アカウント名:
パスワード:
少なくとも私を含め、娯楽として使ってる人間に、実際どれほどの被害があるのだろう?
自分が被害なさそうなら、他の人達もなさそうということですか。そういう想像力の欠如した人は、
ほんとにその仕組みが無いと、あなた困るの?
そもそも、インターネットの仕様そのものがそんなに安全なものでは無い訳です。
どこの部分が安全でないと?SSLの使用を前提にしていても?
Webにしろ、メールの相手にしろ、個人や団体との対応が保証されたものではありません。 現実世界でも悪意を持った人間の犯罪はありますが、この点が明確になってないのが、ネット上の犯罪を増やす原因で一番大きいのでは。 仮にセキュリティーホールがあったとしても(もちろん無い方が良いのですが)、すべてのアクセスについて個人が特定できる仕組みがあれば、現実世界以上に犯罪は減るのでは無いかと思います。(運用を誤るとプライバシーも無くなりますが) SSLは、現在は安全とされてる訳です
Webにしろ、メールの相手にしろ、個人や団体との対応が保証されたものではありません。
SSLは、現在は安全とされてる訳ですが、どこかで盗聴に成功していても気づくことは出来ません。
(ただし、これについてはあまり現実的では無い話ですので、屁理屈程度の話です)
現在の仕組みでは無理でも、仕組みを変える、新しく作る事は出来るでしょ?
SSLを使用したWebは、サーバ運営者と団体の対応が保証されていますが?
わかってるなら書かなきゃいいのに。
仕組みを変えても同じ結果になると思いますよ。そうでないなら、とても不便なシステムになるか、全然普及しないシステムになるか、一社独占のシステムになるでしょう。
SSL を使用した HTTP 通信で保証されるのは,
ということだけで,それ以上でもそれ以下でもありません。
通信は盗聴されないかもしれないし,相手は別人のなりすましではないかもしれませんが,相手先が顧客名簿を流出させないという保証には,ならないでしょうね。暗号化と相手先確認だけが問題なら,「SSLなら大丈夫」でいいのでしょうけれど。
その通りですが、何か?
相手先が顧客名簿を流出させないという保証には,ならないでしょうね。
だからセキュリティホールの
ま、SSLだろうがOSそのものだろうが、結局のところただの道具なので、道具側でいくらがんばっても使う人間がタコなら一緒。
PL法には、製造者の責任において正しい使用法や危険性をユーザーに知らしめる、というのも含まれているわけです。要はシートベルトしないで事故を起こして怪我しても、それはメーカーの責任ではない。だけどシートベルトの機構そのものに欠陥があったら、それはメーカーの責任。
現状のソフトウェアの使用許諾は、上記の両方の責任をメーカーが一方的にユーザーに押し付けているように見えるんですよ。で、元記事は両方をメーカーに負わせようとしている感じ。どっちも間違ってると思うんですけどね。
私ゃ、要は変に隠したり [srad.jp]、開き直ったり [srad.jp]、反対に言いがかりをつけたり [srad.jp]せずに、正しく迅速かつ積極的に情報を開示し、速やかに対処してくれさえすれば良いんですけど。
あなたも「そもそも、インターネットの仕様そのものがそんなに安全なものでは無い訳です。 」とおっしゃるのですか?
いや,そうまでは申しませんが, 「そもそも…」という言明に対して, 「いや,SSL があるから大丈夫だ」と反論されたようでしたので, 「SSL が解決するのは,問題の一部だけだ」と申し上げたまでです。
SSL で接続したからと言っても相手として確認できるのは ドメイン名だけだから,たとえば takashimaya.com を名乗っているから「高島屋」のサイトだという保証はないし, 相手のサイトの管理がちゃんとしていることの保証にもならないから,名簿流出その他のリスクはもちろんある。 そういうのを全部セキュリティホールだと言われるなら, もう何も申しませんが。
ところで,匿名で投稿されておられるので わからないのですが,同一人物ですよね。 本人確認できないので自信がないのですが:-)
SSL で接続したからと言っても相手として確認できるのはドメイン名だけだから,
いや,そうまでは申しませんが,「そもそも…」という言明に対して,「いや,SSL があるから大丈夫だ」と反論されたようでしたので,「SSL が解決するのは,問題の一部だけだ」と申し上げたまでです。
あのねえ、議論の流れ把握してる? 最初の人は、「俺は困らない。大事なことにインターネットを使う奴の気が知れん」って言ったわけ。なぜかと問いただしたら、「インターネットなんかそもそも仕様からして安全じゃない」って言うわけ。じゃあどういうネットなら安全なのさ。iモードみたいなキャリア企業独占の世界でいいわけ?自由に相互につなげるネットにしたら必ず今のインターネ
接続先ドメインと,相手が持っている証明書に書かれているドメイン名とが一致している (略) ということだけで,それ以上でもそれ以下でもありません。
それは違うでしょう。
高島屋の例を用いるなら、 https://www.takashimaya.co.jp/ [takashimaya.co.jp] にアクセスすれば、鍵アイコンが現れ、そこをクリックして、サーバ証明書の内容を確認すると、「サブジェクト」という欄に、
CN = www.takashimaya.co.jp OU = TVM1 O = TAKASHIMAYA CO., LTD. OU = Member, VeriSign Trust Network OU = Authenticated by VeriSign Japan K.K. OU = Terms of use at www.verisign.co.jp/RPA (c)00 L = Naniwa-ku S = Osaka C = JP
P.S. 証明書のこの部分、日本語も使えるようになっているべきだけど、国際化はどうなっているのだろう…?
