アカウント名:
パスワード:
いつからSSLの証明書はブラウザに入ってるCAが発行したものしか使っちゃいけないってことになったんだ?
ブラウザによって最初からインストールされてる証明書は異なるような木がするんだけどね坊や。
マイナーなブラウザにはインストールされていないような認証局からサーバ証明書を買うのは、
SSLは機能していません。客が入力した個人情報は盗聴される可能性があります。 嘘を付かないように。ブラウザの下の鍵マークはきちんと確認したかい? SSL自体は機能しているから、盗聴はされないと思うぞ。(暗号化が破られない限り)
SSLは機能していません。客が入力した個人情報は盗聴される可能性があります。
嘘を付かないように。ブラウザの下の鍵マークはきちんと確認したかい? SSL自体は機能しているから、盗聴はされないと思うぞ。(暗号化が破られない限り)
通信路の間に入れば、そのまま盗聴できる。 もっと勉強した方がいい。man-in-the-middle がヒントの検索語だ。
→ DNSハックしてのフィッシングの可能性がある。 → ブラウザが警告を出すって話。
DNS spoofing は間に入るためのひとつの実現方法に過ぎないのであって、通信路の間に入る方法は他にもある。
ただし、サーバ
暗号通信だけだったらPGPよろしく証明機関なんて必要ないだろ? まさか、公開鍵方式を知らないとか言わないよな?
PGPメールなら、フィンガープリントを事前に名刺とかでもらうわけだが、Webサイトでどうやってそれをやるわけ?
どちらかというと証明書を入手するまでの間、自己証明書をつかってまで公開した姿勢は評価するべきだと思いますが。
いいえ。自己署名証明書によるSSL運用は、SSLなしであるのと違いません。 もちろん、SSLなしで、「取り急ぎ公開する姿勢」というのもアリでしょう。当然その場合は、「お客様の個人情報はSSLで保護しています」などという事実に反することは書かないでしょうから。 なのに、ACCAが今回やったことは、SSLなしと違わない状態なのにもかか
「データの送受信はSSL技術により保護されるようになっておりますので安心してご確認いただけます。」というアナウンスが間違っているのは全面的に同意しています。
それ以上に何か言って意味があるのか?
大ありです。 この流れで#613309を読むと、パケットを覗いただけで内容がわかるように受け取れるのですが、そうではないんですよね? もしそんな方法があるのなら確認したい、と思って質問したのですが。
> 不適切に暗号化されているものを 同じミス繰り返すなよ。 「暗号化が不適切」って意味わかって言ってるのか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
SSLの不備について電話で問い合わせてみた (スコア:2, 余計なもの)
最初の係員とのやり取りはこうなりました。
私:警告が出るのですが。
係:有害なホームページに誘導されるということではないので、ご安心ください。
私:問題ないということですか?
係:さようでございます。
私:このまま使ってよいのでしょうか?
係:このまま進んでいただいてけっこうです。
私:では、この警告は何のためにあるのだと思いますか?
係:お客様のブラウザやウイルスソフトの設定によって、警告がでることがあるものです。
私:そちらにあるあなたのパソコンにも出るのですか?
係:はい出ています。そのままボタンを押して先に進んでいます。
私:ではアッカの社員の皆さんは、こういう警告が出たときにそのまま気にせず先に進んで使っているのですか?
係:この件に関しては安全が確認されているので、先に進めています。
私:警告が出るのはパソコンの方がおかしいということですか?
係:この警告が出ないように本日中に設定を変更することにしています。
私:私のパソコンの設定を変更してくれるのですか?
係:???
上司と交代して以下の展開に
上:そのまま進んで問題ないものとなっている。お客様を不安にさせて申し訳なく思っている。こちらで本日中にこの警告が出ないように作業を行っているところ。
私:SSLが安全に使えていないということではありませんか?
上:そういうこととは違います。
私:そちらのサイトに欠陥があるから修正しようとしているのではないのですか?
上:現状欠陥があるわけではない。
私:では何のために修正作業をしているのですか?
上:お客様に不安な思いをさせてたくさんの問い合わせを頂いている。不安をおかけしないようこの警告が出ない設定に変更する作業を行っている。
私:安全なのに不安になってしまうから作業をしているということですか?
