パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

法務省と複数の県の電子申請用ソフトに脆弱性」記事へのコメント

  • 大分県のサイトに飛ぶと自己証明書でSSLを要求してくるんだが・・・
    CAがwww.egov-oita.pref.oita.lg.jpになっとりますが…
    これはこれで問題じゃないのか?
    • 高木さんのblog [takagi-hiromitsu.jp]でも話題になっていますが、自治体の"オレオレ証明書"ですね。

      # ここらへんが酷いので、銀行がとばっちりを受けると

      どこぞの
      --
      M-FalconSky (暑いか寒い)
      • 大分県はオレオレ証明書じゃなくてLGPKI発行の証明書ですよ。 # 適当に言う前に確認してみたら?
        • 現状では、普通のユーザがLGPKI発行の証明書とオレオレ証明書を安全に区別するのは難しい。
          ということで、LGPKI発行の証明書もオレオレ証明書扱いしても良いのじゃないかな。
          • 実は、LGPKI証明書がオレオレで(まだそんな言葉はなかったが)危険だということを数年前に指摘したことがある。
            だから、地方自治情報センターは問題点を分かっているはず。

            その際の彼らの言い分は、 Ryo.F氏のコメント [srad.jp]のように「フィンガープリントを複数のサイトで公開すれば安全」だった。
            で、私がACのコメント [srad.jp]のような批判をすると、「そこまでできるならSSLも破れる」と言っていた。

            そして、LGPKI証明書の主要ブラウザへの組み込みを要求するも、「監査にコストが膨大す
            • by Anonymous Coward on 2005年04月22日 3時43分 (#726343)
              > でも、問題のページ [lgpki.jp]は未だにhttp://のままなんだけどな。どうなってんの。

              古いバージョンのJRE等も問題ですが、これも大問題ですよね。
              偽の証明書をつかまされて、ルート証明書としてインストールしたりしたら大変ですし。

              偽のルート証明書をつかまされる問題に詳しくない人には この掲示板 [atmarkit.co.jp]と
              この文書 [akademeia.info]の「第4章: マニアックJavaプログラミング ~ 第2回 ~ 」がお勧めです。

              # まぁ、偽の証明書だけでなく、通信を書き変えたりするか、
              # DNS Spoofing等による偽サイトへの誘導、が必要ですけど。
              親コメント

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...