アカウント名:
パスワード:
サーバ側に公開鍵登録してっていう依頼ならそりゃ平文で送るなは正しい。(HTTP、FTPでの転送って意味だよ)それぞれの「理由」が書いてないので公開することを嫌がる事を批判する事がおかしい
転送方法に関わりなく、盗まれようと流出しようと問題はないです。PKIの仕組みを勉強した方が良いのでは?
どういう意図で、公開したくないと言ったのかが解らないため、真意はわかりませんが、
例えば、乱数的に生成されたURLを発行し、それを知る人物しかアクセスできないことで、第三者によるアクセスを防ごうとするシステムがあるように、公開鍵を隠すことで、通信を開始できないようにするという考え方もあるのではないのでしょうか?
公開暗号方式自体が安全だとしても、実装が本当に安全であるかは判らない訳で、(現実で起こった例と挙げるとすれば、TLSの仕様が(実用面ではともかくとしてセキュリティ面で)問題なかったとしても、その実装でHeartbleedのような脆弱性が発見された)「通信を開始できる人間を限定することで、そのような脆弱性をつつかれる可能性を減らす」という考え方はあるのではないでしょうか?
それなら、公開鍵の隠匿なんて雑な方法じゃなく、クライアント証明書でいいんじゃないの?
という考えは、公開暗号方式の仕組みの知識があっても、使われた方の知識がなければ要求・提案できないし、
公開したくないと言った人が仕組みしか知っていなかった可能性はあるのだから、「理由」を聞いて、提案しないといけないんじゃないの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
背景によるとしか (スコア:0)
サーバ側に公開鍵登録してっていう依頼ならそりゃ平文で送るなは正しい。
(HTTP、FTPでの転送って意味だよ)
それぞれの「理由」が書いてないので公開することを嫌がる事を批判する事がおかしい
Re: (スコア:0, フレームのもと)
転送方法に関わりなく、盗まれようと流出しようと問題はないです。
PKIの仕組みを勉強した方が良いのでは?
酔っぱらった状態での意見だけど (スコア:1)
どういう意図で、公開したくないと言ったのかが解らないため、真意はわかりませんが、
例えば、乱数的に生成されたURLを発行し、それを知る人物しかアクセスできないことで、
第三者によるアクセスを防ごうとするシステムがあるように、
公開鍵を隠すことで、通信を開始できないようにするという考え方もあるのではないのでしょうか?
公開暗号方式自体が安全だとしても、実装が本当に安全であるかは判らない訳で、
(現実で起こった例と挙げるとすれば、TLSの仕様が(実用面ではともかくとしてセキュリティ面で)問題なかったとしても、
その実装でHeartbleedのような脆弱性が発見された)
「通信を開始できる人間を限定することで、そのような脆弱性をつつかれる可能性を減らす」
という考え方はあるのではないでしょうか?
Re: (スコア:0)
それなら、公開鍵の隠匿なんて雑な方法じゃなく、クライアント証明書でいいんじゃないの?
Re:酔っぱらった状態での意見だけど (スコア:1)
という考えは、公開暗号方式の仕組みの知識があっても、
使われた方の知識がなければ要求・提案できないし、
公開したくないと言った人が仕組みしか知っていなかった可能性はあるのだから、
「理由」を聞いて、提案しないといけないんじゃないの?