上:さようでございます。
私:安全だというのは誤りです。SSLは機能していません。客が入力した個人情報は盗聴される可能性があります。客に間違った説明をしてしまったことを訂正し、証明書の修正が完了するまで、サイトの運用を止めるべきです。
上:担当部署に確認をとってきます。
・・・・・
上:確認をとりましたが、やはり繰り返しになりますが、このままお使いいただいて問題ございません。
私:あなた方は間違った案内をしてお客さんを危険にさらしています。
上:そのようなことはございません。セキュリティ仕様上問題がないというふうに担当部署から確認がとれています。
技術担当者と直接に話をして問題点を伝えたいと言ったのですが、お客様対応はこの窓口でしかできないの一点張りで、これ以上、問題点を伝えることができませんでした。
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
暇なクレーマーと変わんねえぞ。
クレーマー的常識 (スコア:1, 興味深い)
こーゆーのは誘導尋問しないと門前払いされるよん♪
門前払い出来ない状況に追い詰めてから説明してあげなきゃいけないの。
本当に知らない・疑問を感じていない・危機意識も問題意識も無い、
「一般人である」オペレータが相手なんだよね。
しかも、オペレータのマニュアルには「知らぬ存ぜぬ問題無い」を貫くよう書かれている。
話を聞く気のない相手に聞かせるのって凄く大変なんだよ。
Re:クレーマー的常識 (スコア:0)
サポートに電話したところでどうなるかなんてヴァカでもわかるだろ。その辺わかっててやってるんだろうから付き合いきれないね。アフォなオペレータ相手に駆け引きしてるつもりですか?サポート追いつめて、それで何か変わるんですか?
これだけ多数の被害者が出ているんだから、そりゃ立場は強いわな。それを踏
Re:クレーマー的常識 (スコア:0)
Re:クレーマー的常識 (スコア:0)
Re:クレーマー的常識 (スコア:0)
マイナーなブラウザにはインストールされていないような認証局からサーバ証明書を買うのは、
Re:クレーマー的常識 (スコア:0)
> アフォなオペレータ相手に駆け引きしてるつもりですか?
駆け引きしなきゃ話も聞いてもらえないって話ですよ。
「ヴァカでもわかる」事が、貴方にはわからなかったの?
> サポート追いつめて、それで何か変わるんですか?
どうやら変わったようですよ。
クレーマーってのは、話しさえ通じれば変えれる自信が有るから粘着するんです。
そして、今回の件は何処かのクレーマーさんの尽力で相応の結果が出たようです。
これが、社会です。
で、SSL
Re:クレーマー的常識 (スコア:0)
Verisignだと「エクスプレスサービス」でも2日間掛かるって知ってる?
(実際には1日半位でできることもあるらしいが)
25日にクレーム付けるなんて、エロ過ぎ!
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
突っ込み処、満載ですな (スコア:0, フレームのもと)
ま、これは半分あってるな。
> SSLは機能していません。客が入力した個人情報は盗聴される可能性があります。
嘘を付かないように。
ブラウザの下の鍵マークはきちんと確認したかい?
SSL自体は機能しているから、盗聴はされないと思うぞ。(暗号化が破られない限り)
ただし、サーバがACCAのものだと証明できない。(信頼できる第3者が保証をしてい
ない)
→ DNSハックしてのフィッシングの可能性がある。
→ ブラウザが警告を出すって話。
君のDNSサーバは無事ですか?
> 客に間違った説明をしてしまったことを訂正し、証
Re:突っ込み処、満載ですな (スコア:0)
通信路の間に入れば、そのまま盗聴できる。
もっと勉強した方がいい。man-in-the-middle がヒントの検索語だ。
DNS spoofing は間に入るためのひとつの実現方法に過ぎないのであって、通信路の間に入る方法は他にもある。
Re:突っ込み処、満載ですな (スコア:0)
ま、厨房になるとこういう「分かった風な」発言して恥かく香具師多いけど。
(man-in-the-middleも誤解している模様だし)
つか、証明書はそもそも身分証明書であることがベースだけどね。
(だから「
Re:突っ込み処、満載ですな (スコア:0)
PGPメールなら、フィンガープリントを事前に名刺とかでもらうわけだが、Webサイトでどうやってそれをやるわけ?
Re:突っ込み処、満載ですな (スコア:0)
誰かが間に入っていたとしても。
あと、SSLを使うと盗聴できない訳じゃなくて、
盗聴されてもまぁ安心(暗号化されてるから)ってだけでしょ。
# あと、実際のところそんな簡単に man-in-the-middle できる
方法ってあるのかな?
ターゲットと同じセグメントにいるなら話は別だけど。
webmitm (スコア:1)
調べてみたところ、Dsniff の webmitm が SSL に対応しているんですね。
まさしく自己署名の証明書で sniffing してくれるということです。
自宅と ACCA の間に ISP しかいない人は気にしなくていいかもしれませんが
学校からとか会社からとかだと、やっぱり気になります。
Re:webmitm (スコア:0)
ISPの中の人は信用して良いのか?
(だから認証局が必要)
Re:webmitm (スコア:0)
>
> ISPの中の人は信用して良いのか?
> (だから認証局が必要)
認証局じゃなくて、暗号化ね。
そして、暗号化のために認証局が必要。
あと、中の人だけでなく、外の人が通信ケーブルをどうこうすることもなくはない。
Re:突っ込み処、満載ですな (スコア:0)
> 誰かが間に入っていたとしても。
そういうのは「SSLが機能している」とは言わないの。
PKIあってのSSLなわけ。
> # あと、実際のところそんな簡単に man-in-the-middle できる
> 方法ってあるのかな?
簡単でないならオーケーというのなら、そもそもSSLがいらない罠。
Re:突っ込み処、満載ですな (スコア:0)
>まず、鍵マークが出ているならSSL自体は機能しているんじゃない?
