、webmaster、hostmasterは取れないようにしておこう」としていたけど、「sslwebmaster」は弾いていなくて、そうするとBuyHTTPでは「sslwebmaster@example.com」でSSL証明書が取得できてしまう、という話ですよね。
で、取得したexample.comの証明書で悪さしようとした場合にはDNSポイゾニングで自分のサーバにアクセスさせるか、正規のexample.comサーバに仕込まないとだめだ、と#2789816は言いたいのではないでしょうか。
> 自分のサーバにアクセスさせるか
証明書を持ってるんでアクセスは簡単ですよ。そういうこともわからないで何を語っているんですかw?
なにいってんだおまえ…?
> DNSポイゾニングで自分のサーバにアクセスさせるか、正規のexample.comサーバに仕込まないとだめだ、と
後者はともかく、前者を想定しないのなら、PKIそのものが不要。
DNSクラックされてるならSSL証明書はとりやすいよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
んで、 (スコア:0)
> こういったメールアドレスをユーザーが取得
> できてしまうと、第三者が勝手にそのドメイン
> でのSSL証明書を入手できる可能性がある。
第三者が取得できるとなにが危険なんですか?
EV-SSLのようにサーバーまでを保証しようとする
ならば第三者を保証してほしくないけど、
単にセキュア通信のためのSSLなら第三者が取得
したからともともと以上の危険はないんじゃない?
Re: (スコア:0)
「セキュアな通信」を本来想定している通信相手以外に行ってしまったら
それはセキュアな通信じゃないんですが…
君、証明書に関する警告が出ても一切無視するタイプでしょ?
Re:んで、 (スコア:0)
取得だけされてもねぇ・・・w
その証明書を利用するためには、第2段階が必要。(DNSポイゾニングや正規のウェブサーバーに侵入してインストールしなきゃならん)
Re:んで、 (スコア:2)
公衆無線 LAN とか学校なんかで偽 AP を立てて中間者攻撃をするのは結構簡単ですよ。SSL Pinning されていなければ気付けないはず。
Re: (スコア:0)
>中間者攻撃をするのは結構簡単ですよ。
攻撃するならSSLなくても、、、
Re: (スコア:0)
オマエは何を言ってるんだ?
エイプリルフールは終わりましたよ (スコア:0)
えっ?マジで言ってるの?
元々そういう時の為の証明書ですよ。
Re: (スコア:0)
example.comがフリーメールアドレスを取れるサービスを提供していたとして、
「危ないからadmin、administrator、webmaster、hostmasterは取れないようにしておこう」
としていたけど、「sslwebmaster」は弾いていなくて、そうすると
BuyHTTPでは「sslwebmaster@example.com」でSSL証明書が取得できてしまう、という話ですよね。
で、取得したexample.comの証明書で悪さしようとした場合にはDNSポイゾニングで
自分のサーバにアクセスさせるか、正規のexample.comサーバに仕込まないとだめだ、と
#2789816は言いたいのではないでしょうか。
Re: (スコア:0)
> 自分のサーバにアクセスさせるか
証明書を持ってるんでアクセスは簡単ですよ。
そういうこともわからないで何を語っているんですかw?
Re: (スコア:0)
なにいってんだおまえ…?
Re: (スコア:0)
> DNSポイゾニングで自分のサーバにアクセスさせるか、正規のexample.comサーバに仕込まないとだめだ、と
後者はともかく、前者を想定しないのなら、PKIそのものが不要。
Re: (スコア:0)
DNSクラックされてるならSSL証明書はとりやすいよ。