パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

NTT西日本、問い合わせサイトのSSLが「オレオレ証明書」」記事へのコメント

  • by Anonymous Coward
    >これでは入力する個人情報も盗聴されてしまいかねない。

    自認証局による証明書だって*暗号化には*問題ないんじゃ?

    # 「オレオレ証明書」って初めて聞いたのでAC
    • Re:盗聴される? (スコア:3, 参考になる)

      by Anonymous Coward
      クラッカーが「俺がNTT西日本なんだよ、NTT西日本(俺)が言ってるんだから間違い」とか言って勝手に作った証明書&サイトとの区別がつかないし、その状態だと盗聴は可能です。本物のサイトとの中継をすればいいんだから。
      • Re:盗聴される? (スコア:1, 参考になる)

        by Anonymous Coward
        > 本物のサイトとの中継をすればいいんだから。

        中継せずに情報を盗む形の悪用もあるよね。盗聴といってしまうと、そういうのが抜け落ちちゃうでしょ。

        今回の問題点は「盗聴」と呼ぶより、「なりすまし」と言った方が誤解を招かないと思う。

        • Re:盗聴される? (スコア:2, 参考になる)

          by YOUPohwa (17275) on 2005年10月23日 19時35分 (#819228) ホームページ 日記
          他の枝でフレームになってますが、おっしゃる通り「なりすまし」の方が誤解が少ないでしょうね。
          # だいたい、安全か否かなんてのは程度の問題であって、
          # 素のHTTP>オレオレ証明書を使ったHTTPS>マトモなHTTPS>通信しない
          # といった風に段階的に危険度が上がっているに過ぎないんだよなぁ。

          そもそも「エンドユーザーがルート証明機関を評価して選択しなければならない(しかも評価のための情報が豊富でない)」というSSLの仕様が一番の問題なんでしょうね。
          # だからといって他にどうすればいいという考えもないけど。
          --
          yp
          親コメント
          • by Anonymous Coward
            > # 素のHTTP>オレオレ証明書を使ったHTTPS>マトモなHTTPS>通信しない
            > # といった風に段階的に危険度が上がっているに過ぎないんだよなぁ。
            素のHTTPを安全だと思ってクレジットカードの番号とか流す人は(たぶん)いませんが、オレオレ証明書を使った場合は「安全だと思わせておいて」実はそれほど安全ではないという点が罪深いのです。

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...