パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場」記事へのコメント

  • by Anonymous Coward
    通信路が暗号化されている、くらいの認識しかないってことだね。
    発行元が証明されているとか、中身が改竄されてないことを証明するってところは
    あまり知られてないということ。

    あまり知られてない理由に「重要なファクタについての啓蒙をしてこなかった」というのはあるけどね。
    それをできるのは知ってる我々の役目でもあるということも肝に銘じておかねば。
    • by Anonymous Coward
      「一般人における」って、まるで自分はわかっているかのようなことをおっしゃいますが、あなた自身も理解していないようですよ?

      > 通信路が暗号化されている、くらいの認識しかないってことだね。

      通信路も正しく暗号化されていないというのが正しい理解です。

      > 発行元が証明されているとか、中身が改竄されてないことを証明するってところは
      > あまり知られてないということ。

      そういう話ではありません。
      • 別ACですが、自宅鯖にオレオレ証明書で立てたSSLサイトがあったとして、DNSの詐称とかされてなくて、外部からちゃんと正しく自宅鯖に到達できているとして、その自宅鯖のSSLサイトにアクセスしようとした時にブラウザが出す証明書が正しくないというメッセージを無視してアクセスしたら、その後アクセス中に通信経路に流れているパケットは他の人が傍受しても暗号化されているので(コストに見合った時間内に)解読されることはない、という理解で正しいでしょうか?
        • > 外部からちゃんと正しく自宅鯖に到達できているとして
          それが本当に確認できて

          > 自宅鯖のSSLサイトにアクセスしようとした時にブラウザが出す証明書
          が自分と自宅の間にいる他の誰かがすりかえた証明書ではないことまで証明できればそのとおりです。
          • つまりダムハブを経路に入れるなどしてパケットを単に盗聴して情報を見られる事に対してだけならオレオレ証明書は役に立つわけですね。
            到達できているかあるいは証明書をすりかえられているかの確認はリスクですけど相手は自宅鯖なのでその辺はよしなにと言う運用はアリだと。

            #証明書についての正しい認識が広まってくれると、オレオレ証明書の自宅鯖SSLサイトを
            #訪れた人は門前で引き返してくれるから期せずして来る人が少なくなってうれしいかも。
            • つまりダムハブを経路に入れるなどしてパケットを単に盗聴して情報を見られる事に対してだけならオレオレ証明書は役に立つわけですね。
              前提に無理がある。「ハブを経路に入れる」なんてリスクの高い行為をするくらいなら、当然、「単に盗聴して」なんてつまらないことで済ますはずがなく、全ルーティングを乗っ取るでしょ?普通。
              • どして?
                海外のどこぞのホテルの部屋のLANとかだったらパケットの盗聴だけを目的にしてる輩がいても不思議じゃないでしょ?
                どこぞの企業のネットワーク管理者がつらつら社外に流れていくパケットを見ていないとも限らないし。
                だからこれはリスク度合いの問題なんだってば。
              • by Anonymous Coward on 2007年11月29日 8時31分 (#1257246)
                海外のどこぞのホテルの部屋のLANとかだったらパケットの盗聴だけを目的にしてる輩がいても不思議じゃないでしょ?
                その状況ならルーティングを全部乗っ取ることも可能。その方法を知らないというのならそれはあなたが無知なだけ。

                どうして受動的傍受だけしかしないという前提を置くの?という話。強い攻撃と弱い攻撃があるときに、自分のセキュリティ対策が正しいか考えるのに、わざわざ弱い攻撃だけ想定して満足するのはマヌケでしょ?

                親コメント
              • >わざわざ弱い攻撃だけ想定して満足するのはマヌケでしょ?

                アホか?あんたは。
                オレオレ証明書を使うことを前提にした時点でリスクの度合いの問題になると言っているのにね。カジュアルにパケットを覗き見られるのとルーティングを乗っ取られるのとどちらの機会が多いか少しは考えてみたらどう?
              • ルーティングを乗っ取るほうが多いなあ。私の場合。
                むしろ、passive な傍受はいまどき不可能な場合が多いの方が多いよね。
                傍受しようとすると、ルーティングを乗っ取るのが一番早いわけで。
              • 「ダムハブを経路に入れるなどして」と書いているのでpassiveな方法に限定してる訳じゃないんだけど、パケットを傍受しようとしてルーティングを乗っ取ったとしてパケットを傍受する以上の事をするかしないかはある程度の心理的なハードルがあるし普通は傍受が目的なら乗っ取ったルーティングはできるだけ乱さないようにそのままにしておくでしょう。
                それに普通はネットワーク管理者が(ルーティングを乗っ取って)パケットを傍受する行為は許されているけれど(ルーティングを乗っ取って)通信を妨害する行為は許されてないでしょ。なのでパケットの傍受が行なわれている機会の方がはるかに多いですよ。
              • それに普通はネットワーク管理者が(ルーティングを乗っ取って)パケットを傍受する行為は許されているけれど(ルーティングを乗っ取って)通信を妨害する行為は許されてないでしょ。なのでパケットの傍受が行なわれている機会の方がはるかに多いですよ。
                話がよくわからないのですが、ネットワーク管理者が盗聴する話をしているのですか?
              • ネットワーク管理者はパケットを傍受できる立場にあるという話です。そして全てのネットワーク管理者は聖人君主ではないということです。
              • だからオレオレ証明書でないことが重要なのでは? ネットワーク管理者なら何でもできますからね。

普通のやつらの下を行け -- バッドノウハウ専門家

処理中...