パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

法務省と複数の県の電子申請用ソフトに脆弱性」記事へのコメント

  • 大分県のサイトに飛ぶと自己証明書でSSLを要求してくるんだが・・・
    CAがwww.egov-oita.pref.oita.lg.jpになっとりますが…
    これはこれで問題じゃないのか?
    • 高木さんのblog [takagi-hiromitsu.jp]でも話題になっていますが、自治体の"オレオレ証明書"ですね。

      # ここらへんが酷いので、銀行がとばっちりを受けると

      どこぞの
      --
      M-FalconSky (暑いか寒い)
      • 大分県はオレオレ証明書じゃなくてLGPKI発行の証明書ですよ。 # 適当に言う前に確認してみたら?
        • >LGPKI発行の証明書ですよ。

          どうすれば「本物のLGPKI発行の証明書」だと確認できますか?
          • LGPKI認証局のフィンガープリントを官報に載せるなりして、
            複数の信頼性の高い手段で確認できるようにしておくのが正解かな。

            Webで公開されているLGPKIのフィンガープリント [google.co.jp]もたくさんあるから、
            これらを複数確認す
            • >この場合、インターネットへの出口で小細工されちゃうとだまされる可能性もあるけど、
              >そこまでするクラッカーはいないんじゃないかなぁ。

              そうなんだったら、SSL はそもそも要らないわけで。
              • ネット上で公開されているLGPKIのフィンガープリントのほとんどすべてを偽造しまくる
                トランスペアレントキャッシュみたいなものを置かなければならない、と考えると、わりと面倒です。
                そう言ったトランスペアレントキャッシュを構築できたとしても、
                それをインターネットの出口近くに置くことができるか、という問題もあります。

                十分に多い数確認すれば、それなりの(あくまでも、「それなりの」ですが)信頼性は得られます。

                いつも完璧な信頼性を求める、という条件であれば話は別です。
                そうなってくると、
              • > と考えると、わりと面倒です。

                いやいや、全然簡単ですよ。

                線抜いて、間にマシンを挟んで、特定のバイト列を置換するフィルタしながら中継するルータみたいなものを動かすだけですね。

                無線LANだとまたいろいろできそうだし。
              • > いやいや、全然簡単ですよ。

                おお、言われてみれば、確かに簡単そうですね。
                でも、設置するのはそんなに簡単じゃないと思います。

                > ユーザに落ち度がある場合を、ない場合と一緒くたにするのはやめてくれませんか。

                どれがユーザに落ち度があるケースで、どのケースがユ
              • > でも、設置するのはそんなに簡単じゃないと思います。

                簡単な場合もありますよ。自分で考えてみたらどうですか。
                「おお、言われてみれば、確かに簡単そうですね」とまた繰り返しますか?

                > へんなOSを納入されてしまうのと、ヘンなプロキシを回線に挟まれ
                > て
              • > 簡単な場合もありますよ。

                もちろん、そういう場合もありますね。

                ところで、フィンガープリントを画像で表示されたりすると、結構厄介なことになりますね。
                ユーザ名・パスワードの入力時に、人間の手を介させるために、画像表示された文字列を入れるやつ、ありますよね。
                ああ言う風に毎回ノイズを混ぜて表示させると、なおのこと厄介になりますね。

                > 全然違うでしょう。

                どの点を指して言っていますか?私は「ユーザの落ち度」について議論しているつもりです。
                    - ヘンなOS(もしくはブラウザ)を納入されること
                    - ヘンなトランスペアレントプロキシを挟まれること
                のどちらがユーザの落ち度がある場合で、どちらがそうでない場合ですか?
                どっちもどっちだと思うけどなあ。
                親コメント
              • 今回のRyo.Fファンはキレが無いですね。  つってもキレがあった事が有るのか知りませんが…

                ※注:Ryo.Fファン…Ryo.Fを見るととりあえずちょっかいを出してしまうアル中のオッサンのような人。今回のように言葉を小出しにするのが特徴だが、長くかまってもらう為か、はたまたRyo.Fの論調を真似ているのかは不明。どちらにせよただならぬ好意を寄せている事は確か。
              • お前が一番の Ryo.F ファンに見えるが。

※ただしPHPを除く -- あるAdmin

処理中...