>誰かが間に入っていたとしても。
man-in-the-middleってのは、通信相手(今回の場合はACCAだね)の公開鍵を使って暗号化しているつもりが、実は「間に入った誰かさん」が用意し
Re:突っ込み処、満載ですな (スコア:0)
どうせ世間の理解なんてこんなものなんでしょう。
ACCAは使えない (スコア:0)
ACCAはもうやめる
という結論になりますね。
ACCAの接続を辞めて他に移る、という以外の選択肢がない。
Re:ACCAは使えない (スコア:0)
「ACはもうやめる」と読んでしまったよ
思わずAC同士の醜い争いでもあったのかと勘違い........orz
ACCAというよりサポセン (スコア:0)
サポセン業務を外部委託しているのなら、どこの業者なのか知りたいなあ。
サポセンというのは本来、お客様からの情報を担当部門に伝える役割も重要のはずなんだけど、このケースみたいに、会社の見解とお客さんの見解が異なったとき、こういう態度をとるサポセンってすごく多い。これじゃあただの防波堤に
そんなの言い訳になるわけ無いでしょ (スコア:0)
使いこなせない側が無能なの。
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
事実、現在は自己証明書ではなくなってますね。
どちらかというと証明書を入手するまでの間、自己証明書をつかってまで公開した姿勢は評価するべきだと思いますが。
#証明書は、なにを保障するものなのか、調べてみよう!
#SSLはどんな仕組みで動いているか勉強してみよう!
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
いいえ。自己署名証明書によるSSL運用は、SSLなしであるのと違いません。
もちろん、SSLなしで、「取り急ぎ公開する姿勢」というのもアリでしょう。当然その場合は、「お客様の個人情報はSSLで保護しています」などという事実に反することは書かないでしょうから。
なのに、ACCAが今回やったことは、SSLなしと違わない状態なのにもかか
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
TCPを乗っ取ってMITMするのは大変ですよ。
SSL無しのときにパケットを覗き見する方がずっと簡単です。
こういう泥臭い嫌がらせ、不完全なガードというものも重要ですよ。
暗号とは別のレイヤになりますが、例えばサーバのプログラムは
どうしてroot以外で動かすのでしょうか?
カーネルがバグっていれば、そんな努力は無駄になります。
でも、サーバプログラ
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
顧客のネットワーク環境によっては簡単な場合がありますよ。
> 正規の証明書が間に合わないときに自己署名を
> 使うのもそういうことだと理解しましょう。
顧客に嘘を言ってはいけません。「暗号化は完全には行われていません」と注意書きしない限り、虚偽表示です。
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
暗号化自体はちゃんと行われてるでしょ。
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
あのねえ、公開鍵暗号は魔法じゃないっての。
鍵交換とか勉強してみろ、馬鹿たれが。
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
秘密鍵の交換はしてないですよね?
馬鹿なので検索してもわかりませんでした。
参考ページとか教えてくれませんか。
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
> 参考ページとか教えてくれませんか。
http://srad.jp/comments.pl?sid=205703&cid=612963
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
相手が誰かの保証はありませんが。
#言葉遊びのような
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
> 相手が誰かの保証はありませんが。
そういうのはSSLが機能しているとは言わない。
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
#613178 中継されているかわからないからSSLの意味がない
#613201 安全とは言えないがパケット覗き見は防げるから平文より多少はまし
という流れで暗号化している、していないという話になっているので
#613201の言う意味では暗号化していま
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
それ以上に何か言って意味があるのか?
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
大ありです。
この流れで#613309を読むと、パケットを覗いただけで内容が
わかるように受け取れるのですが、そうではないんですよね?
もしそんな方法があるのなら確認したい、と思って質問したの
ですが。
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
暗号化自体がされてるかどうかとSSLとして機能しているかどうかは別の話だろ。
他人の表現には重箱の隅つつくような真似しても、自分が指摘されたことは理解できないようですね。
中途半端な理解で他人にどうこういうやつって一番タチ悪いな。
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
不適切に暗号化されているものを「暗号化自体はされている」と言っても何の意味もない。馬鹿が言うだけ。
暗号鍵が丸見えで暗号通信していて、「暗号化自体はされている」と発言するような奴は、馬鹿以外に何がある?
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
同じミス繰り返すなよ。
「暗号化が不適切」って意味わかって言ってるのか?
結局、不用意に語句を使ったあんたのミスだろ。
(#613648)にも書いたが、他人に厳しく自分に甘くなんてのは最低だぜ。
もし、あれがミスでないとするならば、それはあんたの知識が中途半端ってやつだよ。
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
本当に?
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
都合が悪くなって後から付け足した説明を、さも最初からそう書いていたかのようにいうなよ。
あんたのように後付けの言い訳を認めるなら、
「SSL技術で保護されています」だって何とでも言い訳できて
「お前の指摘は何の意味もないだろ」って言われるのがオチだろうが。
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
まともにコスト計算できない馬鹿がなにいっているのだか