Safari 3.2リリース、EV SSLに対応 46
ストーリー by GetSet
jbeef 曰く、
AppleのWebブラウザ「Safari」のバージョン3.2がリリースされた。FirefoxやIEと同様に、フィッシングの疑いが報告されているサイトへのアクセスをブロックして警告する機能が搭載されたほか、EV SSLに対応した。
4月には、PayPalがEV SSLに対応しないブラウザを締め出すのではないかとの噂が話題になった(関連ストーリ「PayPalがフィッシング対策を強化」)が、これで解決といったところだろうか。EV SSL対応サイト(たとえば https://mixi.jp/)にアクセスすると、ウィンドウの右上角の南京錠マークの左に、緑色でサイト運営者名が表示されるようになった。このユーザインターフェイスは使いやすいだろうか。
その他、Safari 3.2には11件の脆弱性修正が含まれるとのこと。
なぜそこに描画するのか (スコア:4, すばらしい洞察)
先行する実装例で用いられている、アドレスバーへ有効状態やサイト運営者名を
描画する動作と比べると、有効になっている状態が気付きにくいです。
ユーザに喚起させるための機能なのに、なぜ目立ちにくい色付けと場所に描画しているのか疑問ではあります。
先行する実装例を真似れば、利用者にはブラウザ関係なしに判別方法を教えやすくなるのではと思うのですが…
Re: (スコア:0, 興味深い)
本末転倒とは、まさにこのことですね。
Appleは長い間、Safariのフィッシング対策やEV-SSL対応を見送り、利用者の
安全を軽視した「ユーザー無視」の態度を貫いてきたわけですが、またかと
いう感じですね。Appleにとってはユーザーの安全などどうでもよい事という
証でしょう。見た目の格好良さの方が大事なようです。まさにスイーツ(笑)
Re: (スコア:0)
Re: (スコア:0)
意識せずに利用出来るようになってこそ、意味があるものです。
本当にSSLが危ないなら、httpsで、SSLを辞めてしまえば良い訳
ですが、実際にはほとんどEV-SSLは使われておらず、9割以上は
今もSSLです。理由を考えれば分かることですが、EV-SSLは実際
の利用についての思慮に欠けているので、採用出来ないところが
多いので普及していませんし、使っていなければユーザの安全を
軽視しているという考え方は明らかにおかしいですね。
Re:なぜそこに描画するのか (スコア:1, 興味深い)
そんなことは不可能ですよ。緑色で運営者名が表示されているのを、ユーザが目で確認する以外、安全に使える方法は存在しません。
Re: (スコア:0)
あなたみたいに、ユーザの学習効果の先を読まない開発者達に対する。
UIとして、一時期さかんに喧伝された鍵マークの二の舞なのは確実ですから。
Re:なぜそこに描画するのか (スコア:5, すばらしい洞察)
を防ぎ、既存のSSLの証明書の弱点を補うために導入されたのがEV SSL。
今までも認証がない、あるいは簡易的な認証の証明書(Webで簡単に購入でき、鍵が偽物ではないと言う点程度を保証する証明書)と、そうでない厳格に認証した証明書(法人の実体確認等を厳格に行ったもの)は一応区別があったようですが、その証明書自体を表示させて知識のあるユーザが確認するなどのとても簡単とは言えない方法でしかユーザが確認する方法がないものだった。なので、鍵マークが出ていることを確認するだけでは、通信している相手まできちっと確認ができず詐欺等を防ぐ決め手にはならなかったわけです。
それを是正し、認証された証明書を区別するようにしたのがEV SSLというわけ。ただ証明書だけが区別されてもしかたがないわけで、その区別された証明書である場合、各ブラウザは表示を変え、確実に認証された情報が証明書から引き出せるようにして、わかりやすくユーザによるサイト認証(確認)ができるようにしてあります。
その点で、EV SSL対応というのは、機能的に対応するだけでなく、簡単に区別がつくようにしておくことが重要で、できる限りわかりやすく表示することが重視されています。
だから、対応したと言っても、注意深く確認しなければわからないようではあまり意味がないという論が出てくるのは当然で、その点は当然appleも押さえているでしょうから、
なんてことはまずあり得ないと思いますよ。ただ、安全性とユーザの利便性、ブランドイメージ、デザイン性を崩さないこと等を天秤にかけ、ユーザの層の違いなども考慮して、appleのポリシーに従った優先順位の結果による決定なのでしょう。
そういう選択をする自由はappleにはありますが、同じくらい「わかりにくい」「対応が十分ではない」などとして、決済サービスなどがSafariによるアクセスを非対応にする自由はあるとおもいます。
さて、この対応を実際にEV SSLでフィッシング詐欺を防ごうとしている企業やサービスは、どう評価するでしょうか?
