パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

EV証明書を使用して既知の企業になりすませる可能性が指摘される」記事へのコメント

  • >EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。

    表示の実装方法云々じゃなくて、審査が不十分なのが全ての問題。ここを直さないと他にも問題がボロボロ出てくるし、逆に直せばほぼ全ての問題が解決する。

    --
    しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
    • by Anonymous Coward on 2017年12月16日 15時13分 (#3330875)

      審査が不十分なのが全ての問題。

      正しく登記された実在の企業で、連絡先(住所等)も間違っていない、以上の何を審査すれば良いというのか。

      親コメント
      • by Anonymous Coward on 2017年12月16日 15時15分 (#3330878)

        実在の企業を作れてしまう脆弱性

        親コメント
        • by Anonymous Coward

          日本では登記住所さえ異なれば別に他社と同じ名前をつけていい。
          商標上の問題で訴えられるケースはあるけど、フィッシングをしようというヤツは気にしないだろうね。そもそも商標だって区分が違えば同一でも問題ないし。

          どこの国でもそうだと思うが、同一会社名を認めないとつけられる会社名がどんどん長くなってしまって困る。
          だから、会社が正規に設立される以上はどうしようもない。

          • by Anonymous Coward

            しかも国が違えばもう、重複なんてチェックすらされないしな
            それを審査が足らないというなら、既存企業のリネームも含めて、全世界の企業名を一意にする制度を整える必要が出てくる

            • 一応現状でも Safari 以外の主要ブラウザは EV 証明書の Subject "C" の国名をアドレスバーに表示しています。

              Safari  : Stripe, Inc
              Chrome  : Stripe, Inc [US]
              IE 11   : Stripe, Inc [US]
              Edge    : Stripe, Inc [US]
              Firefox : Stripe, Inc (US)
              ※各ブラウザの最新版でアドレスバーに表示される文字列

              しかし、同じ国内でも企業名の重複が許されている国がある(アメリカや日本など)ので、同国内だけであっても企業名を一意にするというのは現実的ではないですね。

              親コメント
              • by Anonymous Coward on 2017年12月17日 9時56分 (#3331095)

                国跨げば確実に、国内でも国によっては重複可能なIDでどうこうしようって発想がなぁ…
                なんかサイン文化とかFacebookに見られるような実名偏重&乱用の一環のようにも思える。

                そもそも、もともと全世界で重複のないドメイン名ってキーが有るのに
                どうしてわざわざ重複して識別が困難になるキーを有難がっているんだ。
                ましてやセキュリティ上の識別符号として使用するとか正気じゃない。
                ドメイン名が目的上正しいことを確認しつつ、補足的に運営組織が確認できる、で十分じゃないか。
                国際化ドメイン名使えば多言語で人間可読なドメイン名だって作り放題なのになんでまた……

                EV証明書に金払った企業としては派手にアピールしてほしいかもしれんが、
                そもそもこんなの鍵マーククリックするまで非表示だって構わんだろ…

                親コメント
              • by Anonymous Coward

                自分のFirefoxでは会社名等が表示されませんでした
                おかしいと調べたら設定-詳細のOCSPレスポンダ確認をオフにしていました
                オフにするとこういう危険性があるんですね

              • by Anonymous Coward

                重複ってのは要素の一つであって、それだけではないよ。
                ドメインだって期限切れの乗っ取りとかあるし、重複なしだけをみれば、期限切れのない一意な番号の方がよりよいかと言えば、そうならないのが実際。
                何故かって言えば、普段使わないものを間違わない可能性は低くなるから。そういう意味では普段使いするドメイン名で識別ってのは悪くないんだが、多くの人、ほとんどの場合ではドメイン名は直接入力ではない間接的な使用で「普段使い」とまでは言えないのも事実。

                実名や社名を使うのは、実生活で一番使われているであろうIDなのと、もう一つ、登録に

              • by Anonymous Coward

                重複しないのはそもそもの絶対条件でしょう。
                攻撃を想定するなら相手は偽装できる部分は全部偽装する。
                重複しないキーないしはキーセットを照合することでしか、目的の対象かどうかの識別はできない。
                ドメイン名は有効期間中は単体でそれを満たす。
                組織に関わる情報は、一般人が普段意識しない領域までキーセットに含めないとそれを満たせない。
                商標なら国名をキーセットに含めれば成立するけど…

                > ドメインだって期限切れの乗っ取りとかあるし
                フィッシング詐欺とか誤認させる詐欺を想定するならドメインの期限切れは想定しなくてよい筈。
                ドメイン名が普段使いされてないの

              • by Anonymous Coward

                >公権力の介入は詐欺師共にとって実際の所それが対した抑止力になってないことからわかるように、実効性が無い。
                実効性がないは言い過ぎでしょう。
                少なくとも私は店で買い物するのに詐欺かどうか怪しんだりしてません。日本ってそういう国じゃないですか?

