パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場」記事へのコメント

  • こういうのが理解できるなら。

    また、できないならできないなりに、「やばそう?」と感じたら近寄らなきゃいいし、「大丈夫だろう」と思うなら使っていればいい。
    それで結果的にどうなろうと、それは選択した人間の意思なんだし。

    啓蒙として「こういうのはこうなんですよ」と世間に向けて発信するのはいいけど、いちいち銀行などに指図をするのは共感できないな。
    • by Anonymous Coward
      銀行などは公共性が高いわけですし、そういった分野であやまった解釈がまかりとおってしまい、SSLの基盤が社会的に無効化されてしまうことに危惧をもつのは、技術者としては普通だと思います。

      業界ゴロではなく、正しく声を上げるという点でも評価できます。これを認証局が言えばカドが立つでしょうし。
      • >SSLの基盤が社会的に無効化されてしまうことに危惧をもつのは
        そもそも現在のPKIが社会的に信用を得ていないから無視されるわけでしょう。
        無視されたからPKIが無効化されたというのは本末転倒です。

        そもそも認証局の信頼性にどんな社会的担保があるんでしょう?
        行政府や、強制力のある監督機関が定期的にチェックしてるんでしょうか。
        man-in-the-middle の危険性を吹聴しますが、man-in-the-ca の可能性は無視していませんか?
        • じゃあ、どうしろというのかね?
          君のソリューションを見せてもらおうじゃないか。
          • by Anonymous Coward on 2007年11月29日 13時10分 (#1257327)
            PKIは技術的に設計されたもので、社会的システムとして設計されていません。
            PKIを運用する社会システムを作ればよいのです。
            PKI懐疑派は社会的信頼性を問題にしているのに、PKI賛美派は技術的信頼性を力説するばかりです。

            PKIが技術的に達成した信頼性を現実社会で運用するにはコスト的な問題があります。
            しかし幸いにも、現実社会ではセキュリティ屋の求める100%の信頼性は必要としません。
            現実的なコストで大多数をカバーできる安全と、そこから漏れた犯罪を摘発し裁き損害を補填する仕組みがあればよいのです。

            親コメント
            • CPSを読みましょう。証明書の発行プロセスに実在確認など
              一定の社会的信頼性を組み込むことはすでに行われています。
              技術的に利便性を向上させるEVSSLの仕組みも始まっています。

              PKI技術だけで社会的信頼性が保証されることはありませんが
              PKI基盤なしにインターネット上で社会的信頼性を担保することは
              現実的ではありません。
              # もしかしてWeb of Trustの信奉者だったりしますか?

              PKIを用いない場合に発生させる損害のコストを引き受けるなら
              どうぞご自由になさればよろしいですが、「オレオレ証明書」や
              平文通信が安全であるかのように吹聴するようなことは
              くれぐれもなさいませんように。
            • PKIは技術的に設計されたもので、社会的システムとして設計されていません。
              いいえ。PKI は初めから社会システムとして設計された技術応用です。 「PKI」は技術の名前ではありません。Public Key Infrastructure(公開鍵基盤) という名前が示す通り、社会のインフラなのです。

              それを破壊する行為をしているのは一部のレベルの低い技術者達です。
              「セキュリティ上の問題はありません」と書いている銀行も、ベンダーにそう言われて書いているにすぎません。破壊しているのは一部の技術者です。

              PKI懐疑派は社会的信頼性を問題にしているのに、PKI賛美派は技術的信頼性を力説するばかりです。
              誰か賛美しているのですか? 社会システムとしてのPKIの前提となる技術の部分で使用方法に明確な誤りが見られるのだから、それを是正するのは当然でしょう。PKI懐疑派であろうと賛美派であろうと、技術的誤りは純然たる誤りです。
            • > PKI懐疑派は社会的信頼性を問題にしているのに、
              > PKI賛美派は技術的信頼性を力説するばかりです。

              フフン。つまり君の言いたいことはこうかな?
              「俺はPKI懐疑派だ。だから俺はオレオレ証明書を使うし、それで問題ないと説明する。」

※ただしPHPを除く -- あるAdmin

処理中...