パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

NTT西日本、問い合わせサイトのSSLが「オレオレ証明書」」記事へのコメント

  • by Anonymous Coward
    >これでは入力する個人情報も盗聴されてしまいかねない。

    自認証局による証明書だって*暗号化には*問題ないんじゃ?

    # 「オレオレ証明書」って初めて聞いたのでAC
    • Re:盗聴される? (スコア:3, 参考になる)

      by Anonymous Coward on 2005年10月23日 11時43分 (#819068)
      クラッカーが「俺がNTT西日本なんだよ、NTT西日本(俺)が言ってるんだから間違い」とか言って勝手に作った証明書&サイトとの区別がつかないし、その状態だと盗聴は可能です。本物のサイトとの中継をすればいいんだから。
      親コメント
      • Re:盗聴される? (スコア:1, 参考になる)

        by Anonymous Coward on 2005年10月23日 13時41分 (#819113)
        > 本物のサイトとの中継をすればいいんだから。

        中継せずに情報を盗む形の悪用もあるよね。盗聴といってしまうと、そういうのが抜け落ちちゃうでしょ。

        今回の問題点は「盗聴」と呼ぶより、「なりすまし」と言った方が誤解を招かないと思う。

        親コメント
        • Re:盗聴される? (スコア:2, 参考になる)

          by YOUPohwa (17275) on 2005年10月23日 19時35分 (#819228) ホームページ 日記
          他の枝でフレームになってますが、おっしゃる通り「なりすまし」の方が誤解が少ないでしょうね。
          # だいたい、安全か否かなんてのは程度の問題であって、
          # 素のHTTP>オレオレ証明書を使ったHTTPS>マトモなHTTPS>通信しない
          # といった風に段階的に危険度が上がっているに過ぎないんだよなぁ。

          そもそも「エンドユーザーがルート証明機関を評価して選択しなければならない(しかも評価のための情報が豊富でない)」というSSLの仕様が一番の問題なんでしょうね。
          # だからといって他にどうすればいいという考えもないけど。
          --
          yp
          親コメント
          • by Anonymous Coward
            > # 素のHTTP>オレオレ証明書を使ったHTTPS>マトモなHTTPS>通信しない
            > # といった風に段階的に危険度が上がっているに過ぎないんだよなぁ。
            素のHTTPを安全だと思ってクレジットカードの番号とか流す人は(たぶん)いませんが、オレオレ証明書を使った場合は「安全だと思わせておいて」実はそれほど安全ではないという点が罪深いのです。
        • by Anonymous Coward
          >「盗聴」と呼ぶより、「なりすまし」と言った方が誤解を招かないと思う。

          甘いですね。そんなこと言ってると、

          なりすましは防げないが、盗聴は防げている(暗号化には全く問題ない)。
          と言われるのがオチですよ。この人 [hyuki.com] みたいに。
          • by Anonymous Coward
            > なりすましは防げないが、盗聴は防げている(暗号化には全く問題ない)。
            > と言われるのがオチですよ。

            中継するタイプのも、「なりすまし」していることには違いないので、その問題はカバーできています。

            逆に、それを「盗聴」と呼べるかどうかは意見が分かれるところですから、やはり「なりすまし」を使う方がいいですね。
            • by Anonymous Coward
              それを「盗聴」と呼べるかどうかは意見が分かれるところですから、やはり「なりすまし」を使う方がいいですね。
              つまり、君も「暗号化には全く問題ない」とか「暗号化は正常に機能しています」と言うわけだね?

              君みたいなことを言う人がいるからいつまでたっても理解されないんだよ。

          • by Anonymous Coward
            あってるじゃん。
            • by Anonymous Coward
              >あってるじゃん。

              以下、#819127 [srad.jp] の繰り返し。
              • by Anonymous Coward
                > 以下、#819127 の繰り返し。

                上の#819127は、

                本物サイト ←→ 中継ルータ ←→ 被害者

                という話だけど、「本物サイト ←→ 中継ルータ」の部分って、この悪用では本質じゃないでしょ。中継ルーターが本物サイトに通信を転送せずに、内容を捏造するような悪用もあるんだから。あくまでも、中継ルータが本物サイトのふりをして、被害者と通信できてしまう点が問題なわけ。

