アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
SSLでWebメールが安全か? (スコア:1)
POP over SSLならば判らなくも無いけど、SSL経由でWebメールの場合、
なりすましたWebサーバーもありえるわけで、根本的には安全とは言えない
気がしますが・・実際の所どうなんでしょうか?
Re:SSLでWebメールが安全か? (スコア:1, すばらしい洞察)
なりすましは回避できると思いますが、いかがでしょうか?
Re:SSLでWebメールが安全か? (スコア:0)
>なりすましは回避できる
聞きかじり程度の知識しかありませんが、ちょっと簡単に捕捉してみます。
SSLが「正しく運用できて」いる場合、
・サーバ証明書には信頼できるルート認証局(注1)の署名がなされているはず
・サーバ証明書の複製は(きちんと管理されていれば)不可能
→ 怪しい組織は“怪しくない”サーバ証明書(注2)は持てない
ので、基本的になりすます事は出来ないはず。
注1:信頼できるルート認証局が怪しい組織に証明書を発行しちゃったり、ユーザが信頼できないルート認証局の証明書をインストールしてたりしたらアウトだけど。
注2:“怪しい”サーバ証明書(オレオレ証明書とか)だったら持てる。でも、オレオレ証明書を信用するのは「正しい運用」ではない(そうさせてるサイトはとっても多いけど)。
※ CN とかの説明は不要ですよねぇ…。> 詳しい人
Re:SSLでWebメールが安全か? (スコア:1)
「サーバ証明書の複製」っていう言葉はちょっとおかしいかも。
証明書は公開鍵に相当し、ダウンロードされて検証される物だし。
・サーバ証明書に対応する秘密鍵の複製は(きちんと管理されていれば)不可能
の方が正しい記述かも。
Re:SSLでWebメールが安全か? (スコア:1)
単純に「秘密鍵の推測が(今のところ)不可能」でいい話。
Re:SSLでWebメールが安全か? (スコア:0)
ご指摘ありがとうございます。
>>・サーバ証明書に対応する秘密鍵の複製は(きちんと管理されていれば)不可能
>>の方が正しい記述かも。
>単純に「秘密鍵の推測が(今のところ)不可能」でいい話。
お二方のご指摘とも、まったくもってその通りなんですが、この方面に詳しくないかたにもおわかりいただけるように簡略化して説明したつもりでした。
※ 嘘は避けつつ、あまり詳細に踏み込まない方針で…。
とは言え、「サーバ証明書の複製」のくだりはやっぱり不適切なので、
・サーバ証明書の流用は(サーバの秘密鍵がきちんと管理されていれば)不可能
あたりでいかがでしょうか?
※ と、ひっぱるほどの話ではありませんが…。