じゃあどういうネットなら安全なのさ。iモードみたいなキャリア企業独占の世界でいいわけ?自由に相互につなげるネットにしたら必ず今のインターネットと同じ問題が出てくるんじゃないの?サーバがお目当ての組織が本当に運営している物かってのは、SSLのサーバ証明書の発行先を見てユーザが確認する。この仕組みは、今インターネットをやめて、他の方式にしたって原理は同じだろうさ。
高島屋の例を用いるなら、 https://www.takashimaya.co.jp/ にアクセスすれば、鍵アイコンが現れ、そこをクリックして、サーバ証明書の内容を確認すると、「サブジェクト」という欄に、
もし決まりが無いのなら、SSLそのものの話ではなく、
「SSLそのものの話ではない」というのは、どういう意味ですか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
根本的には (スコア:1)
現状のMS製品だって、「命や資産に関わるところに使うな」って書くだけでPL法から逃れてるし、、、
(個人的には、ウイルスによる被害でBIOS飛ばされたりしたら、メーカーにPL法が適用できないのかと思ってみたり。すでにPOSにNT載ってたりするけど、その辺の問題は無いんですかね)
元記事で言うような、仮に「XX法」って法律が出来ても、現在のMS製品に適用することは出来ないでしょう。
そ
Re:根本的には (スコア:0)
自分が被害なさそうなら、他の人達もなさそうということですか。そういう想像力の欠如した人は、
Re:根本的には (スコア:1)
安全性に問題があると判っている部品で仕組みを作って、後から騒いでるんでしょ?
しかも「なりつつある」だけでしょ? ほんとにその仕組みが無いと、あなた困るの?
少なくとも、私がそう言う仕組みの開発に関わるなら、全力で開発そのものに反対しますが。(少なくとも現状では)
Re:根本的には (スコア:0)
私が困らないとかあなたが困らないとかは関係ないわけ。
Re:根本的には (スコア:1)
ここで話題になってるのは、ソフトウェアのセキュリティホールですけど、そもそも、インターネットの仕様そのものがそんなに安全なものでは無い訳です。
そんな仕組みを、何かあったら利用者に被害が及ぶような用途に利用するってのは、根本からおかしい。
(知らないうちにセキュリティホールって言い換えられてるけど、結局は、昔からあったバグな訳ですし)
つまり、現在のインターネットって、所詮は娯楽用途が限界なので、そんな用途なら大して困らないのでは?
、、、と私は言ったつも
Re:根本的には (スコア:0)
インターネット以外のネットを使えばどうにかなるとでも?
Re:根本的には (スコア:1)
Webにしろ、メールの相手にしろ、個人や団体との対応が保証されたものではありません。
現実世界でも悪意を持った人間の犯罪はありますが、この点が明確になってないのが、ネット上の犯罪を増やす原因で一番大きいのでは。
仮にセキュリティーホールがあったとしても(もちろん無い方が良いのですが)、すべてのアクセスについて個人が特定できる仕組みがあれば、現実世界以上に犯罪は減るのでは無いかと思います。(運用を誤るとプライバシーも無くなりますが)
SSLは、現在は安全とされてる訳です
Re:根本的には (スコア:0)
Re:根本的には (スコア:1)
SSL以外(メールなど)については何かしら保証されたものはあるのでしょうか?今後勉強したいと思います。
一応SSLの話題を振られたので答えてみました。
書かないと「わかってる」と言う事も伝わりませんし。
そうかもしれませんね。
でもなんでこの中に、今以上のシステムになると言う可能性が無いのでしょうか?