Re: (スコア:0)
Re: (スコア:0)
あってもフィッシュング対策に必ずしもなる訳ではない(架空会社が使え
る抜け道がある以上)し、倒産した会社に対して発行していたEV SSLの
証明書がすぐに無効になるようなこともないので被害は防げません。
EV SSLの問題点は上げればきりがありません。普及していない理由、
事実を考えても、採用サイトが劇的に増えるとは思えないですし。
EV SSL採用=ユーザが安全という図式は短絡すぎて返って危険な事態
を招くことになってしまうでしょう。
Re: (スコア:0)
Re: (スコア:0)
すでに振り込め詐欺で金融機関は相当対応を迫られてますし、その延長線上で何か対応をとられる可能性はあると思いますよ。
それこそ日本企業の場合、どこか一社がそういった対応をとれば一斉に横並びになるでしょうし。クレジットカード会社などは国際的なフィッシング詐欺に悩まされているでしょうから、かなり神経質になっているはずです。
当然PayPalなども必死でしょうし。
Re: (スコア:0)
倒産した会社や架空会社用の証明書では、会社名が異なりますから、ユーザが緑色の会社名を確認して入力している限り、フィッシングは防止されます。
そのための会社名表示なわけで、確認しにくい場所の Safari の表示方法は見識を疑われます。
Re:なぜそこに描画するのか (スコア:1, 参考になる)
フィッシング対策に必ずしもなるわけではないことは同意しますし、これがあれば完全にフィッシング詐欺が防げると書いたつもりもありません。証明書は証明するためのものあるわけで、詐欺や悪徳サイトではないことの保証書ではないわけですから当然です。
ただ、
のように、明らかにEV SSLについて誤認した発言があったためそれを指摘したまでです。
それを誤読し、
などと、それこそ憶測を元に勝手に発言をねつ造し、批判口調で書かれても、困ってしまいます。
また、弱点を数点あげていらっしゃいますが、それについては別のACの方がかかれているので具体的には書きませんが(EV SSLだろうが証明書は証明書でしかありませんよ)一つでも弱点があれば、その技術は無駄だ、と言うならば、世に出ている技術のほとんどは無意味ですよ。そして、完全でなくとも詐欺を防げれば、それは有効な技術と言えるのは多くの人は同意してくれると思います。
さらに言えば、当然ながら「すでに弱点があるのだから、この先いくつも弱点が増えても同じ」という考えは明確に間違いであると言えます。ですから、最大限の効果を上げていこうという風に各社協調して行っている中、Safariはあまり目立たないインターフェイスを採用している点を問題にする意見があるわけです。
それからもう一点。普及していない点を問題にあげていらっしゃいますが、それこそ憶測を元に言わないでいただきたいです。
すでに国内最大手の銀行であるゆうちょ銀行を始め、金融機関向けのネットバンキングサービスを手がけているNTTデータ(ここは各金融機関が導入した訳ではないようですが)や、独自のオンラインバンキングを持っている銀行の多くでも採用が進んでいますし、当然ネット専業銀行3行(JNB,eBank,ソニー銀行)等も導入済みです。また巨大な決済代行業であるPayPalも導入済みですね。
そういった一番詐欺に遭ったときにすぐに致命的な問題になる部分ではすでにかなりの割合で普及が進んでいます。そのほかにも、mixiやbiglobe等でも導入が進んでいますから、とりあえず必要なところでは順調に普及が進んでいるとみていいでしょう。
ただし、これは主観も入ってきますから、こういった事実を持ってしても「普及が進んでいない」とおっしゃるならそれでもかまいませんが、一番重要なことは、EV SSL証明書は現在の時点で少なくとも、普通のSSL証明書を置き換えるものではないという点です。その点で普及を割合ではかってもとりあえず意味がないということでしょうね。
