アカウント名:
パスワード:
>EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。
表示の実装方法云々じゃなくて、審査が不十分なのが全ての問題。ここを直さないと他にも問題がボロボロ出てくるし、逆に直せばほぼ全ての問題が解決する。
審査が不十分なのが全ての問題。
正しく登記された実在の企業で、連絡先(住所等)も間違っていない、以上の何を審査すれば良いというのか。
実在の企業を作れてしまう脆弱性
日本では登記住所さえ異なれば別に他社と同じ名前をつけていい。商標上の問題で訴えられるケースはあるけど、フィッシングをしようというヤツは気にしないだろうね。そもそも商標だって区分が違えば同一でも問題ないし。
どこの国でもそうだと思うが、同一会社名を認めないとつけられる会社名がどんどん長くなってしまって困る。だから、会社が正規に設立される以上はどうしようもない。
しかも国が違えばもう、重複なんてチェックすらされないしなそれを審査が足らないというなら、既存企業のリネームも含めて、全世界の企業名を一意にする制度を整える必要が出てくる
一応現状でも Safari 以外の主要ブラウザは EV 証明書の Subject "C" の国名をアドレスバーに表示しています。
Safari : Stripe, IncChrome : Stripe, Inc [US]IE 11 : Stripe, Inc [US]Edge : Stripe, Inc [US]Firefox : Stripe, Inc (US)※各ブラウザの最新版でアドレスバーに表示される文字列
しかし、同じ国内でも企業名の重複が許されている国がある(アメリカや日本など)ので、同国内だけであっても企業名を一意にするというのは現実的ではないですね。
国跨げば確実に、国内でも国によっては重複可能なIDでどうこうしようって発想がなぁ…なんかサイン文化とかFacebookに見られるような実名偏重&乱用の一環のようにも思える。
そもそも、もともと全世界で重複のないドメイン名ってキーが有るのにどうしてわざわざ重複して識別が困難になるキーを有難がっているんだ。ましてやセキュリティ上の識別符号として使用するとか正気じゃない。ドメイン名が目的上正しいことを確認しつつ、補足的に運営組織が確認できる、で十分じゃないか。国際化ドメイン名使えば多言語で人間可読なドメイン名だって作り放題なのになんでまた……
EV証明書に金払った企業としては派手にアピールしてほしいかもしれんが、そもそもこんなの鍵マーククリックするまで非表示だって構わんだろ…
自分のFirefoxでは会社名等が表示されませんでしたおかしいと調べたら設定-詳細のOCSPレスポンダ確認をオフにしていましたオフにするとこういう危険性があるんですね
重複ってのは要素の一つであって、それだけではないよ。ドメインだって期限切れの乗っ取りとかあるし、重複なしだけをみれば、期限切れのない一意な番号の方がよりよいかと言えば、そうならないのが実際。何故かって言えば、普段使わないものを間違わない可能性は低くなるから。そういう意味では普段使いするドメイン名で識別ってのは悪くないんだが、多くの人、ほとんどの場合ではドメイン名は直接入力ではない間接的な使用で「普段使い」とまでは言えないのも事実。
実名や社名を使うのは、実生活で一番使われているであろうIDなのと、もう一つ、登録に
重複しないのはそもそもの絶対条件でしょう。攻撃を想定するなら相手は偽装できる部分は全部偽装する。重複しないキーないしはキーセットを照合することでしか、目的の対象かどうかの識別はできない。ドメイン名は有効期間中は単体でそれを満たす。組織に関わる情報は、一般人が普段意識しない領域までキーセットに含めないとそれを満たせない。商標なら国名をキーセットに含めれば成立するけど…
> ドメインだって期限切れの乗っ取りとかあるしフィッシング詐欺とか誤認させる詐欺を想定するならドメインの期限切れは想定しなくてよい筈。ドメイン名が普段使いされてないの
>公権力の介入は詐欺師共にとって実際の所それが対した抑止力になってないことからわかるように、実効性が無い。実効性がないは言い過ぎでしょう。少なくとも私は店で買い物するのに詐欺かどうか怪しんだりしてません。日本ってそういう国じゃないですか?
