アカウント名:
パスワード:
とか書いてあるけど、検索サイトで上位に出てきたリンクをURLを確かめもせずにクリックするような人はhttpだろうがhttpsだろうがどっちみちダメでしょう。
httpsなら大丈夫とか間違った安心感を与えるだけ性質が悪い気がする。
「URLの確認はhttps(SSL/TSL)接続が大前提」というより、適切に「URLの確認」をさせるのは、相手がある程度の技術的な知識が持っていない限り不可能なので、もう諦めた方が良いと思います。
特に、スマホでネットを始めた人には適切な確認は全く期待できません。
パンフレットに記載されていた確認方法の指示も不適切で、パンフレット [soumu.go.jp]の6ページ目(PDFの7ページ目)には、
申請用 WEB サイトにアクセス後、その URL が「https://net.kojinbango-card.go.jp」であることを確認することで、サイトが真正であることを確認してください。
とありますが、
ので適切な説明ではありません。
かといって、正しいURLの確認方法を書こうとすると、
「申請用 WEB サイトにアクセス後、アドレスバーのURLが『https://net.kojinbango-card.go.jp』と完全に一致するか、アドレスバーのURLが『https://net.kojinbango-card.go.jp/』から始まる(最後のスラッシュが必ず必要)」
と長ったらしい説明になってしまうし、スマホだと横幅の関係でURLが省略表示されてしまって確認が困難という問題もあります。
ってことで、三菱東京UFJ銀行のように、「URL」の存在に一切触れずに、EV証明書の確認だけさせるのが望ましいと思います。 [bk.mufg.jp]
個人番号カード総合サイト [kojinbango-card.go.jp]も、きちんとEV証明書を(それも go.jp ドメインで)使っているようだし。
については、EV証明書(やOV証明書)と、単なるDV証明書の違いがもっと周知されるべきですね。
技術的な観点からすると、DV証明書は公開鍵がそのドメインに属することを明白にしているに過ぎず、サイトのコンテンツの内容や運営者が誰であるかについては一切言及していません。DV証明書には、Webサイトの評価・現実世界における身元・安全性に関する情報は一切含まれていないのです。
技術的な観点からすると、DV証明書は公開鍵がそのドメインに属することを明白にしているに過ぎず、サイトのコンテンツの内容や運営者が誰であるかについては一切言及していません。
DV証明書には、Webサイトの評価・現実世界における身元・安全性に関する情報は一切含まれていないのです。
(フィッシング詐欺やマルウェアとの戦いにおける認証局の役割 - Let's Encrypt 総合ポータル [letsencrypt.jp] より引用)
と、DV証明書は単にドメインの所有者の公開鍵であることを認証しているだけなのですが、「HTTPS (TLS) なら認証局が身元を確認しているサイトだから安心」と勘違いしている人が未だに多いようです。
(個人番号カード総合サイトはEV証明書です)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
URLの確認はhttps(SSL/TSL)接続が大前提 (スコア:1)
とか書いてあるけど、検索サイトで上位に出てきたリンクを
URLを確かめもせずにクリックするような人は
httpだろうがhttpsだろうがどっちみちダメでしょう。
httpsなら大丈夫とか間違った安心感を与えるだけ性質が悪い気がする。
もう 「URLの確認」 をさせるのは諦めた方が良さげ (スコア:4, 興味深い)
「URLの確認はhttps(SSL/TSL)接続が大前提」というより、適切に「URLの確認」をさせるのは、相手がある程度の技術的な知識が持っていない限り不可能なので、もう諦めた方が良いと思います。
特に、スマホでネットを始めた人には適切な確認は全く期待できません。
パンフレットに記載されていた確認方法の指示も不適切で、パンフレット [soumu.go.jp]の6ページ目(PDFの7ページ目)には、
とありますが、
ので適切な説明ではありません。
かといって、正しいURLの確認方法を書こうとすると、
「申請用 WEB サイトにアクセス後、アドレスバーのURLが『https://net.kojinbango-card.go.jp』と完全に一致するか、アドレスバーのURLが『https://net.kojinbango-card.go.jp/』から始まる(最後のスラッシュが必ず必要)」
と長ったらしい説明になってしまうし、スマホだと横幅の関係でURLが省略表示されてしまって確認が困難という問題もあります。
ってことで、三菱東京UFJ銀行のように、「URL」の存在に一切触れずに、EV証明書の確認だけさせるのが望ましいと思います。 [bk.mufg.jp]
個人番号カード総合サイト [kojinbango-card.go.jp]も、きちんとEV証明書を(それも go.jp ドメインで)使っているようだし。
については、EV証明書(やOV証明書)と、単なるDV証明書の違いがもっと周知されるべきですね。
(フィッシング詐欺やマルウェアとの戦いにおける認証局の役割 - Let's Encrypt 総合ポータル [letsencrypt.jp] より引用)
と、DV証明書は単にドメインの所有者の公開鍵であることを認証しているだけなのですが、「HTTPS (TLS) なら認証局が身元を確認しているサイトだから安心」と勘違いしている人が未だに多いようです。
(個人番号カード総合サイトはEV証明書です)