アカウント名:
パスワード:
タレコミの> Superfishでは自己署名証明書をシステムにプリインストールしておくことで
は、間違いで、
> 自己署名証明書を発行するルート認証局をインストールしていた (ZDNet)
が正しいようだ。
ああ、もしかしたら hylom によって、勝手に埋め込まれたってネタなのかもしれない。
問題を大きくしているのは、それにプラスして、「CAの秘密鍵をプログラム内に保有しており、かつ全機器で共通だった」点ですね。これにより、当該CAで認証した証明書を誰でも偽造できるようになったということです。
秘密鍵を持ってなきゃ、改竄後に返すものを署名できないですよ。秘密鍵自体はMITMに必須で、それをPC一台ごとに変えていなかったのが特徴。もちろん、こういうものを作ったり仕込んだりすることに倫理観がないというのは前提として。
>それをPC一台ごとに変えていなかったのが特徴。この対策でもいいですが、それよりも外のサーバ(MITMする前)の認証を行うときにsuperfishのCAで署名されたものを弾くようにすべきでしたねたぶん作った人はセキュリティの知識がなんにもない or そもそもセキュアにする気がないのでしょう
にわかには信じられないほどすさまじいな…。こんなことやられたら何も信じられないね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
自己署名証明書なら、ブラウザで警告出るだろう、と思ったら。 (スコア:1)
タレコミの
> Superfishでは自己署名証明書をシステムにプリインストールしておくことで
は、間違いで、
> 自己署名証明書を発行するルート認証局をインストールしていた (ZDNet)
が正しいようだ。
ああ、もしかしたら hylom によって、勝手に埋め込まれたってネタなのかもしれない。
Re:自己署名証明書なら、ブラウザで警告出るだろう、と思ったら。 (スコア:2, 興味深い)
問題を大きくしているのは、それにプラスして、「CAの秘密鍵をプログラム内に保有しており、かつ全機器で共通だった」点ですね。これにより、当該CAで認証した証明書を誰でも偽造できるようになったということです。
Re:自己署名証明書なら、ブラウザで警告出るだろう、と思ったら。 (スコア:2)
秘密鍵を持ってなきゃ、改竄後に返すものを署名できないですよ。秘密鍵自体はMITMに必須で、それをPC一台ごとに変えていなかったのが特徴。
もちろん、こういうものを作ったり仕込んだりすることに倫理観がないというのは前提として。
Re: (スコア:0)
>それをPC一台ごとに変えていなかったのが特徴。
この対策でもいいですが、それよりも外のサーバ(MITMする前)の認証を行うときにsuperfishのCAで署名されたものを弾くようにすべきでしたね
たぶん作った人はセキュリティの知識がなんにもない or そもそもセキュアにする気がないのでしょう
Re: (スコア:0)
にわかには信じられないほどすさまじいな…。こんなことやられたら何も信じられないね。