パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

NTT西日本、問い合わせサイトのSSLが「オレオレ証明書」」記事へのコメント

  • by Anonymous Coward
    この手のシステム構築のとき「証明書取って」と言うと、たいてい「暗号化はされてるから問題ないじゃん」と返されます。なぜ証明書を取った方が良いかを説明してもなかなか納得してもらえません。

    この手の隙をついた攻撃があまり無いから具体例として被害の例も挙げることが出来ないですし、イマイチ良い説得方法が見付かりません。

    ...みなさんどうやって説得してるんですかね?
    • by wtnabe (16084) on 2005年10月23日 11時57分 (#819074) 日記
      • まともなブラウザか IE でも安全よりの設定
      • 初心者

      を用意して、できるだけ決済権に近い人の目の前でテストすることができれば、警告が表示されたときに戸惑う様を見せることができます。

      というか、たいてい決裁権者は初心者なので、まともなブラウザや IE でも安全な設定で使わせて、警告を見せることができれば「かっこ悪い」と感じると思います。「なんだこの邪魔くさい感じは」と思わせれば少し道が開けるんじゃないでしょうか。

      親コメント
      • 現時点ではいちばん現実的な説得方法なのですが、ダイアログが出るくらいいいだろう、と言われてしまうと終わりなんですよね。あとAPI方式なシステムでは使えないですし。

        この方法以上に有効な説得方法は無いだろうかと常々考えてはいるのですが。
      • これをすると「ダイアログがでるのが問題だ」と誤解されてしまいます。
        やはりマジメに危険性を訴えていくしかないかと。
        過去の被害がまとまっている資料があればよいのですけど。
        • by U-Chan (6901) on 2005年10月23日 14時40分 (#819135)
          そうなると、

           本物サイト←→中継サイト←→被害者

          のデモ環境を作って、一通り実際に操作させてから「ほら、それだと全部だだ漏れになってます」と見せるしかないのかなぁ。
          親コメント
        • by gendohki (16311) on 2005年10月24日 10時53分 (#819482)
          >これをすると「ダイアログがでるのが問題だ」と誤解されてしまいます。

           あの手のダイアログって、なんだか知らないけど、

          「壊れた」

           と思う人が多いみたいですね。そんなので呼び出された事が何度かあるんですが。
          #違う話だけど、何かのアプリを入れてIEのホームページが変更されただけで、
          #「IEが壊れてヘンなページがっ!」ってのもあった。

           確かに警告なのかも知れないけど、もうちょっと柔らかな感じで見せた方が良いのかも知れません。
           例えば萌え系で攻めるとか(ぇー)。
          --
          「なんとかインチキできんのか?」
          親コメント
        • しかし、「ダイアログが出ても問題ないので、そのままOKを押してください」なんて言っちゃってるサイトがあるからなぁ…。

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...