#元コメが一切具体的な話を出していないのはわかっていて、釣られて書いていますのであしからず
#こんな根拠のない話で不要論が普及してはたまらんので
Re: (スコア:0)
#アップルが鍵マークの二の舞をユーザに強いているってんなら分かるが
Re: (スコア:0)
普及(=学習完了)した際には、ブラウザ画面上の入力画面を同じような色とデザインにするだけで、
非常に有効なフィッシングサイトになるでしょう。
「緑色だったから安心だとおもってましたぁ」
こんな安易な解決を許しちゃいかんよ、ほんとは。
どうやって「普通の人」を自分で防衛できるように学習させるかなんだがな。
Re:なぜそこに描画するのか (スコア:1)
単純化していうと、SSL は、「真正な相手と通信している」ことを証明するものなので、
「その相手が信用できる」かどうかとは無関係です。
ただ、それじゃ、証明書のcnまで十分覚えているようなよく知ったあいて以外とは意味が無くて、
専門家にしか使い道がないので、一般の人がネットバンキングや買い物などを安心してできるように、
「ある程度信用できるはずの、有名な」会社かどうかまでCAで判断して、その名前をわかりやすく
表示させるところまでが EV SSL です。
だから、CA は架空会社なんかに EV SSL 証明書を出しちゃだめですし、倒産したら速やかに CRL に
のせて向こうかしなくてはなりません。
また、上記の性質から当然に、EV SSL証明書を使えるのは一般人が信用できるかどうか判断できる
程度には知名度のある会社であるべきですから、「採用サイトが劇的に増える」というのはむしろ
ありえません。
「○○銀行」のEV SSLであれば銀行免許のあるところ以外がとれるのはまずいですし、「××大学」
でとれるのは、本当の大学以外ではラーメン大学くらいでしょう。
Re: (スコア:0)
日本では「○○銀行」のEV SSLをなぜかNTTデータが取得 [takagi-hiromitsu.jp]してますけどね。高木先生ですら
とか書くというのは、日本で正しくEV SSLが運用されるのは絶望的であるというあきらめから来るものでしょう。どう考えてもナァナァになる要素しか見当たりません。
Re: (スコア:0)
#一生やってろよ
Re:なぜそこに描画するのか (スコア:2, すばらしい洞察)
Re:なぜそこに描画するのか (スコア:1)
Re: (スコア:0)
で、複数のプラットフォームを使い分けてるユーザは・・・無宗教?
どこの日本人ですか?w
いいじゃん、クリスマスで騒いで、初詣に行って、バレンタインで一喜一憂して。
端午の節句の起源は中国でしたっけ? ああ、韓国起源ね。はいはい。
Re:なぜそこに描画するのか (スコア:1, すばらしい洞察)
大辞林によると
1 ある宗教に対し信仰をもつ者。また、その宗教集団の成員。信徒。
2 ある人物に傾倒して、その言説・思想などを熱心に信奉する人。
だそうだ。と言うことで、煽り、釣りであるとしても、ちょっと筋が悪いと思わないか。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
ないですね。
EV SSL 地味 (スコア:2, 興味深い)
Appleらしい見た目と言えばそのとおりなんですが、意識にのぼらないというのは良くないような気がします。
Re:EV SSL 地味 (スコア:1, 参考になる)
Re:EV SSL 地味 (スコア:1)
Re: (スコア:0)
どっちにしてもほとんど目立たないですね。
FirefoxやOperaでは非対応なEV SSL (スコア:1, 興味深い)
これはサイト運営の問題ですか?ブラウザの問題ですか?ベリサインの問題ですか?