              • by Anonymous Coward

                ここではEV証明書の審査に必要な会社の登記が抑止力として実効性があるかって話なので…
                ありとあらゆる公権力に実効性がないって言ってるわけではないですよ。

                というか物理店舗はそれを用意するコストが抑止力になっているので比較になりません。
                検索エンジンや広告や紹介風広告から見つけた、聞いたことのない通販サイトを初見で信用するのかって話の方が近いです。

              • by Anonymous Coward

                IEもOFFにするとEV証明書として表示されないらしい [cybertrust.ne.jp]。

                なんでなんだろ。
                即、失効確認できる状態でしかEV証明書として表示できないみたいなルールでもあるのか、ブラウザ側の検証手順で必須なデータがあるのか…

      • ペーパーカンパニーでないかどうかのチェックぐらいは定期的に…無理かなぁ。無理っぽいなぁ。
        Safariの実装が頭おかしいのは判ったけど

        親コメント
        • ペーパーカンパニーでないかどうかのチェックぐらいは定期的に…無理かなぁ。無理っぽいなぁ。
          Safariの実装が頭おかしいのは判ったけど

          法人の納税証明書を毎年送付する義務をつけるとか。
          新規法人も納税証明書取れます。

          親コメント
          • by Anonymous Coward

            ペーパーかどうか、納税金額が多いかどうか、そういうのと信頼がおけるかどうかとは別だから、ぶっちゃけ意味ないよねw

            • by Anonymous Coward

              金額が多いか?なんて誰か言ったかな?

              ペーパーかそうでないかは、
              納税してるかしてないかでしょ。

              納税してるけどペーパー、営業してるけどペーパーとか良い始めたらきりがない。

              • by Anonymous Coward

                納税額ゼロでも納税証明書取れちゃうよ・・・

        • by Anonymous Coward

          世の中ペーパーカンパニーだらけで成りすましする側は法人すら立ち上げずにやるんだから意味がない

      • 格付け機関 [wikipedia.org]に依頼するか、同じ審査をやれば良い。

        --
        しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
        親コメント
        • by Anonymous Coward

          リンク先を読んだら格付け機関がつけてる信用格付の信憑性にも問題が,みたいなことが.
          とすると,格付け機関の格付けも必要なのかも?

        • by Anonymous Coward

          ユニークユーザー数とかアクセス数とかが大きなサービスに限れば分かりやすい指標になると思う。
          Googleならできる。他はできない。

      • by Anonymous Coward

        商標。
        できれば商標法の方で「Webサービスとして使用する名前、Webサービス提供車の名前」等の区分を各国で設けてもらってそれを持ってる会社であることを確認するあたりが妥当かなぁ…

        でも根本的な話として「使おうと思っているサービスの正しい何らかの名前」と表示されている名前をユーザが比較するのは同じ。
        会社名オンリーは重複し放題で論外だが、国と会社名にしても、国と商標にしても、ドメイン名にしてもその比較方法は変わらない。
        どうせHTTPSでアクセスするんだったらドメイン名オンリーで見たほうがチェックしなきゃいけない情報少なくて安全な気がするなぁ…

        • by Anonymous Coward

          じゃあ中国みたいにサイト運営するときは登録制にするしかないのかな。

        • by Anonymous Coward

          Cannonかもしれんよ。
          ドメインっても
          http://www.mitubishisteel.co.jp/ [mitubishisteel.co.jp]
          とか
          http://www.nissin-oilio.com/ [nissin-oilio.com]
          とかあるし
          #正しくはWebで検索!

          • by Anonymous Coward

            だからこそ、ドメインを可能な限り覚えやすいものにした上でそれをちゃんと宣伝すれば良いんじゃないかな。
            とりあえず無駄な「www.」を省くところから。

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...