アカウント名:
パスワード:
以前、三井住友カードで「うちが使っているすべてのページはEV-SSLです」という記載があって「それは素晴らしい」と思ったのですが、三井住友カード決済で飛んだ3Dセキュアのドメインがacs.cafis-paynet.jpでムムっ?!と思った事があります。※現在はEV SSLです
ポップアップブロッカーが多いせいか、インラインで3Dセキュアを表示するサイトもあって、アドレスバー見えねーとブータレて、フレーム情報で確認したこともありますが、そんな人は少数派なのでしょうね。
スマホだと少しスクロールをした時点でアドレスバーも消えますし、URL偽装なども出てきていますそもそも興味が無い人にとっては証明書の種類どころか、少し前にはやった佐川急便の詐欺のようにそれっぽURLであれば踏んでしまう人も多くいますネットワークが生活必需品になりつつある今、誰でも見極められる仕組みを日々模索するするしか無いのではないでしょうか
システム屋さんは人は信じるなシステムで吸収しろと言う割に、ブラウザなどはURL見ないやつが悪い、Whois見れば判るだろうと言う人が増えるのは何故だろう・・・
怖くて、スマホではクレカ決済しませんww※当然、QR決済もしないので7pay祭に乗り遅れました
> システム屋さんは人は信じるなシステムで吸収しろと言う割に、ブラウザなどはURL見ないやつが悪い、Whois見れば判るだろうと言う人が増えるのは何故だろう・・・自分が開発する立場ではユーザーを信用しない。ユーザーの立場になった時はシステムを信用しない。相手側を信用しないというポリシーでは整合性があります。
「フツーの人はキニシナイ」と、「気にする人から確認する術を奪う」のは別の話だと思うのだけどね。
safariは問題外だけどchromeもiPhone版だといつの間にか証明書の詳細が表示できなくなってしまってて困った話。
気にする人が確認する術をフツーのきにしない人が混乱する要因になるかもいれない中途半端なインプットによって悪い方向に行かないとも限らないURLを確認しましょう⇒対象企業のローマ字名が含まれてるから大丈夫!証明書を確認しましょう⇒何か表示されたから安全!アドレスバーを確認しましょう⇒それっぽい企業名が表示されてるから安心!
こんな人が増えないとも限りません・・・
そもそも、証明書の組織名を表示することにはどういうメリットがあると考えられていたのでしたっけ?
認証機関が実在性を確認している証明。日本だと四季報や法人番号の登録住所から確認されるけど規格化されてないのでテキトーな「実在性確認」やる機関も出てきて、EV証明書ができた。
そのEVもいい加減な運用してルート証明書ごと無効化された証明機関もあるが。
会社の住所見るのに(大抵は本社じゃなくて部門の住所)いちいち四季報見る奴なんているのか?
住所まで確認するのは証明機関の仕事。ユーザは組織名を気にしていれば大丈夫。
実在しても東京都港区に「アップル株式会社」を作って組織名「Apple Inc.」の証明書を取ろうとしても却下されるだろうから組織名は信用してもいい。
そうですよね、普通はその会社のホームページに書いてありますよね!
ドメインが異なるからこそEV SSLに意味がある(あった)のでは? EV SSLが前提ならツッコミどころは「ドメインが違う」ことではなく「EVが徹底されていない」こと(だった)のでは
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
フツーの人はキニシナイから (スコア:1)
以前、三井住友カードで「うちが使っているすべてのページはEV-SSLです」という記載があって「それは素晴らしい」と思ったのですが、三井住友カード決済で飛んだ3Dセキュアのドメインがacs.cafis-paynet.jpでムムっ?!と思った事があります。
※現在はEV SSLです
ポップアップブロッカーが多いせいか、インラインで3Dセキュアを表示するサイトもあって、アドレスバー見えねーとブータレて、フレーム情報で確認したこともありますが、そんな人は少数派なのでしょうね。
Re: (スコア:0)
スマホだと少しスクロールをした時点でアドレスバーも消えますし、URL偽装なども出てきています
そもそも興味が無い人にとっては証明書の種類どころか、少し前にはやった佐川急便の詐欺のようにそれっぽURLであれば踏んでしまう人も多くいます
ネットワークが生活必需品になりつつある今、誰でも見極められる仕組みを日々模索するするしか無いのではないでしょうか
システム屋さんは人は信じるなシステムで吸収しろと言う割に、ブラウザなどはURL見ないやつが悪い、Whois見れば判るだろうと言う人が増えるのは何故だろう・・・
Re: (スコア:0)
怖くて、スマホではクレカ決済しませんww
※当然、QR決済もしないので7pay祭に乗り遅れました
Re: (スコア:0)
> システム屋さんは人は信じるなシステムで吸収しろと言う割に、ブラウザなどはURL見ないやつが悪い、Whois見れば判るだろうと言う人が増えるのは何故だろう・・・
自分が開発する立場ではユーザーを信用しない。ユーザーの立場になった時はシステムを信用しない。
相手側を信用しないというポリシーでは整合性があります。
Re: (スコア:0)
「フツーの人はキニシナイ」と、「気にする人から確認する術を奪う」のは別の話だと思うのだけどね。
safariは問題外だけどchromeもiPhone版だといつの間にか証明書の詳細が表示できなくなってしまってて困った話。
Re: (スコア:0)
気にする人が確認する術をフツーのきにしない人が混乱する要因になるかもいれない
中途半端なインプットによって悪い方向に行かないとも限らない
URLを確認しましょう⇒対象企業のローマ字名が含まれてるから大丈夫!
証明書を確認しましょう⇒何か表示されたから安全!
アドレスバーを確認しましょう⇒それっぽい企業名が表示されてるから安心!
こんな人が増えないとも限りません・・・
そもそも (スコア:0)
そもそも、証明書の組織名を表示することにはどういうメリットがあると考えられていたのでしたっけ?
Re: (スコア:0)
認証機関が実在性を確認している証明。
日本だと四季報や法人番号の登録住所から確認されるけど規格化されてないので
テキトーな「実在性確認」やる機関も出てきて、EV証明書ができた。
そのEVもいい加減な運用してルート証明書ごと無効化された証明機関もあるが。
Re: (スコア:0)
会社の住所見るのに(大抵は本社じゃなくて部門の住所)いちいち四季報見る奴なんているのか?
Re: (スコア:0)
住所まで確認するのは証明機関の仕事。
ユーザは組織名を気にしていれば大丈夫。
実在しても東京都港区に「アップル株式会社」を作って組織名「Apple Inc.」の
証明書を取ろうとしても却下されるだろうから組織名は信用してもいい。
Re: (スコア:0)
そうですよね、普通はその会社のホームページに書いてありますよね!
Re: (スコア:0)
ドメインが異なるからこそEV SSLに意味がある(あった)のでは? EV SSLが前提ならツッコミどころは「ドメインが違う」ことではなく「EVが徹底されていない」こと(だった)のでは