EV SSLでは基本的にドメインを見る必要はないということになっています。アドレスバーからドメイン部分を正確に見分けられるのはよく訓練されたgeekだけであって、EV SSLはその問題の対策でもあるからです。 ただし、ドメインを細かく分ければ分けるほどVeriSignは儲かります。宣伝には違いないのです。
去年の5月時点で↓を書ける高木先生の先読み能力が恐ろしいです。 http://takagi-hiromitsu.jp/diary/20090531.html [takagi-hiromitsu.jp] > 一方、「Allow requests from example.jp」は滅多に使わない方がよい。これを許可してしまうと、そのサイトが改竄されたときに対策がパアになる。面倒でも、個別に「Allow requests from example.jp to example.com」でひとつひとつ許可して使う。そうすれば、攻撃者がexample.jpを改竄したとしても、example.comも同時に改竄しない限りこの対策はパアにならない。
https://www.phish-no-phish.com/jp/ ですね (スコア:5, すばらしい洞察)
日本語は https://www.phish-no-phish.com/jp/ [phish-no-phish.com] ですね。
最初の「お客様の情報をご提供ください」で既にテストが始まってるのかと身構えちゃいました。
それはさておき一問目から "Bizy Bank" のドメインが "bijiibank.co.jp" なのに本物といってたり、偽物の根拠がエラーを表示してるからだったりと、かなり無理があります。さすが宣伝サイト。
フィッシングサイトがどれほど本物にそっくりか、実際に見て比べられる例として両親にも見せてやりたいと思う一方、あまりにアレな解説に誤解と過信を植え付けられても困るし、どうしたものでしょうか。
Re:https://www.phish-no-phish.com/jp/ ですね (スコア:2, すばらしい洞察)
そこで、年齢とかを入力したらアウト。
リンク先の見えないFlash内のリンクを踏んでもアウト。
正直、この時点で/.-jpの釣りかと思った。
# いくら、後半のオチのためとはいえ、ちょっとなぁ、と
# まぁ、いくら見た目を疑っても偽装できることがあるんだよってのはともかく
# せめてURLへの細工で前半を引っ張らないと・・・
Re: (スコア:0)
> リンク先の見えないFlash内のリンクを踏んでもアウト。
ステータスバーのURLはスクリプト無効でも偽装できるのでそもそもアテにしてはいけません。SafariやChromeは常時表示されるステータスバーをすでに廃止しました。Firefox 4.0でも廃止される予定です。
URLを確認する必要があるときは、必ず遷移してから現在のページのURLをアドレスバーで確認しなければいけません。
Re:https://www.phish-no-phish.com/jp/ ですね (スコア:1, すばらしい洞察)
ちなみにその初っ端のアンケート、答えなくとも先に進めます。たぶん答えたら負け。
ところでGoogle Chromeでアクセスするとこのページには安全でない項目が含まれていますと言う警告が出て、アドレスバーがSSL接続中のカラーにならないのですが、エラーが出ているから偽物なら、このサイトも偽物という判断でよろしいのでしょうか?
https://www.phish-no-phish.com/jp/ 自体が釣りというオチを考えてみ (スコア:0)
このサイト自体の証明書がVerySignとかになって...無いな(笑
Re: (スコア:0)
先生、あからさまに釣り針がたれてるので釣る気満々だと思います…
Re: (スコア:0)
こんなサイトに注意 (スコア:3, おもしろおかしい)
全面Flash。Windows/IEユーザーだけ釣れれば十分だし。
例 [phish-no-phish.com]
日本語サイトなのに漢字のフォントがなぜか中国系(之繞とか言偏とか齢とか様とか覧とか糸偏とかに注目)。
例 [phish-no-phish.com]
意味もなく個人情報を尋ねてくる。
例 [phish-no-phish.com]
ドメインが怪しい(VeriSign Japanがcopyrightを主張しているのにverisign.co.jpじゃないとか)。
例 [phish-no-phish.com]
こんなに怪しくてもひと目でVeriSignのサイトだとわかるなんてEV SSLの威力は絶大ですね (棒読み
Re: (スコア:0)
3問目。
スペルミスがあるから左がNGっていうけど
他方は「2.カード情報のご入力」が画面上の他の文字とフォント違うじゃねーかよ、と
その1問だけ正解できなかったので愚痴を言ってみるテスト
年齢 (スコア:2, おもしろおかしい)
年齢の選択が、
・0~18
・18~25
・25~35
・35~45
・45~55
・55~
になってますが、18,25,35,45,55歳の人はどれを選ぶんでしょうかね。
Re: (スコア:0)
選んだら負けです。
第3問でも言ってるじゃないですか。偽物のサイトにはよく探すとこういう間違いが見つかることがありますって。第1問では不安を煽って(「よくできたフィッシングサイトは本物とまったく区別が付かないことがあります」とか)個人情報の入力を促すとも言ってたような。
もう調べれば調べるほど、違った意味でも釣りサイトだとしか思えなくなってきますね。
Re:年齢 (スコア:2, すばらしい洞察)
Re:年齢 (スコア:2)
ホント、インターネットは地獄だぜ! フゥハハハーハァー
# 全部間違った答えを入れるつもり満々で一問正解してしまったのだ
Re: (スコア:0)
>> 18,25,35,45,55歳の人はどれを選ぶんでしょうかね。
通常,「18歳」は「生まれてから18年以上,19年未満」の状態なので「18~25」が正解では?
