アカウント名:
パスワード:
証明書が期限切れだったのに、それを使ったソフト(Opera)がインストールされたってことなのかな?証明書の意味なしてないけど、どういう意味なんだろう。期限切れ警告は出るけど無視してインストールしちゃう人がでたかもということかな。
盗まれた証明書の期限が 1/29/2013 だそうなので、それより前に、不正コードに署名していないと、攻撃は成功しないですよね?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
期限切れだったのにインストールされた? (スコア:0)
証明書が期限切れだったのに、それを使ったソフト(Opera)がインストールされたってことなのかな?
証明書の意味なしてないけど、どういう意味なんだろう。
期限切れ警告は出るけど無視してインストールしちゃう人がでたかもということかな。
Re: (スコア:2)
・署名した時点で証明書が有効期間内であり、
かつ、
・署名当時のタイムスタンプ・サーバーの署名が付いていれば、
特に警告の出ることはなく、正しい署名として検証されます。
iida
Re: (スコア:0)
盗まれた証明書の期限が 1/29/2013 だそうなので、
それより前に、不正コードに署名していないと、攻撃は成功しないですよね?
Re:期限切れだったのにインストールされた? (スコア:1)
コードを作る前にはコード署名のしようがないが、作ってタイムスタンプ署名さえあれば、コード署名自体は物理的にはいつでもよい。なぜなら攻撃者が署名用データを作ろうとするマシンの時計は、攻撃者が自分で勝手に変えられるだろうから。
マシンの時計だけテキトーに変えて、ごくふつうの署名用ソフトをしれっと使うだけでは、タイムスタンプ署名の時刻と現在時刻の差があるので、うまくいかないかもしれない (というか、うまくいかぬように署名用ソフトを実装してもらいたいものだ) ので、その場合署名用ソフトは自作することになるかも。
タイムスタンプをつけないのなら――でもこの場合は満了したら警告が出るはずだが――コード署名と同じでなんとでもなる。
iida