パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

無料Phishing対策ソフトが登場、しかし問い合せ画面は「オレオレ証明書」」記事へのコメント

  • 証明書の発行者が「CloverNetworkCom Co.,Ltd.」とまさにオレオレですね(笑)

    しかも、タレコミにあるcnetなどの記事によると
    ホワイトリスト掲載などに必要な「Web認証登録」の料金は、年額10万~200万円。また「フル機能」を利用する場合の価格は企業規模によって異なり、大手金融機関の場合で契約金2000万円、年間運用費2000万円から。
    とホワイトリストへの掲載は有償、いったいどこの会社が登録するのでしょうか?大体、特別なクライアントが必要で、一般的じゃないホワイトリストを利用するメリットが分かりません。なによりもVeriSignなりの既存の認証機関により、ブラウザで自動的にサイトが本物であるとわかる仕組みがすでにあるというのに、、、
    • by nim (10479) on 2005年10月28日 13時57分 (#821734)
      既存の SSL の仕組みを使ってO銀行のサイトを確認する為には、
      a. O銀行のサイトのドメイン名を正確に知っていて、
      b. SSL 証明書の cn がそのドメイン内のサーバであることを確認する。

      必要があります。
      O銀行が o-bank.com だとして、ο-bank.com を悪い人が
      使っていたとしたら、普通のユーザに区別がつくでしょうか。

      ですから、極限定的なエントリからなるホワイトリストを、
      そもそも信用のある主体が管理するモデル(例を挙げれば、
      金融庁の管理する銀行サイトホワイトリスト)
      であれば
      有効だと思います。

      今回上記条件を満たしているかどうかは疑問ですが。
      親コメント
      • by Anonymous Coward on 2005年10月28日 14時01分 (#821738)
        >b. SSL 証明書の cn がそのドメイン内のサーバであることを確認する。

        CN がアドレスバーのホスト名と一致するかは SSL クライアントが自動的に検査してくれるので、人が確認する必要はありません。
        親コメント
        • by nim (10479) on 2005年10月28日 14時46分 (#821769)
          まあ、アドレスバーでも証明書でもどちらで確認してもいいと思うのですが、アドレスバー偽装(きちんとアップデートされているUAなら問題ないでしょうが)の可能性からアドレスバーよりもcnを見た方がより安全かなと思ってこう書きました。

          親コメント
          • by yu_raku (419) on 2005年10月28日 19時44分 (#821883)
            そもそも、アドレスバーが無かったりするうえに、URLの確認ができない携帯電話のブラウザとかあります。どうしようもありません。
            携帯電話の業者は、URLが確認できないことが脆弱であるという認識を持っているのかなぁ。

            # 複数の携帯電話のWebブラウザに正しい接続先を確認することができないセキュリティホールが見つかりました
            # たぶんずっと修正されません
            親コメント
      • by hoihoi-p (5571) on 2005年10月28日 23時05分 (#821944) 日記
        o-bank.com が発行して、ベリサイン等の信頼できる認証機関が署名した鍵をサーバ鍵を使って、
        同じように、o-bank.com が発行したユーザ鍵に同じ認証機関が署名した鍵を使用したユーザーのみ、
        セッションを開始するようにすれば、何の問題もないかと。
        つまり、双方向認証。 そのユーザ鍵は銀行の店舗でしか渡さないとか。

        既存の技術の運用で解決出来るとおもうが。

        そもそも、自社サーバに、認証機関による署名料をけちったサーバ鍵使ってる会社に、年間2000万も運営料をはらうか?
        経営者に 「 SSL 」 なんて言っても知らないと思うが、 「セキュリティ」 と言う言葉には弱かったりして。
        詐欺とはあえていわないが、限りなく詐欺に近いねー。

        --
        hoihoi-p  得意淡然、失意泰然。
        親コメント
        • by nim (10479) on 2005年10月29日 0時13分 (#821984)
          サーバが偽物だったら、当然どんなユーザの接続も
          受け入れる設定にするでしょう。ですから、ユーザが
          偽サーバにだまされるおそれはありますね。

          その前提にたち、銀行システムがクライアント証明書
          で認証するようにすれば、偽ユーザはそもそもセッションを
          開始できないため悪さはされないという訳ですね。
          (ちなみに、ふつう鍵はクライアント側で生成するもので、
          サービス提供側で作るものではないですが。サービス
          提供側はその鍵のうち公開鍵側に署名をして証明書
          を作るわけです)

          うーん……確かにそうですね。ICキャッシュカードを
          使ってインターネットバンキングみたいな話なので、
          それなら悪用はされないですね。
          親コメント
      • by Anonymous Coward
        そういう紛らわしい証明書は発行してもらえないはずでは。
        発行者にもよりますけど、主要ブラウザのルート証明書に入っているようなところは大丈夫なはず。

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

処理中...