ここではEV証明書の審査に必要な会社の登記が抑止力として実効性があるかって話なので…ありとあらゆる公権力に実効性がないって言ってるわけではないですよ。
というか物理店舗はそれを用意するコストが抑止力になっているので比較になりません。検索エンジンや広告や紹介風広告から見つけた、聞いたことのない通販サイトを初見で信用するのかって話の方が近いです。
IEもOFFにするとEV証明書として表示されないらしい [cybertrust.ne.jp]。
なんでなんだろ。即、失効確認できる状態でしかEV証明書として表示できないみたいなルールでもあるのか、ブラウザ側の検証手順で必須なデータがあるのか…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
原因と対策が最初の2行でわかる (スコア:2)
>EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。
表示の実装方法云々じゃなくて、審査が不十分なのが全ての問題。ここを直さないと他にも問題がボロボロ出てくるし、逆に直せばほぼ全ての問題が解決する。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re: (スコア:0)
審査が不十分なのが全ての問題。
正しく登記された実在の企業で、連絡先(住所等)も間違っていない、以上の何を審査すれば良いというのか。
Re:原因と対策が最初の2行でわかる (スコア:1)
実在の企業を作れてしまう脆弱性
Re: (スコア:0)
日本では登記住所さえ異なれば別に他社と同じ名前をつけていい。
商標上の問題で訴えられるケースはあるけど、フィッシングをしようというヤツは気にしないだろうね。そもそも商標だって区分が違えば同一でも問題ないし。
どこの国でもそうだと思うが、同一会社名を認めないとつけられる会社名がどんどん長くなってしまって困る。
だから、会社が正規に設立される以上はどうしようもない。
Re: (スコア:0)
しかも国が違えばもう、重複なんてチェックすらされないしな
それを審査が足らないというなら、既存企業のリネームも含めて、全世界の企業名を一意にする制度を整える必要が出てくる
Re:原因と対策が最初の2行でわかる (スコア:2)
一応現状でも Safari 以外の主要ブラウザは EV 証明書の Subject "C" の国名をアドレスバーに表示しています。
しかし、同じ国内でも企業名の重複が許されている国がある(アメリカや日本など)ので、同国内だけであっても企業名を一意にするというのは現実的ではないですね。
Re:原因と対策が最初の2行でわかる (スコア:1)
国跨げば確実に、国内でも国によっては重複可能なIDでどうこうしようって発想がなぁ…
なんかサイン文化とかFacebookに見られるような実名偏重&乱用の一環のようにも思える。
そもそも、もともと全世界で重複のないドメイン名ってキーが有るのに
どうしてわざわざ重複して識別が困難になるキーを有難がっているんだ。
ましてやセキュリティ上の識別符号として使用するとか正気じゃない。
ドメイン名が目的上正しいことを確認しつつ、補足的に運営組織が確認できる、で十分じゃないか。
国際化ドメイン名使えば多言語で人間可読なドメイン名だって作り放題なのになんでまた……
EV証明書に金払った企業としては派手にアピールしてほしいかもしれんが、
そもそもこんなの鍵マーククリックするまで非表示だって構わんだろ…
Re: (スコア:0)
自分のFirefoxでは会社名等が表示されませんでした
おかしいと調べたら設定-詳細のOCSPレスポンダ確認をオフにしていました
オフにするとこういう危険性があるんですね
Re: (スコア:0)
重複ってのは要素の一つであって、それだけではないよ。
ドメインだって期限切れの乗っ取りとかあるし、重複なしだけをみれば、期限切れのない一意な番号の方がよりよいかと言えば、そうならないのが実際。
何故かって言えば、普段使わないものを間違わない可能性は低くなるから。そういう意味では普段使いするドメイン名で識別ってのは悪くないんだが、多くの人、ほとんどの場合ではドメイン名は直接入力ではない間接的な使用で「普段使い」とまでは言えないのも事実。
実名や社名を使うのは、実生活で一番使われているであろうIDなのと、もう一つ、登録に
Re: (スコア:0)
重複しないのはそもそもの絶対条件でしょう。
攻撃を想定するなら相手は偽装できる部分は全部偽装する。
重複しないキーないしはキーセットを照合することでしか、目的の対象かどうかの識別はできない。
ドメイン名は有効期間中は単体でそれを満たす。
組織に関わる情報は、一般人が普段意識しない領域までキーセットに含めないとそれを満たせない。
商標なら国名をキーセットに含めれば成立するけど…
> ドメインだって期限切れの乗っ取りとかあるし
フィッシング詐欺とか誤認させる詐欺を想定するならドメインの期限切れは想定しなくてよい筈。
ドメイン名が普段使いされてないの
Re: (スコア:0)
>公権力の介入は詐欺師共にとって実際の所それが対した抑止力になってないことからわかるように、実効性が無い。
実効性がないは言い過ぎでしょう。
少なくとも私は店で買い物するのに詐欺かどうか怪しんだりしてません。日本ってそういう国じゃないですか?
Re: (スコア:0)
ここではEV証明書の審査に必要な会社の登記が抑止力として実効性があるかって話なので…
ありとあらゆる公権力に実効性がないって言ってるわけではないですよ。
というか物理店舗はそれを用意するコストが抑止力になっているので比較になりません。
検索エンジンや広告や紹介風広告から見つけた、聞いたことのない通販サイトを初見で信用するのかって話の方が近いです。
Re: (スコア:0)
IEもOFFにするとEV証明書として表示されないらしい [cybertrust.ne.jp]。
なんでなんだろ。
即、失効確認できる状態でしかEV証明書として表示できないみたいなルールでもあるのか、ブラウザ側の検証手順で必須なデータがあるのか…