パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

総務省:「電子政府に100%の安全はなく、やむを得ない」」記事へのコメント

  • 問題なのは

    SSLの利用には、民間認証機関が発行するサーバー証明書が必要で、認証の根底に、政府認証基盤ではなく、民間認証機関を置くことになり問題だ

    と堂々と言ってのける総務省官房企画課だね。
    自前の認証局で発行した証明書でSSLを使用するだけでも、途中改ざんの危険は減るのに。ダウンロード時にブラウザの警告は出るけど、証明書をブラウザにインストールしようという人なら、そのサイトのことを始めから信頼してるでしょう? 警告が出るのが嫌なら、ブラウザベンダーに政府のルート証明書を最初からインストールしてくれるように、交渉すればいいんだよな。

    より安全にする方法はいくつも指摘されてるのに、政府のメンツを丸出しにしたり、被害の可能性を矮小化するコメントを聞くと、ほんと情けなくなりますよ。
    • 政府の認証機関は省庁ごとに設置して相互認証しているらしいです。他の省庁で認証されていれば証明されているということで、かなりの骨抜きになっているような…。

      オフトピですが省庁ごとに認証局を作ったのは認証局長というポストを作るためだったとか。
      親コメント
    • by Anonymous Coward on 2002年11月02日 5時11分 (#193793)

      ああ。なんてこった。

      第三者機関だからいいんじゃないか・・・

      それとも、政府サイト用の認証機関を作る気なのか?んで、100%の安全は無いのでそこがクラックされても致し方ない?もうほんと勘弁して下さい。

      親コメント
    • あれ? このページ [e-gov.go.jp]の「安全な通信を行うための証明書」って、てっきりSSLためのモノだとばかり思っていたが、違ったのか?
      --
      written by こうふう
      親コメント
    • そこまで言うならねぇ (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2002年11月02日 15時44分 (#194007)
      ほら、あんたがたが使ってるそのOSとかハードも民間で作ったものだよ。どこにバックドアが仕掛けられてるかわかったもんじゃない。ましてや元は日本製でさえないものもたくさんあるよね。おお、そうだ、パソコンに入ってるウィルスチェックのためのセキュリティソフトも、日本製のものはほとんどないよね。これも本当にセキュリティ機能だけしか持ってないと思ってるの?ひょっとするとスパイウエアが入ってて、日々の業務記録が外国のどこかで取られてる可能性は否定できないと思うがなぁー。いやー、民間企業って、信用できないからねー。やっぱこういうものはすべて国営にしないとまずいな。あっ!忘れてたけど、インターネットそのものも、民間が育てたネットワークだよね。少なくとも絶対の信頼性を基礎に置く官庁としては、インターネットも日本規格でいかないと、これから大変なことになると思うな。いやー、すげー税収不足とか、関西での失業率8.9%とか、それはそれは大変な世の中だけど、まぁ、せいぜいがんばってくださいね。

      やっぱ国の機関が信頼して使えるプロダクトは「官製」でなくちゃね。ほんと、ほんと。
      親コメント
    • 自前の認証局で発行した証明書でSSLを使用するだけでも、途中改ざんの危険は減るのに。ダウンロード時にブラウザの警告は出るけど、証明書をブラウザにインストールしようという人なら、そのサイトのことを始めから信頼してるでしょう?

      あぁ、ここにも高木氏の「SSL安全神話・SSL至上主義」に洗脳されちゃってる人がいるなぁ。
      ブラウザにまだインストールされてないルート証明


      • 自前の認証局で発行した証明書でSSLを使用するだけでも、途中改ざんの危険は減るのに。ダウンロード時にブラウザの警告は出るけど、証明書をブラウザにインストールしようという人なら、そのサイトのことを始めから信頼してるでしょう?

        あぁ、ここにも高木氏の「SSL安全神話・SSL至上主義」に洗脳されちゃってる人がいるなぁ。

        引用コメントが完全な解決にはならないのは確かですし、そういうのが広まるのは問題ですが、高木氏の~というのは元記事をちゃんと読んでないのでは?
        高木氏はルート証明書をダウンロードするために Verisign などから署名されたサーバ証明書を用いた SSL を使えば? といっているのではなかったっけ? (もちろん素直にそのサーバ証明書で運用するというのも案として出ていたと思う)
        親コメント
        • 高木氏の~というのは元記事をちゃんと読んでないのでは?

          VeriSignなど、既に多くのブラウザにルート証明が存在するSSLで独自のルート証明書を配るようにしても、偽サーバでhttpで偽ルート証明書を配られる事を阻止できないという事は既出なので書かなかっただけですが
          高木氏の「安全のため=SSL使え」「SSL使ってない=安全でない」という固定観念から抜け出せない様を「SSL安全神話・SSL至上主義」と書いたのです。
          で、それに洗脳されちゃってるから「SSL使ってないから安全じゃない」→「た

          • > VeriSignなど、既に多くのブラウザにルート証明が存在するSSLで独自のルート証明書を配るようにしても、偽サーバでhttpで偽ルート証明書を配られる事を阻止できないという事は既出なので書かなかっただけですが

            偽サーバで…以降の意味がわかりません。
            - SSLなのに「httpで」とは?

物事のやり方は一つではない -- Perlな人

処理中...