アカウント名:
パスワード:
主要ブラウザの証明書ストアにプロテクトはかかってなかったのか?それともプロテクトはあったがsuperfishがアッサリ突破してしまったのか?
superfish の件は突破したのではなくて、出荷当時からインストールされていたのです。今回の表題の件とはまた趣旨が異なります。
あと、一般的なアプリケーションインストールではUACで止めてもユーザーが明示的に続行させるので、OSにプロテクト機構があったとしても意味はありません。# ウイルス対策ソフトががんばる領域
素朴な疑問だけど、こんな簡単で効果絶大の脆弱性が何で放置されてたんだろ?
証明書ストアの事を指しているんなら勘違いしてますよ
今回、信頼の要たる証明書を簡単に偽物と置き換えることができるって証明されたよね?誰かこの件を警告してきたの?
今回新たに証明されたことなんて何もない。PCに事前にCA証明書をインストールさせる事でSSL通信が傍受される事は分かってたことだし、それを利用した企業向けのProxy製品もある。
それ、もっと啓蒙されるべきだよね「ブラウザに鍵マークが表示されていれば安全です」って呑気に書いてる本やサイトの多いことといったら
世の中の『信頼』がどのように成り立っているか考えるといいよ。
ルート証明書のインストール自体は普通にやることだよ。それこそ認証がからむ場面では証明書ばりばり出てくるからね。信頼できないソフトをインストールしないのと同じように、信頼できない証明書はインストールするべきではない、ってだけのこと
今はどうか知らんがちょっと前までは日本の省庁がサービス利用のためにオレオレ証明書をインストールしろとか言ってたくらいだからな
今回、信頼の要たる証明書を簡単に偽物と置き換えることができるって証明されたよね?
SuperFishの動作も理解してなさげ。君はそもそも証明書って物を理解してないようなので話が噛み合ってない。
簡単にはできない。
「(ウィルス入りの)便利そうなツールをインストールしますか?」→「はい」「(怪しい)便利な証明書をインストールしますか?」→「はい」
と選ばせるのと同じぐらいの手間がかかる。
「ツールのインストール」→「ウィルスが危ないかも知れない、気をつけよう」「証明書のインストール」→「なんだこれ? よく分からんので『はい』」
と言う層がそこそこ多そうだけど、啓蒙されずに放置されてない? と言う意味なら、まあそうかも。頑張れ。
エンドユーザーにはちゃんと警告出してるしそれをスキップする事は出来ないはずだしまさかOSをプリインストールするメーカーがそんな馬鹿なことするはずないと思い込んでいましたすいませんでした
//こうして不自由なOSに・・・
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
ブラウザの証明書ストアのプロテクトは? (スコア:0)
主要ブラウザの証明書ストアにプロテクトはかかってなかったのか?
それともプロテクトはあったがsuperfishがアッサリ突破してしまったのか?
Re:ブラウザの証明書ストアのプロテクトは? (スコア:1)
superfish の件は突破したのではなくて、出荷当時からインストールされていたのです。
今回の表題の件とはまた趣旨が異なります。
あと、一般的なアプリケーションインストールではUACで止めてもユーザーが明示的に続行させるので、OSにプロテクト機構があったとしても意味はありません。
# ウイルス対策ソフトががんばる領域
Re: (スコア:0)
素朴な疑問だけど、こんな簡単で効果絶大の脆弱性が何で放置されてたんだろ?
Re: (スコア:0)
証明書ストアの事を指しているんなら勘違いしてますよ
Re: (スコア:0)
今回、信頼の要たる証明書を簡単に偽物と置き換えることができるって証明されたよね?
誰かこの件を警告してきたの?
Re: (スコア:0)
今回新たに証明されたことなんて何もない。
PCに事前にCA証明書をインストールさせる事でSSL通信が傍受される事は分かってたことだし、
それを利用した企業向けのProxy製品もある。
Re: (スコア:0)
それ、もっと啓蒙されるべきだよね
「ブラウザに鍵マークが表示されていれば安全です」って呑気に書いてる本やサイトの多いことといったら
Re: (スコア:0)
世の中の『信頼』がどのように成り立っているか考えるといいよ。
Re: (スコア:0)
ルート証明書のインストール自体は普通にやることだよ。
それこそ認証がからむ場面では証明書ばりばり出てくるからね。
信頼できないソフトをインストールしないのと同じように、
信頼できない証明書はインストールするべきではない、
ってだけのこと
Re: (スコア:0)
今はどうか知らんがちょっと前までは日本の省庁がサービス利用のためにオレオレ証明書をインストールしろとか言ってたくらいだからな
Re: (スコア:0)
今回、信頼の要たる証明書を簡単に偽物と置き換えることができるって証明されたよね?
SuperFishの動作も理解してなさげ。
君はそもそも証明書って物を理解してないようなので話が噛み合ってない。
Re: (スコア:0)
簡単にはできない。
「(ウィルス入りの)便利そうなツールをインストールしますか?」→「はい」
「(怪しい)便利な証明書をインストールしますか?」→「はい」
と選ばせるのと同じぐらいの手間がかかる。
「ツールのインストール」→「ウィルスが危ないかも知れない、気をつけよう」
「証明書のインストール」→「なんだこれ? よく分からんので『はい』」
と言う層がそこそこ多そうだけど、啓蒙されずに放置されてない? と言う意味なら、まあそうかも。頑張れ。
Re: (スコア:0)
エンドユーザーにはちゃんと警告出してるしそれをスキップする事は出来ないはずだし
まさかOSをプリインストールするメーカーがそんな馬鹿なことするはずないと思い込んでいました
すいませんでした
//こうして不自由なOSに・・・