Re:一般人におけるSSLの意味 (#1256747) | オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場

「オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場」記事へのコメント

記事ページを表示すべてのコメント取得

検索306コメント Log In/Create an Account

一般人におけるSSLの意味 (スコア:1, すばらしい洞察)

by Anonymous Coward

通信路が暗号化されている、くらいの認識しかないってことだね。
発行元が証明されているとか、中身が改竄されてないことを証明するってところは
あまり知られてないということ。

あまり知られてない理由に「重要なファクタについての啓蒙をしてこなかった」というのはあるけどね。
それをできるのは知ってる我々の役目でもあるということも肝に銘じておかねば。
- Re:一般人におけるSSLの意味 (スコア:4, すばらしい洞察)
  
  by onoyan (135) on 2007年11月28日 12時21分 (#1256747) ホームページ日記
  
  いやあ、利用者はもちろん銀行の中の人も普通は理解して無いんじゃないかなぁ。
  こういうのって、サイト（というかその裏のシステム）を構築したベンダーが
  助言するべきじゃないかと思う。
  
  その助言が「いや、問題ないっスよ。気にすんなって書いて良いっス」だったら
  目も当てられないけど・・・。
  
  --
  
  --- （´-`）｡oO(平和な日常は私を鈍くする) ---
  
  シェア
  
  親コメント
  - Re:一般人におけるSSLの意味 (スコア:0)
    
    by Anonymous Coward
    
    サイト（というかその裏のシステム）を構築したベンダーも理解してないんじゃ・・・なわけないない
    - Re:一般人におけるSSLの意味 (スコア:4, 興味深い)
      
      by shojin (28072) on 2007年11月28日 13時18分 (#1256791) 日記
      
      いやいや、案外現場はそういうものかもよ。
      昔々、業務で開発しているプログラムの意味が分からんので解説して欲しいと相談されたことがあったけれど、そこで読んだソースコードはフォームのhiddenパラメーターをいじれば管理者特権が得られるという阿呆な設計だった。しかも、そのアホソースが入ったプログラムは全国に導入を検討している所があったみたい。開発でコピーアンドペーストが当たり前に行われていたようなので、この脆弱性って相談者の会社が作った他のプログラムにもあったんだろうなぁ。
      
      まあ、Ken's USA-Japan　あっとらんだむ [cnet.com]じゃないですが、所詮日本ではソフトウェアはハードウェアのおまけ的な位置ですからね。ソフトハウスはコンピュータサイエンスをまともに学んだ学生が行く場所にはなってないんですよね。
      
      シェア
      
      親コメント
    - Re:一般人におけるSSLの意味 (スコア:3, 興味深い)
      
      by Anonymous Coward on 2007年11月28日 13時38分 (#1256811)
      
      システムを開発する業者は理解しているはずですが、
      システムを提案するインテグレータ業者は理解して無いでしょうね。
      
      銀行がコストをケチって故意にオレオレ証明書にしているのではなく、
      単に、充分な説明を受けてないからオレオレ証明書になっているのだと思う。
      インテグレータ業者が銀行に対し説明しないのは、理解してないからでしょう。
      
      風通しって大切ですよね。
      
      # Web屋やってた時にオレオレ証明書について嘘を書かされた記憶があるのでAC
      
      シェア
      
      親コメント
      - Re:一般人におけるSSLの意味 (スコア:0)
        
        by Anonymous Coward
        
        システムを開発する業者は理解しているはずですが、
        システムを提案するインテグレータ業者は理解して無いでしょうね。
        高々自分ひとりの経験からそこまで言う自信がすごい。
        そういう場合もあれば、その逆もあるだろうし、両業者とも理解してる場合も、両業者とも理解してない場合もあるでしょう。
        
        Re:一般人におけるSSLの意味 (スコア:0)
        
        by Anonymous Coward
        
        システムを開発する業者ってのはMSやMozilla Foundation、OpenSSL Project、Apache Software Foundationなど。さすがにこいつらが理解せずに実装してるとは思いたくないね。あと認証局自身とか。
        
        Re:一般人におけるSSLの意味 (スコア:1, 参考になる)
        
        by Anonymous Coward on 2007年11月28日 23時52分 (#1257177)
        
        Ruby とか？
        Ruby Net::HTTPS library does not validate server certificate CN [ryukoku.ac.jp]
        
        The connect method in lib/net/http.rb in the (1) Net::HTTP and (2) Net::HTTPS libraries in Ruby 1.8.5 and 1.8.6 does not verify that the commonName (CN) field in a server certificate matches the domain name in an HTTPS request, which makes it easier for remote attackers to intercept SSL transmissions via a man-in-the-middle attack or spoofed web site.
        
