パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

NTT西日本、問い合わせサイトのSSLが「オレオレ証明書」」記事へのコメント

  • by Anonymous Coward
    この手のシステム構築のとき「証明書取って」と言うと、たいてい「暗号化はされてるから問題ないじゃん」と返されます。なぜ証明書を取った方が良いかを説明してもなかなか納得してもらえません。

    この手の隙をついた攻撃があまり無いから具体例として被害の例も挙げることが出来ないですし、イマイチ良い説得方法が見付かりません。

    ...みなさんどうやって説得してるんですかね?
    • by Anonymous Coward
      オレオレ証明書の最大の問題点はユーザに悪い習慣を付けさせてしまう事だろ。 警告を無視する習慣が付いてしまったユーザは悪意のある偽サイトにひっかかりやすくなる。 ユーザに.exeをダウンロードさせ実行させるのと似ている。
      • by Anonymous Coward on 2005年10月23日 11時58分 (#819075)
        それもよくある誤解ですね。
        偽サイトなんかアドレスバーを見ればわかるわけで。

        偽サイト以前に、通信路上で盗聴されることが問題です。
        親コメント
        • by kei100 (5854) on 2005年10月23日 15時23分 (#819152)
          お使いの環境が例えばDNSキャッシュ・ポイズニング攻撃 [nikkeibp.co.jp]されたらお終いですね。
          他にもhostsファイルが改ざんされたとか、ブラウザのバグをやられたとか。

          アドレスバーはあくまで目安で本当は何処にどのように繋がってるかなんて解らないんです。
          その途中の経路も含めて保障してくれるのが正しく運用されたSSLなんですけど。
          --
          私を信じないで、貴方を裏切ってしまうから。
          親コメント
          • いやだからね、
            あなたのようなことを言っていると、こう言われちゃうわけよ。
            • DNSキャッシュ・ポイズニング? そんなの脆弱性のあるDNSサーバを放置している奴だけだろ。
            • hosts改ざん? そんなのトロイに感染してるわけじゃん? そんな奴、証明書がいくら正しくたってどうとでもやられ放題じゃん。
            • (だから、サーバ証明書なんてオレオレで無問題)
            それに比べて、通信路上で盗聴されることは、ユーザサイドに何ら落ち度がなくても、やられちゃうわけ。NTT西日本にのみ責任があるわけ。
            だから「偽サイト以前に、通信路上で盗聴されることが問題です」と言ってるの。わかんない?
            • いやだからね、
              あなたのようなことを言っていると、こう言われちゃうわけよ。
              • そんなことやってるのNTT西日本だけだろ
          • >お使いの環境が例えばDNSキャッシュ・ポイズニング攻撃されたらお終いですね。
            >他にもhostsファイルが改ざんされたとか、ブラウザのバグをやられたとか。

            >アドレスバーはあくまで目安で本当は何処にどのように繋がってるかなんて解らないんです。
            >その途中の経路も含めて保障してくれるのが正しく運用されたSSLなんですけど。

            そっかー、hostsファイルは改竄される危険があるけど、
            ルート証明書は改竄される心配は無いんだね!
            ブラウザのバグでアドレスバーが書き換えられることは
            あるけど、SSLが書き換えられることは無いんだね!

            SSLって凄いね!
            • ルート証明書が改ざんされた場合、
              鍵(ハッシュ)が合わなくなるんじゃないの?
              • by jbeef (1278) on 2005年10月24日 2時36分 (#819388) 日記
                改竄というよりも、追加インポートされる攻撃があり得るわけです。

                つまり、hostsを書き換えるトロイを流布するファーミング詐欺犯は、同時にオリジナルルートCA(VeriSignとか名乗ることもできる)も追加インポートするようにトロイを作り、オリジナルルートCAで署名したサーバ証明書で、フィッシングサイトを運営するわけですから、hostsが書き換えられるような状況の前提では元々SSLは無力ということですね。

                だから、そういう状況がない前提においてさえ証明書がオレオレでないことが必要だという理由を主張しないといけない。
                親コメント
              • 正しい証明書が発行されたサイトがニセモノで、
                ニセモノの証明書が発行されたサイトがホンモノになるだけです。

                #結局みんな自分の主義主張が正しいって言いたいだけなんだね。
          • >その途中の経路も含めて保障してくれるのが正しく運用されたSSLなんですけど。

            ローカルがどんなにひどい環境でも保障してくれるSSLってすごいギジュツなんですね。

              #なわけねーだろ
            • > > その途中の経路も含めて保障してくれるのが正しく運用されたSSLなんですけど。
              > ローカルがどんなにひどい環境でも保障してくれるSSLってすごいギジュツなんですね。