http://takagi-hiromitsu.jp/diary/20080627.html#p02 [takagi-hiromitsu.jp]
Re:FirefoxやOperaでは非対応なEV SSL (スコア:2, すばらしい洞察)
ルート証明書なんて更新されていくものですから古いルート証明書しか持たない古い携帯なんて、EV SSL用に新しく用意したルート証明書が使えないのは当然。
正式対応前のFirefox用EV SSL拡張もベリサインのものしかEV SSLとして認識しませんでした。ブラウザ側のルート証明書がEV SSL用に対応すればそのうち緑色になるんじゃないですか?
それにしてもまぁ、何故携帯用とPC用を分けるのが先進的なんでしょうね。古い頭だと最新に思えるんでしょうか。仕方ないです。
Re: (スコア:0)
運営者名をクリックしたらOSの証明書マネージャが表示されたので、Safariの場合証明書の管理に関してはOSに丸投げしているみたいです。
# Operaだと「unsupported device」と表示されるだけだったのでAC
EV SSLもそのうちナァナァにならないのだろうか? (スコア:1, 興味深い)
標準的に入っているCAの一部が厳格な審査を行わずに証明書を発行しまくった結果なわけですが、
EV SSL証明書についてもそのようなナァナァな状態にならないという保証はできるのでしょうか?
そのうちCA/ブラウザフォーラムの基準があやふやになったり営業的にはもっとサクサク
発行した方が儲かるよなってことで怪しげなEV SSL証明書が出回るようになって・・・
以下無限ループということにはならない?
そもそもEV SSL証明書によってCAの峻別をするよりも怪しげな証明書と中間証明機関の
証明書をリボークすればいいんじゃ無いのか?とも思うのですが、各クライアントが
CRLを定期的に確認してくれるかどうかなんてわからないしなぁ。
屍体メモ [windy.cx]
Re:EV SSLもそのうちナァナァにならないのだろうか? (スコア:1)
なるだろうな、と思います。そしてEEV SSL、E3V SSL、E4V SSLと続いていく...
その前にEEV SSLになったときに表示はどうするんでしょうね。今のSafariが目立たない表示なのはそのときのため?...な訳ないか。
Best regards, でぃーすけ
Re: (スコア:0)
以前のものがナアナアになったのは、
何の標準規格もなかったからです。
EV SSLという規格ができたのですから、
破ればクビになるだけです。
そういうことって普通、直感的にわかりませんか?
Re: (スコア:0)
手元では腐っていて駄目です。 (スコア:1)
Re:手元では腐っていて駄目です。 (スコア:1)
圧倒的なパフォーマンス (スコア:0)
Re: (スコア:0)
3だと棒グラフが見えないほどになるのか?
アドオン全滅? (スコア:0)
アドオンをインストールしたままでアップデートすると、Safariがクラッシュしまくって使い物にならなくなってしまいます。
同じページにアクセスしてもクラッシュしたりしなかったり、起動時にクラッシュすることがあったり、何がトリガになるのかはよく分かりませんでした。
私の環境ではアドオンをすべてアンインストールするまで、問題が起こり続けました。
たまたまFirefoxもインストールしてあったのでネットで調べてアドオンをアンインストールすると直るらしいと分かりましたが、Safariしかなかったら調べ物もできないところでした。危なかったです・・・。
Re: (スコア:0)
ないInputManagersを強引に利用して自ら問題を招いているんでしょう。
Re: (スコア:0)
仕組みがなくっても、現実にいろんなアドオン(プラグインといった方がいいのかな?)が山ほど作られて配布されてますよ。
「基本的に使ってはいけないInputManagers」ってなんでしょうか。使っていいものといけないものがある? すべからく駄目なんだったら、なんで簡単に追加できるような仕組みになってるんでしょう?
使ってはいけないものだったら始めから使えないようにして欲しいですね。デフォルトだとInputMangersフォルダは空ですし。
ひょっとしたら誤解されてるかもしれませんが、別にAppleに文句をつけてるわけではないですよ。そんなことは一