パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

NTT西日本、問い合わせサイトのSSLが「オレオレ証明書」」記事へのコメント

  • by Anonymous Coward
    この手のシステム構築のとき「証明書取って」と言うと、たいてい「暗号化はされてるから問題ないじゃん」と返されます。なぜ証明書を取った方が良いかを説明してもなかなか納得してもらえません。

    この手の隙をついた攻撃があまり無いから具体例として被害の例も挙げることが出来ないですし、イマイチ良い説得方法が見付かりません。

    ...みなさんどうやって説得してるんですかね?
    • by Anonymous Coward
      オレオレ証明書の最大の問題点はユーザに悪い習慣を付けさせてしまう事だろ。 警告を無視する習慣が付いてしまったユーザは悪意のある偽サイトにひっかかりやすくなる。 ユーザに.exeをダウンロードさせ実行させるのと似ている。
      • それもよくある誤解ですね。
        偽サイトなんかアドレスバーを見ればわかるわけで。

        偽サイト以前に、通信路上で盗聴されることが問題です。
        • by Anonymous Coward
          別ストーリにメールアドレス流出の話がありますが、そこが使っているフィッシングサイト?が、www.au-kddi.comです。
          このような本家だかそうだかわからないアドレスは簡単に取れてしまいます。
          次に最近でもいろいろな商業サイトがトップページ以外のリンク先が別ドメイン名になっていることは珍しくありません。表示されたアドレスを見ているとむしろアドレスでは判断できないと感じます。
          そして例えアドレスが本物が表示されていたとしても、ルーティング情報を攻撃されていれば本物のアドレスから偽のサイトに誘導されます。最近のウィルスにそういう攻撃をするものがあったはずです。
          URLアドレスだけで危険性を判断するのでは、オレオレ証明書を信用したとたんにフィッシング詐欺に騙されるわけです。

          #各セキュリティ認証機関は速やかにNTT西日本の認証を取り下げるべきだと思います
          • by Anonymous Coward on 2005年10月23日 18時36分 (#819210)
            まぁ、ついでにいうとこれらの証明書は暗号か通信の証明書であり、取り交わされるデータの証明ではないので、www.au-kddi.comがベリサイン等でルート認証されていれば、そちらの方がより安全っぽく見えるわけだが。

            そんな訳で、だれかダウンロードしたアプリケーションが安全である証明書発行局もプリーズ!

            #Unix系のソースインストールとかいうなよ゚゚゚
            #所詮ソースコードが汚染されていない証明は、してないのだし
            親コメント

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...