パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場」記事へのコメント

  • by Anonymous Coward on 2007年11月28日 12時01分 (#1256734)
    移行する画面ごとに cns-jp.com であることを確認しさえすれば一応安全なの?これ
    • by Anonymous Coward on 2007年11月28日 12時17分 (#1256742)
      いいえ、危険です。

      偽のDNS情報を送られた場合、本物サイトと区別つきません。
      現在接続してるサイト(ホスト)が本当に正しい場所なのかどうか証明するのが、証明書の役割となります。

      例えば、C:\Windows\system32\drivers\etc\hosts ファイルに、
      127.0.0.1 cns-jp.com
      と書かれていた場合、アドレスバーにはcns-jp.comと出ているのに、実体は別のサーバ(この場合はlocalhost)を見てることになります。

      無論、hostsファイルの書き換え以外にも、DNSサーバ自体をすり替える、DNSサーバをクラックして偽情報を送らせるなどしても同じです。
      (無線LANのアクセスポイントにただ乗りしたら釣り堀だった、という可能性もありますよ。)
      親コメント
    • Re:で結局安全なの? (スコア:5, すばらしい洞察)

      by tnk (13707) on 2007年11月28日 14時05分 (#1256853)

      この場合に限って言えば,ブラウザが出す警告が
      「ドメイン名と証明書が一致していない」のみであり,
      証明書を表示してGTE CyberTrustをRoot証明書として署名された
      正規の証明書であることを確認すれば,一応は安全です。

      しかし,ブラウザが出すSSLの警告について,
       ・ドメイン名と証明書が一致していない
       ・正規の認証局で署名された証明書ではない
      の区別を一般人に要求するのは無理であり,本当にやばい状況である
      後者についても「このサイトででる警告は無視してOK」と続行されたら,
      危険極まりないことになります。

      ましてや利用している人が「SSLの警告は無視してもいいんだ」という
      誤った知識を情報を学習し,他の状況でもSSL警告を無視するようになると,
      SSLが保障しようとしている安全性が根幹から崩れてしまいます。

      親コメント
      • by Anonymous Coward on 2007年11月28日 19時18分 (#1257062)
        この場合に限って言えば,ブラウザが出す警告が 「ドメイン名と証明書が一致していない」のみであり, 証明書を表示してGTE CyberTrustをRoot証明書として署名された 正規の証明書であることを確認すれば,一応は安全です。
        違いますよ。GTE CyberTrustの正規の証明書であることを確認するだけでは駄目です。なぜなら、攻撃者がGTE CyberTrustから正規の手順で証明書を取得して(もちろんそれは別のドメイン用のものですが)それを使って盗聴するでしょう。

        だから、証明書を表示して署名者が正しいか確認するだけじゃなくて、加えて、その発行先ホスト名がどこなのかまで確認して初めて「一応は安全です」と言えます。

        親コメント
        • by Anonymous Coward on 2007年11月28日 20時12分 (#1257081)
          違いますよ。・・・

          だから、証明書を表示して署名者が正しいか確認するだけじゃなくて、加えて、その発行先ホスト名がどこなのかまで確認して初めて「一応は安全です」と言えます。

          そうなんだけど、それも少し違う。「発行先ホスト名がどこなのかまで確認」することが容易じゃない。そういうブラウザもあるという指摘が高木氏の最新エントリー [takagi-hiromitsu.jp]で解説されてる。Firefox だと SubjectAltName に書かれたホスト名まで見ないといけないそうだ。

          しかも、高木氏は書いてないけど、ネタ元 [toedtmann.net]の指摘にあるように、ワイルドカードで指定されていると詐称できる範囲が任意になってしまうという別の問題もあるらしい。つまり、Common Name に *.jp とか書いてある証明書を受け入れちゃうと、任意の .jp サイトを詐称されてしまうという話。あー、いや、その場合は正規の認証局は発行しないんだろうけど。

          で、Firefox 3 なら大丈夫だけど、「発行先ホスト名がどこなのかまで確認」すれば安全な、そういうブラウザはあるかもしれないけど、標準規格があるわけじゃないから頼っちゃ駄目、ってのが高木氏の主張ですね。

          親コメント
        • by tnk (13707) on 2008年02月20日 15時02分 (#1300470)

          なぜなら、攻撃者がGTE CyberTrustから正規の手順で証明書を取得して
          (もちろんそれは別のドメイン用のものですが)それを使って盗聴するでしょう。
          通常は,その可能性は考えなくていい。

          CPS [cybertrust.ne.jp]を読む限り,CyberTrustは申請者の身元を
          オフラインで確認して証明書を発行している。通常,攻撃者は自分の
          身元を隠す必要があるはずで,自身で取得したCyberTrustの証明書を
          もちいて犯罪行為を行うことは考えにくい。

          可能性があるのは,何らかの方法で盗難された証明書をもちいて盗聴が行われる
          ケースだが,このような場合,正規の使用者から直ちに電子証明書失効の
          手続きがとられ,CRLによって無効化されることが期待できる。
          親コメント
      • しかし,ブラウザが出すSSLの警告について,
         ・ドメイン名と証明書が一致していない
         ・正規の認証局で署名された証明書ではない
        の区別を一般人に要求するのは無理であり

        そもそも、そんな区別が必要だということを全く警告してないよね。どっちの地銀も。

        以下のダイアログメッセージが表示されましたら、
        「はい(Y)」を選択(クリック)してください。

        なんていうのは大嘘で「以下と一言一句違わないダイアログメッセージ」であることまで確認させないと「セキュリティ上の問題はございません」なんてとても言えない。おまけにホクギン [hokuetsubank.co.jp]はまだしも

        • Re:で結局安全なの? (スコア:1, おもしろおかしい)

          by Anonymous Coward on 2007年11月28日 23時53分 (#1257178)
          折角まともなコメントしてるのに最後に余計な一言付け加えて台無し
          親コメント
        • なんていうのは大嘘で「以下と一言一句違わないダイアログメッセージ」であることまで確認させないと「セキュリティ上の問題はございません」なんてとても言えない。

          確認させるダイアログメッセージ自体を偽装できてしまいますが……

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...