パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Firefox 64リリース、シマンテックの証明書が無効に」記事へのコメント

  • 本来、通信の暗号化と、サーバ認証は別のはずなのに、
    通信の暗号化を行うのにサーバ認証ガセットじゃないといけないっていう、
    押し売りシステムが採用されてる

    サーバ鍵・サーバ証明書とかなくても、DH鍵交換を使えばちゃんと暗号化が可能

    次期SSL/TLSは、サーバ認証なしで通信の暗号化だけ行うってのも選択可能なシステムにすればいい

    • by Anonymous Coward

      SSL/TLSの規格上は、DH_anonが入っていて、匿名認証も可能です。

      ただ、「誰かも保証されない相手」と暗号通信できたところで、守れるものはいったい何があるのでしょうか(つないだ相手が悪意の第三者、ということも考えられます)。実用問題としては、ブラウザでも通さないようになっています。

      • by Anonymous Coward

        暗号化も認証もしない平文HTTPより、暗号化だけするHTTPSのほうがましでしょう
        またいまはフィッシング詐欺業者が当たり前のように証明書とる時代、サーバ証明の価値が大きく下がってる

        サーバ証明書はフィッシング詐欺犯名義じゃなく、大手CDN事業者名義になってることが多く、本物と区別がつかない

        • by Anonymous Coward

          暗号化も認証もしない平文HTTPより、暗号化だけするHTTPSのほうがましでしょう

          いまだこんな認識の人間がいるのか。

          相手を認証しない暗号化はMITM攻撃にたいして全く無力です。
          盗聴のリスクをまったく防止できません。

          • だからMITM攻撃以外の盗聴を防止できるでしょ
            ぐだぐだ言わずに実装するだけなのに何を抵抗してるのか
            親コメント
            • by Anonymous Coward

              MITM攻撃以外の盗聴を防止できることに価値を見出だしてしまう人がいるからでしょう。

              • by Anonymous Coward

                開発者がそういう理解しがたい理由で無認証暗号通信という選択肢を拒むんでしょうね

                経路で盗聴されることを防ぐのと通信相手が本物であることの証明は独立したことなのに

              • by Anonymous Coward

                理解しがたいじゃなくて理解しろ。
                何度でも繰り返すが、一般に暗号化だけでは経路で盗聴されることを防ぐことはできない。
                セキュアでないものをセキュアだと思い込むのは立派なセキュリティリスクだし、
                具体的なメリットもなくセキュリティリスクを増やすのは技術者倫理に反する。

                反論するなら具体例を示してみろよ。

              • by Anonymous Coward

                盗聴が容易なアナログのコードレス電話を使うか、流通が制限されて相手が何者かがある程度保証されて、仮に送受信機が盗まれても執行処理ができる警察無線のようなシステムを選べ
                傍受は困難だけど、通話相手が何者かの保証はされていない、成りすましで電話に出られる等本質的には盗聴を防げない
                デジタルコードレス電話機みたいなのは要らないというようなもの

                認証付き暗号しか認めない。気休めの暗号なんて要らない。いやなら平文通信しろって頑固すぎる

              • by Anonymous Coward

                そうですね、頑固過ぎました。
                ここは雑談サイトなのだから、具体例に制限せず、的外れな喩え話も認めるべきでした。
                失礼しました。

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...