アカウント名:
パスワード:
証明書確認ダイアログが「Mozilla Foundation」を名乗っているとして、証明書上でそう名乗っている人が本物のモジラファウンデーションだと利用者が確認するにはどうすればよいでしょうか?
#700745のAC(といっても何ら証明されません)です。ありがとうございます、参考にさせて頂きました。
日本VerisignのCPS(Version 2.1 日本語版)を眺めてみました。 私の受けた印象としては、証明書付きのプログラムは「ハローページで名前の記憶が曖昧な企業の番号を調べて電話をかけて出た相手」程度には信用できるかなといった感じです。
わかりにくい例え方で済みません。 この「名前の記憶が曖昧な」というのは、普段は日本語で思い浮かべる組織名がアルファベット(英語名?ローマ字?)に置き換えられて表記されることを指しているつもりです。 電話帳が私の手元
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
自己責任 (スコア:-1, オフトピック)
どのソフトが開発元に責任を取ってくれるものが
ありますか。ディジタル署名など不要なのです。
自己責任なのだから。
Re:自己責任 (スコア:1)
キーロガー付きの Firefox なんて嫌ですし。
もちろん Mozilla Foundation 自体が信用ならないというのであれば今回のデジタル署名はなんら意味が無いです。
Mc.N
Re:自己責任 (スコア:0)
証明書確認ダイアログが「Mozilla Foundation」を名乗っているとして、証明書上でそう名乗っている人が本物のモジラファウンデーション [mozilla.org]だと利用者が確認するにはどうすればよいでしょうか?
有効期間や証明書
Re:自己責任 (スコア:2, 参考になる)
署名を行った認証局のCPS(Certification Practice Statement)を確認します。認証局が証明書を発行するにあたってどのような確認をするか,などの運用規定がかかれています。たとえば,日本Verisignの物はこちら [verisign.co.jp]。
これをみて「この認証局がその方法で確認されたなら大丈夫だろう」などと判断します。
つまり認証局に対する信頼が絶対の必要条件となります。そのため,認証局はきちんとしたポリシーの作成や厳格な運用をつづけることで利用者からの信頼を高めることが必須となります。
# それなのにLGPKIは・・・モゴモゴ
Re:自己責任 (スコア:1, 参考になる)
米VeriSignがMicrosoftの署名を不審者に発行、Microsoft製品ユーザーは注意 [impress.co.jp]
なので、まぁ、人間がかかわっている以上、ミスもあるわけで、このあたりはポリシーがあっても人間が運用を行う以上、なんともいえない部分もありますね。
Re:自己責任 (スコア:0)
# くだらないのでAC
結局第三者の*機関*に頼らなければダメなのがダメだと思う。
Re:自己責任 (スコア:0)
はあ?認証局の名前は偽れませんよ。
>結局第三者の*機関*に頼らなければダメなのがダメだと思う。
ぜんぜん意味がわかりませんよ。
Re:自己責任 (スコア:1, 興味深い)
>
>はあ?認証局の名前は偽れませんよ。
視覚的な類似性を使った詐欺のことだと思います。
もし、署名確認のダイアログが国際化ドメインに対応してたりすると、
http://srad.jp/article.pl?sid=05/02/08/0515249&topic=74&mode=thread
のようなことが署名に対しても起こりえます。
結局、最後の判断は人がボタン押すか押さないかなので、
コンピュータ→コンピュータの伝達を偽るのは防いだとしても、
最後の コンピュータ→人 の伝達は、視覚なり聴覚に頼った伝達に
なるでしょうから、そこを騙せば良い、というやりかたですかね。
まぁ、root認証局の証明書をインストールする機会なんて
あまりないと思いますが。
証明書買うコストケチった社内システムぐらい?
>>結局第三者の*機関*に頼らなければダメなのがダメだと思う。
>
>ぜんぜん意味がわかりませんよ。
PGP的なモデルの可能性だと思います。
信頼の源泉を絶対的な第3者以外のものに求める、と。
ただその場合、インストールする際に、
「このソフトウェアは、53%の信頼性で○○○から配布されたものと
思われますが、インストールしますか?」
のような、
答えづらいダイアログがでてくるかもしれません。
Re:自己責任 (スコア:0)
>視覚的な類似性を使った詐欺のことだと思います。
意味が分かりません。
認証局はそんな名前の機関に証明書を与えない(と判断したものを信頼する)、ということでは?
Re:自己責任 (スコア:0)
http://www.takagi-hiromitsu.jp/diary/20050216.html
このへんが分かりやすいかと。
Re:自己責任 (スコア:0)
>作っちゃうという意味ですよ。
名前は全然関係ない。ニセ証明書を騙して入れさせるなら、「VeriSign」というニセ証明書を作ればよいのであって、わざわざ「VariSign」にするまでもないし、「VeriSign」というニセ証明書をルートとして入れてしまう人がいるとしたら、フィンガープリントも確認せずに証明
Re:自己責任 (スコア:0)
> あまりないと思いますが。
今ここに恐るべき真実が明らかにされる。
http://www.qolqol.com/
# よりにもよって、ルート証明書をインストールさせようだなんて・・・
Re:自己責任 (スコア:0)
#700745のAC(といっても何ら証明されません)です。ありがとうございます、参考にさせて頂きました。
日本VerisignのCPS(Version 2.1 日本語版)を眺めてみました。
私の受けた印象としては、証明書付きのプログラムは「ハローページで名前の記憶が曖昧な企業の番号を調べて電話をかけて出た相手」程度には信用できるかなといった感じです。
わかりにくい例え方で済みません。
この「名前の記憶が曖昧な」というのは、普段は日本語で思い浮かべる組織名がアルファベット(英語名?ローマ字?)に置き換えられて表記されることを指しているつもりです。 電話帳が私の手元
Re:自己責任 (スコア:1)
その辺どうなんでしょうか>詳しい人
Re:自己責任 (スコア:0)