        シェア
        
        親コメント
    - Re:一般人におけるSSLの意味 (スコア:1, すばらしい洞察)
      
      by Anonymous Coward on 2007年11月28日 12時56分 (#1256776)
      
      理解していながら危険なサイトを構築し
      危険な操作を案内しているとしたら、
      無知よりなお救われない気がしますが。
      
      シェア
      
      親コメント
      - Re:一般人におけるSSLの意味 (スコア:3, 興味深い)
        
        by stat (28781) <{28781} {at} {a2the.net}> on 2007年11月28日 15時45分 (#1256940) 日記
        
        「武蔵野銀行、インターネットバンキング環境にフィッシング対策ソリューションを導入」 [atmarkit.co.jp]
        っていう記事を見つけたんだけど、記事によると、武蔵野銀行の顧客が自分のＰＣにPhishWallなる
        ソフトを入れるとブラウザのツールバーに緑色の信号が表示され一目で安全であることが証明されるそうな。
        
        武蔵野銀行は自分ところがフィッシング対策をきちんとやってると勘違いしてるんだろうなあ。
        なんか悪いベンダーとつきあってるんだと思う。
        
        シェア
        
        親コメント
        
        フィッシング対策ソフト (スコア:3, 参考になる)
        
        by stat (28781) <{28781} {at} {a2the.net}> on 2007年11月29日 11時33分 (#1257292) 日記
        
        自己レスですが、
        高木氏は、PhishWallなどのフィッシング対策ソフトの問題点も指摘 [takagi-hiromitsu.jp]されてます。
        要約すると、
        ・金融庁の監督指針に、「フィッシング詐欺対策については、利用者がアクセスしているサイトが真正なサイトであることの証明を確認できるような措置を講じる」ことが示された。これを受けて多くの金融機関がフィッシング対策システムを導入した。
        
        ・適切なSSL証明書を導入するよりはるかに高額なフィッシング対策システムを導入した地方銀行のほとんどが、適切な証明書を使わずに（オレオレ証明書に日立やNTTのを使ってる所が多いようです。）対策システムを入れたことで満足してしまっいてる。
        
        ・フィッシング対策ソフトを入れてネットバンクを利用した場合、顧客のブラウザには緑シグナルが点灯して取引の安全性が証明されるはずであるが、いくつかの金融機関では緑シグナルが点灯しない。にもかかわらずそのままの運用が続けられていて、誰も気にしていない。
        というものです。
        
        金融庁が、これこれのベンダーのシステムを使ってさえいれば監査が通るよ、という見解を出していて、ほとんどの金融機関はフィッシング対策のことをまじめに考えずに監査のことだけ考えてるんだろうなあ。
        
        シェア
        
        親コメント
      - Re:一般人におけるSSLの意味 (スコア:3, 参考になる)
        
        by Anonymous Coward on 2007年11月28日 18時25分 (#1257037)
        
        理解していながらやっている悪人は、圧力があればすぐにでも正しい道に戻れるので
        自分では善いことをしているつもりの無知の方がずっと救われない、
        と親鸞上人はおっしゃいました。
        
        シェア
        
        親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場 More ログイン

「オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場」記事へのコメント

一般人におけるSSLの意味 (スコア:1, すばらしい洞察)

Re:一般人におけるSSLの意味 (スコア:4, すばらしい洞察)

Re:一般人におけるSSLの意味 (スコア:0)

Re:一般人におけるSSLの意味 (スコア:4, 興味深い)

Re:一般人におけるSSLの意味 (スコア:3, 興味深い)

Re:一般人におけるSSLの意味 (スコア:0)

Re:一般人におけるSSLの意味 (スコア:0)

Re:一般人におけるSSLの意味 (スコア:1, 参考になる)

Re:一般人におけるSSLの意味 (スコア:1, すばらしい洞察)

Re:一般人におけるSSLの意味 (スコア:3, 興味深い)

フィッシング対策ソフト (スコア:3, 参考になる)

Re:一般人におけるSSLの意味 (スコア:3, 参考になる)

スラド