              • by Anonymous Coward
                > 中継ルータが本物サイトのふりをして、被害者と通信できてしまう点が問題なわけ。

                で?
                盗聴されるわけなんだけど。

                あなたや hyuki のように、「なりすましは防げないが、盗聴は防げる(暗号化には全く問題ない)」という言い方をしている限り、#819123 [srad.jp]のように「中継サイトに誘導別途する必要があるけどな」(だからそれほどたいした問題じゃない)とか言い出す奴がいつまでも絶えないわけよ。
              • by Anonymous Coward
                > で?盗聴されるわけなんだけど。

                それを盗聴と呼べるかどうかは言葉の定義しだいです。

                「盗聴」という言葉から、捏造した内容をまぎれこませるような悪用ができることは連想できないでしょう。不当な問題の矮小化になっているのでは。そんな表現を使ってれば、理解されるものもされなくなってしまいます。

                > #819123のように「中継サイトに誘導別途する必要があるけどな」(だからそれほどたいした問題じゃない)とか言い出す奴がいつまでも絶えないわけよ。

                それは「なりすまし」の危険性に対する認識の問題ですね。「なりすまし」の代わりに「盗聴」を問題にすれば解決する話ではありません。「なりすまし」の危険性に対する正しい認識を広めることによって解決する話でしょう。
              • by Anonymous Coward
                >定義ごっこしてて何の意味があるんだ。

                あなたがやってるように見えますけど。

                あなたに残された手段は「これがスラドクオリティ」とか言って退散することくらいしか残されてないでしょう。

                # 半可通ほど居丈高の法則だなあ
              • by Anonymous Coward
                > はぁ?なんでそんなことを連想できる必要があるんだ?

                オレオレ証明書を悪用されたときにどのような被害をこうむる可能性があるかを理解してもらうために必要です。それとも、正しく理解してもらうことは必要ではないという意見なのでしょうか?

                > 関係ない話を持ち出すなよ。

                通信内容の捏造や改竄の問題が「関係ない」ですか。単なる盗聴より重大問題だとは思わないんですか?ちょっとだけカルチャーショック。
              • by Anonymous Coward
                必要と十分の区別ついてる?
              • by Anonymous Coward
                >盗聴を防止したいことがSSL導入の最大の動機なのだから、「盗聴される」でかまわん。

                Aを導入する動機がBだから、Aで防止できるものはBと呼ぶべきだ?
                本気でそんなこと思ってるのだとしたらアホだとしか思えん。
                というか、アホだな。

                まあ、なんだ。
                とりあえず、「盗聴を防止したいことがSSL導入の最大の動機」が真であることの証明からはじめてみろよ。
              • by Anonymous Coward
                「盗聴」となりすまし(フィッシング)は意味が違う。
                「盗聴」なら本物にも情報は行くが
                なりすましでは偽サイトで情報の行き来は止まるので本物には通信の存在すら確認できない。

                >「なりすましは防げないが、盗聴は防げる(暗号化には全く問題ない)」

                で問題(少)ないケースはクライアントがそれ単体で意味を成す情報(個人情報やプレーンパスワード)を送信せずに情報を引き出すのみのシステムの場合。
              • by Anonymous Coward
                > 「盗聴」なら本物にも情報は行くが
                > なりすましでは偽サイトで情報の行き来は止まるので本物には通信の存在すら確認できない。

                それ誰が定義した物?
                この前の偽Yahooサイトでカード番号を盗んだ事件では、「Yahooを装っていたけど本物サイトにも情報を送っていたから盗聴であり、なりすましではない」って言うの?

                ”偽装”サイトなのに「なりすましではない」とはこれいかに。
              • by Anonymous Coward
                なんでそう0か1かで考えるかなぁ。
                偽Yahooは、「なりすまし」の手法を使って「盗聴」したというだけのことでしょ。
                「なりすまし」と「盗聴」は排他じゃないよ。
                こんな例を持ち出す時点で、なんにもわかってないってことの証明だね。
              • by Anonymous Coward
                それを言うなら(#819483)に言ってくれよ(笑
                きみの言うとおり、なりすましは情報を得るまでの方法でしかない(盗聴の為の一手段と言ってもいい)はずなのに、

                >「盗聴」なら本物にも情報は行く
                >なりすましでは偽サイトで情報の行き来は止まる

                なんて定義を持ち出したがためにこんな話になるんだから。

                で、やっぱり「なりすましでは偽サイトで情報の行き来は止まる」は嘘だよね?
              • by Anonymous Coward
                なりすましは情報を得るまでの方法でしかない(盗聴の為の一手段と言ってもいい)はずなのに、
                でも、なりすましをするには別途偽サイトに誘導する必要があるんだよね?(w

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...