Re: (スコア:0)
弊社は安心と信頼を第一に考えております。
タレコミ文を見て思った事 (スコア:2, おもしろおかしい)
ヴェリ詩吟社ですか。これまた大したフィッシングですな。
喫茶店でもマルチモニタ協会会員
題名 (スコア:2)
Re:題名 (スコア:1)
VeriSign の広告記事であることを示すために、
あえて「謹製」となっているのです。
Re:題名 (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
アクセスしたら負け?(-1) (スコア:1, すばらしい洞察)
#そういうフィッシングじゃないって?
Sleipnirは、普通のSSLでも緑で表示します。 (スコア:1)
今でもそうなのかと思い、2.9.3を落としてみましたが変わっていませんでした。
Sleipnirは、SSLのページの場合アドレスバーを緑で表示します。
SSLとEV SSLとの区別ができないのに、EV SSL対応ソフトに見えてしまい困ったものです。
フォーラムに問題として挙げられていて、開発者の返答もあるのに未だに直ってません。
http://community.tabbrowser.jp/forum/viewtopic.php?t=3943 [tabbrowser.jp]
VeriSignは、SleipnirがEV SSLに対応してないことを周知すべきです。
ヨーロッパのブラウザ選択画面の中にも入ってるわけだし。
Re: (スコア:0)
> 貴重なご意見ありがとうございます
黙殺するときの常套句ですね。
直接相手にしてものれんに腕押しで時間の無駄だと思うので、IPAに届け出てはいかがでしょうか。脆弱性として受理されるとは限りませんが、受理されなくても開発者に連絡してくれることもあるそうです。
flashで先に進めない (スコア:0)
何が書いてあるんだろう?
Re:flashで先に進めない (スコア:2, おもしろおかしい)
おめでとう! あなたは合格です
EVSSL証明書の宣伝だなぁ (スコア:0)
必死こいて間違い探し→EVSSLあれば簡単に見分けられるよ!という
なんといいますか…。上役の説得とかに使えたりするのでしょうか。
これ正解するまでの時間とかブラウザとかの正解率との相関とかも
見てたりするのかなぁ。
Re:EVSSL証明書の宣伝だなぁ (スコア:2, 興味深い)
Re:EVSSL証明書の宣伝だなぁ (スコア:2)
VeriSign が、そう決めたからです。
多分、ハイフンが入っているドメイン名では、VeriSign の証明を取ることができないようになっているのでしょう。←ウソ :P
ちなみに、JPRS [whois.jp] の見解によれば trustedbank.co.jp も trusted-bank.co.jp も存在しません。
Re:EVSSL証明書の宣伝だなぁ (スコア:1)
https://www.phish-no-phish.com/jp/ [phish-no-phish.com]
もハイフンが入っているので不正なドメインに見えてきました。
EV SSLも信用してはいけないっていう例ですよね?
