その為のSSL証明書？ (#318616) | Netscape/Mozillaに偽のURL表示が可能な脆弱性

「Netscape/Mozillaに偽のURL表示が可能な脆弱性」記事へのコメント

記事ページを表示すべてのコメント取得

検索48コメント Log In/Create an Account

その為のSSL証明書？ (スコア:5, 参考になる)

by jbeef (1278) on 2003年05月19日 1時04分 (#318616) 日記
部門名の「その為のSSL証明書」とは、おそらくこういうことを言いたいのではないかと思います。つまり、銀行など重要なサイトでパスワードを入れるときは、もともと証明書を目視確認するはずだから、このバグがあっても大丈夫のはずではないかと。これには述べておきたいことが2点あります。
まず、今回のバグを突いて偽の https:// サイトを表示した場合、錠前アイコンは施錠された状態となるようです。アイコンをクリックして「ページ情報」を出すと、「接続が暗号化されました」「認証局VeriSign Inc.によって確認されました」などと表示されます。しかし、「Webサイト (null) は……」と異常が見られ、証明書のSubject等も表示されない異常な表示となります。
次に、サイトの真正性を確認するために本来、証明書を目視確認しておくべきかという点についてですが、基本的に、サーバ証明書が正しいものか（信頼した認証局から発行されているか）は機械的に検証されるので、目視確認は不要です。目視確認をして、そのときは本物だったとしても、次のアクセスも同じ証明書が使われている保証にはならないので、結局目視確認は役に立たないのではないかと思います。また、機械検証で正規のものと判断される証明書（信頼した認証局から発行されたもの）の持ち主が、期待している本物とは異なる悪意あるサイト管理者である場合が、どういう場合かというと、
- 認証局がミスをして、ドメイン管理者以外にそのドメイン用の証明書を渡してしまって、DNSスプーフィング攻撃が行われている場合。
- 本物サイトのミスで、本物の証明書が盗み出され、DNSスプーフィング攻撃が行われている場合。
- 本物サイトとは異なる似通ったドメインのサイト上に、偽サイトが作られていて、正規に取得した証明書が使われている場合。
が考えられますが、1つ目と2つ目は、サーバ証明書を目視確認しても偽だと見破れません。3つ目のケースにおいて、サーバ証明書の目視確認に意義がありますが、これは、ドメイン所有者が誰であるかを、whois で調べるのでなしに、サーバ証明書で確認するというだけのことであり、日ごろから本物だと知っているドメインであれば、サーバ証明書を目視確認する必要はないのではないかと思います。
- うーん、微妙に論点がズレていませんか？ (スコア:3, 参考になる)
  
  by annoymouse coward (11178) on 2003年05月19日 9時50分 (#318743) 日記
  
  > 部門名の「その為のSSL証明書」とは、
  > おそらくこういうことを言いたいのではないかと思います。
  
  SSLが正しく機能していれば、
  今回のブラウザの不具合を使った攻撃は事実上成り立たない、
  ということで、この部門名になったのでは無いでしょうか？
  
  SSLが正しく機能しない場合の例がいくつか挙げられていますが
  SSLの証明書をどれだけ信用するかと言うような問題は
  ここでは考えず、SSLが正しく機能している場合を想定すると、
  
  1) フォームの内容を送信するときに、
  データの送り先のwebサーバのSSLの証明書が確認されて
  2) 実は別のサーバに飛ばされていたことに気が付く
  
  となるわけで、
  SSLが機能していれば危険は回避できるように思います。
  
  シェア
  
  親コメント
  - Re:うーん、微妙に論点がズレていませんか？ (スコア:1)
    
    by jbeef (1278) on 2003年05月19日 17時53分 (#319022) 日記
    
    となるわけで、
    SSLが機能していれば危険は回避できるように思います。
    おっしゃることがよくわかりません。
    仕掛けられた送信先が正規のサーバ証明書を使った任意のhttps:// のサイトであれば、警告は出ません。送信した後で、送信先が予期したところと違うとわかっても（わかりにくくすることも可能）、後の祭りです。（の場合があります）
    また、
    SSLが正しく機能しない場合の例がいくつか挙げられていますが
    SSLが正しく機能しない場合の例を挙げていません。というか、「SSLが正しく機能しない場合」の意味がわかりません。
    
    シェア
    
    親コメント
    - Re:うーん、微妙に論点がズレていませんか？ (スコア:0)
      
      by Anonymous Coward
      
      >仕掛けられた送信先が正規のサーバ証明書を使った任意の>https:// のサイトであれば、警告は出ません。
      
      正規のサーバ証明書で、
      ほかのドメインの証明をすることは出来ないですよ。
      
      そもそも、この点が理解されていないとしか思えないような
      コメントなのですが。しかもスコア５も付いているし。
      - Re:うーん、微妙に論点がズレていませんか？ (スコア:1)
        
        by jbeef (1278) on 2003年05月19日 20時25分 (#319109) 日記
        
        仕掛けられた送信先が正規のサーバ証明書を使った任意のhttps:// のサイトであれば、警告は出ません。
        正規のサーバ証明書で、ほかのドメインの証明をすることは出来ないですよ。
        他のドメインが、そのドメイン用の正規のサーバ証明書を使っている話をしているのですが。わかりませんかね。
        そもそも、この点が理解されていないとしか思えないようなコメントなのですが。しかもスコア５も付いているし。
        なるほど、あなたは天才なのですね。（スラドもそろそろ終わりなのかなあ。）
        
        シェア
        
        親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Netscape/Mozillaに偽のURL表示が可能な脆弱性 More ログイン

「Netscape/Mozillaに偽のURL表示が可能な脆弱性」記事へのコメント

その為のSSL証明書？ (スコア:5, 参考になる)

うーん、微妙に論点がズレていませんか？ (スコア:3, 参考になる)

Re:うーん、微妙に論点がズレていませんか？ (スコア:1)

Re:うーん、微妙に論点がズレていませんか？ (スコア:0)

Re:うーん、微妙に論点がズレていませんか？ (スコア:1)