Re:根本的には (スコア:2, 参考になる)
SSL を使用した HTTP 通信で保証されるのは,
ということだけで,それ以上でもそれ以下でもありません。
通信は盗聴されないかもしれないし,相手は別人のなりすましではないかもしれませんが,相手先が顧客名簿を流出させないという保証には,ならないでしょうね。暗号化と相手先確認だけが問題なら,「SSLなら大丈夫」でいいのでしょうけれど。
Re:根本的には (スコア:0)
その通りですが、何か?
だからセキュリティホールの
最大のセキュリティーホールは「人間」 (スコア:1)
ま、SSLだろうがOSそのものだろうが、結局のところただの道具なので、道具側でいくらがんばっても使う人間がタコなら一緒。
PL法には、製造者の責任において正しい使用法や危険性をユーザーに知らしめる、というのも含まれているわけです。要はシートベルトしないで事故を起こして怪我しても、それはメーカーの責任ではない。だけどシートベルトの機構そのものに欠陥があったら、それはメーカーの責任。
現状のソフトウェアの使用許諾は、上記の両方の責任をメーカーが一方的にユーザーに押し付けているように見えるんですよ。で、元記事は両方をメーカーに負わせようとしている感じ。どっちも間違ってると思うんですけどね。
私ゃ、要は変に隠したり [srad.jp]、開き直ったり [srad.jp]、反対に言いがかりをつけたり [srad.jp]せずに、正しく迅速かつ積極的に情報を開示し、速やかに対処してくれさえすれば良いんですけど。
Re:根本的には (スコア:1)
いや,そうまでは申しませんが, 「そもそも…」という言明に対して, 「いや,SSL があるから大丈夫だ」と反論されたようでしたので, 「SSL が解決するのは,問題の一部だけだ」と申し上げたまでです。
SSL で接続したからと言っても相手として確認できるのは ドメイン名だけだから,たとえば takashimaya.com を名乗っているから「高島屋」のサイトだという保証はないし, 相手のサイトの管理がちゃんとしていることの保証にもならないから,名簿流出その他のリスクはもちろんある。 そういうのを全部セキュリティホールだと言われるなら, もう何も申しませんが。
ところで,匿名で投稿されておられるので わからないのですが,同一人物ですよね。 本人確認できないので自信がないのですが:-)
Re:根本的には (スコア:0)
もしかして、証明書確認したこともないとか?
そういうユーザが一番困り物ですな。
Re:根本的には (スコア:0)
あのねえ、議論の流れ把握してる? 最初の人は、「俺は困らない。大事なことにインターネットを使う奴の気が知れん」って言ったわけ。なぜかと問いただしたら、「インターネットなんかそもそも仕様からして安全じゃない」って言うわけ。じゃあどういうネットなら安全なのさ。iモードみたいなキャリア企業独占の世界でいいわけ?自由に相互につなげるネットにしたら必ず今のインターネ
Re:根本的には (スコア:2)
それは違うでしょう。
高島屋の例を用いるなら、 https://www.takashimaya.co.jp/ [takashimaya.co.jp] にアクセスすれば、鍵アイコンが現れ、そこをクリックして、サーバ証明書の内容を確認すると、「サブジェクト」という欄に、
と書かれているのを確認できます。この社名と所在地は、この証明書を発行した認証局で一定の基準によって審査されているものです。 本来、ユーザは、これを確認できない限り信用しないように心がけねばならないことになっています。P.S. 証明書のこの部分、日本語も使えるようになっているべきだけど、国際化はどうなっているのだろう…?
Re:根本的には (スコア:1)
Re:根本的には (スコア:1)
で、そういう決まりがあれば、このような表示が行えないブラウザも一種のセキュリティホールと言っても良いのかな?
(利用者が安全の確認を行えないと言う意味で)
もし決まりが無いのなら、SSLそのものの話ではなく、そう言うブラウザもあるので、そっちの方が安全です、ってだけの話ですか?
Re:根本的には (スコア:0)
Re:根本的には (スコア:1)
(少なくとも私が今使ってる、WinCE3.0のInernetExplorer4.01では表示機能が無い)
なんらかの形で証明書の内容表示が義務付けられているのであれば、表示しないブラウザが悪いと思います。
しかし決められていないのであれば、表示するのはSSLとは関係無くブラウザの親切なのではないか?と思ったのですが。
この場合、ユーザーは自分で表示出来るブラウザを選べるよう学習しなくてはならない訳ですよね。