Re: (スコア:0)
そもそもVeriSignの解説では「ハイフンが入ってるから偽物」なんて一言も言ってませんよ。本物のドメインがどちらだか分からない架空のドメインを例にとっている時点で問題自体がナンセンスですが。まさに「出題者(VeriSign)がそう決めたから」としか言いようがありません。
EV SSLでは基本的にドメインを見る必要はないということになっています。アドレスバーからドメイン部分を正確に見分けられるのはよく訓練されたgeekだけであって、EV SSLはその問題の対策でもあるからです。
ただし、ドメインを細かく分ければ分けるほどVeriSignは儲かります。宣伝には違いないのです。
Re: (スコア:0)
Re: (スコア:0)
#EV SSLって占いまでできる。本当にすごいですねぇ
Re: (スコア:0)
URL です。
正しい URL さえ知っていれば簡単に見破れるし、知らなかったら SSL でも意味ないよ、という説明さえあれば良い教材になったのだが。EV SSL だって表示される企業名はチェックすべきなのに。
Re:EVSSL証明書の宣伝だなぁ (スコア:1)
Re:EVSSL証明書の宣伝だなぁ (スコア:1)
# 重箱の隅つっこみだけど、犯罪者は絶対にEVSSLを取れません、ってことは
# 大企業が脱税とかの犯罪を犯したら取り消されるのかな>EVSSL
Re:EVSSL証明書の宣伝だなぁ (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re: (スコア:0)
#問題はちゃんと読みましょう。
警戒心が薄れる可能性はないか? (スコア:0)
緑になっても、危ない場合がある可能性はないのかな?
青信号でも安全確認を怠ってはいけないと、交通安全教室では言ってるぞ。
Re:警戒心が薄れる可能性はないか? (スコア:1)
http://takagi-hiromitsu.jp/diary/20080703.html [takagi-hiromitsu.jp]
http://takagi-hiromitsu.jp/diary/20090627.html [takagi-hiromitsu.jp]
Re: (スコア:0)
去年の5月時点で↓を書ける高木先生の先読み能力が恐ろしいです。
http://takagi-hiromitsu.jp/diary/20090531.html [takagi-hiromitsu.jp]
> 一方、「Allow requests from example.jp」は滅多に使わない方がよい。これを許可してしまうと、そのサイトが改竄されたときに対策がパアになる。面倒でも、個別に「Allow requests from example.jp to example.com」でひとつひとつ許可して使う。そうすれば、攻撃者がexample.jpを改竄したとしても、example.comも同時に改竄しない限りこの対策はパアにならない。
Re: (スコア:0)
Re: (スコア:0)
「現時点で比較的安全性が高い」だけで
十分な優位性があるでしょう
EV-SSLの信頼性が揺らいで来たら
次の商売を考えるだけだと思います
セキュリティのいたちごっこの被害者は利用者であり
死の商人よろしくそれを飯のタネする者にとっては
(望ましいと言わないまでも)悪い状況ではないのでしょう
# 分かっていても対処せざるを得ないので困る・・・
Re: (スコア:0)
いいわけないでしょう。自立した一人前の人としては。
赤信号をわたるのも、青信号をわたるのも同様に注意する必要があると思います。
轢かれたときの世間の同情は違うでしょうから、轢かれるかどうかよりも
世間の反応の方が気になるって人は、赤信号は車がいなくても渡らない
青信号は左右を見ないで渡るっていうポリシーでも良いかもしれませんが。
利便の向上に焦点を当て杉な感じ (スコア:0)
URL部分の下地の緑色を確認するだけで良いこの仕様が仮に普及したとして、オートマチックトランスミッション仕様の乗用車の利便性を理由とした無闇やたらな普及と掛け合わせてみる。
その心は
どちらも消費者の判断力を削ぎ脳みそを退化させる効果がある。
SSLが用いられていれば安心、という考え方が崩れてしまい次の手を打ってきたのだと思いますが、紹介の仕方がちょっと安易な気もします。詐欺する人がこの緑色を手に入れたらどうするつもりなのだろうとか心配してみたり。
Re: (スコア:0)
実際、アドレスの右に出る企業名が、EVSLLに登録されてる名前だというだけなので、
ペーパーカンパニー作ってEVSSL取れば、いくらでも緑色のフィッシングサイト作れます。
表示されるカンパニーネームを確認しなければ意味が無いし、そのためには正しい登録名をまえもって知る必要があるし・・・
とにかく、緑色だから信用できます!なんてウソには騙されないでください。
#きっとしばらくしたら「ウソでした~」って釣り宣言が・・・でないだろうな
#というかphishingは釣りって意味じゃないけど釣り針がたくさんあったなぁ
チュートリアル (スコア:0)
まさか騙される人はいないと思うけど。
そもそもタイトルがおかしい (スコア:0)
って、できるわけがないでしょう。できるのは、
「本物サイトとそうでないサイトの区別」
です。