              それは正しく運用されているとは言えないだろ
              • SSLを使わない場合に関しては
                > 他にもhostsファイルが改ざんされたとか、ブラウザのバグをやられたとか。
                まで想定してるのに、SSLは正しく運用されていることを前提にするのって著しく不公平だと思うんですけど。
        • by Anonymous Coward on 2005年10月23日 12時41分 (#819088)
          別ストーリにメールアドレス流出の話がありますが、そこが使っているフィッシングサイト?が、www.au-kddi.comです。
          このような本家だかそうだかわからないアドレスは簡単に取れてしまいます。
          次に最近でもいろいろな商業サイトがトップページ以外のリンク先が別ドメイン名になっていることは珍しくありません。表示されたアドレスを見ているとむしろアドレスでは判断できないと感じます。
          そして例えアドレスが本物が表示されていたとしても、ルーティング情報を攻撃されていれば本物のアドレスから偽のサイトに誘導されます。最近のウィルスにそういう攻撃をするものがあったはずです。
          URLアドレスだけで危険性を判断するのでは、オレオレ証明書を信用したとたんにフィッシング詐欺に騙されるわけです。

          #各セキュリティ認証機関は速やかにNTT西日本の認証を取り下げるべきだと思います
          親コメント
          • by Anonymous Coward on 2005年10月23日 16時46分 (#819183)
            > 別ストーリにメールアドレス流出の話がありますが、そこが
            > 使っているフィッシングサイト?が、www.au-kddi.comです。

            残念ながら、www.au-kddi.comというURLアドレスから
            危険性を判断できない人は、オレオレ証明書を信用しない
            というだけでは、やはり騙される恐れがあります。
            なぜなら、「www.au.kddi.comの偽物だから正しい証明書は
            取れない」のではなくて「本物のwww.au-kddi.comとして
            正しい証明書が取れる」からです。

            正しい証明書からはそのサイトが本物のauなのか判断する
            ことはできますが、その為には詳細を開いて確認するときに
            あらかじめ「本物のauであればどう書かれているのか」を
            知っておかなければならないでしょう。

            # > トップページ以外のリンク先が別ドメイン名になっている
            # こういうこと [asahi-net.or.jp]されるとかなりゲンナリ。
            親コメント
          • まぁ、ついでにいうとこれらの証明書は暗号か通信の証明書であり、取り交わされるデータの証明ではないので、www.au-kddi.comがベリサイン等でルート認証されていれば、そちらの方がより安全っぽく見えるわけだが。

            そんな訳で、だれかダウンロードしたアプリケーションが安全である証明書発行局もプリーズ!

            #Unix系のソースインストールとかいうなよ゚゚゚
            #所詮ソースコードが汚染されていない証明は、してないのだし
        • by Anonymous Coward on 2005年10月23日 12時21分 (#819081)
          アドレスバー偽装 [itmedia.co.jp]なんてもうお忘れですか。
          親コメント
          • いつの話だよ。

            まさか君は Windows Update をしていないのかい?
            そんな人は SSL 以前に、スパイウェア食いまくりだろうね。
            • Re:証明書の取らせかた (スコア:1, おもしろおかしい)

              by Anonymous Coward on 2005年10月23日 12時50分 (#819094)
              勇者は強気に戦った。
              しかしサーバー側がアドレスバーを消してしまった。

              どうしますか?
              1.帰る
              2.文句を言う
              3.うろたえる
              親コメント
        • by Anonymous Coward on 2005年10月23日 12時26分 (#819082)
          普通の人はアドレスバーなんて見ちゃいませんよ…。
          部門サーバー群の一部が落ちた事をアナウンスする時とかどれが見れてどれが見えないのかってのを何度も何度も聞かれますし。
          # そのサーバーでは Web サーバー上げて無くても聞かれたり。

          いや、まず盗聴が問題というのは確かですが。
          親コメント
        • by uxi (5376) on 2005年10月23日 12時28分 (#819083)
          DHCPをクラックされた場合とか、、、
          DNSまで偽物捕まされますし、、、
          --
          uxi
          親コメント
        • >偽サイトなんかアドレスバーを見ればわかるわけで。

          んなの見ない奴が多いってことと、アドレスバーを隠蔽するタイプのもいたりするんだな、これが...

          # アドレスバーの上に被さったのをずらせば解るっちゃわかるけど、「見る」だけではね。
          親コメント
        • では,私がwest-ntt.co.jpドメインを取得し,偽サイトを作成,公開したとすると,
          貴方は即座に見破ってくれるわけですね

ソースを見ろ -- ある4桁UID

処理中...