Re:なにがなんだか (#821734) | 無料Phishing対策ソフトが登場、しかし問い合せ画面は「オレオレ証明書」

「無料Phishing対策ソフトが登場、しかし問い合せ画面は「オレオレ証明書」」記事へのコメント

記事ページを表示すべてのコメント取得

検索144コメント Log In/Create an Account

なにがなんだか (スコア:4, 興味深い)

by tetsuya (11853)

証明書の発行者が「CloverNetworkCom Co.,Ltd.」とまさにオレオレですね（笑）

しかも、タレコミにあるcnetなどの記事によると
ホワイトリスト掲載などに必要な「Web認証登録」の料金は、年額10万～200万円。また「フル機能」を利用する場合の価格は企業規模によって異なり、大手金融機関の場合で契約金2000万円、年間運用費2000万円から。
とホワイトリストへの掲載は有償、いったいどこの会社が登録するのでしょうか？大体、特別なクライアントが必要で、一般的じゃないホワイトリストを利用するメリットが分かりません。なによりもVeriSignなりの既存の認証機関により、ブラウザで自動的にサイトが本物であるとわかる仕組みがすでにあるというのに、、、
- Re:なにがなんだか (スコア:2, 参考になる)
  
  by nim (10479) on 2005年10月28日 13時57分 (#821734)
  
  既存の SSL の仕組みを使ってO銀行のサイトを確認する為には、
  a. O銀行のサイトのドメイン名を正確に知っていて、
  b. SSL 証明書の cn がそのドメイン内のサーバであることを確認する。
  
  必要があります。
  O銀行が o-bank.com だとして、ο-bank.com を悪い人が
  使っていたとしたら、普通のユーザに区別がつくでしょうか。
  
  ですから、極限定的なエントリからなるホワイトリストを、
  そもそも信用のある主体が管理するモデル(例を挙げれば、
  金融庁の管理する銀行サイトホワイトリスト)
  であれば
  有効だと思います。
  
  今回上記条件を満たしているかどうかは疑問ですが。
  
  シェア
  
  親コメント
  - Re:なにがなんだか (スコア:1, 参考になる)
    
    by Anonymous Coward on 2005年10月28日 14時01分 (#821738)
    
    ＞b. SSL 証明書の cn がそのドメイン内のサーバであることを確認する。
    
    CN がアドレスバーのホスト名と一致するかは SSL クライアントが自動的に検査してくれるので、人が確認する必要はありません。
    
    シェア
    
    親コメント
    - Re:なにがなんだか (スコア:1)
      
      by nim (10479) on 2005年10月28日 14時46分 (#821769)
      
      まあ、アドレスバーでも証明書でもどちらで確認してもいいと思うのですが、アドレスバー偽装(きちんとアップデートされているUAなら問題ないでしょうが)の可能性からアドレスバーよりもcnを見た方がより安全かなと思ってこう書きました。
      
      シェア
      
      親コメント
      - Re:なにがなんだか (スコア:1)
        
        by yu_raku (419) on 2005年10月28日 19時44分 (#821883)
        
        そもそも、アドレスバーが無かったりするうえに、URLの確認ができない携帯電話のブラウザとかあります。どうしようもありません。
        携帯電話の業者は、URLが確認できないことが脆弱であるという認識を持っているのかなぁ。
        
        # 複数の携帯電話のWebブラウザに正しい接続先を確認することができないセキュリティホールが見つかりました
        # たぶんずっと修正されません
        
        シェア
        
        親コメント
  - Re:なにがなんだか (スコア:1)
    
    by hoihoi-p (5571) on 2005年10月28日 23時05分 (#821944) 日記
    
    o-bank.com が発行して、ベリサイン等の信頼できる認証機関が署名した鍵をサーバ鍵を使って、
    同じように、o-bank.com が発行したユーザ鍵に同じ認証機関が署名した鍵を使用したユーザーのみ、
    セッションを開始するようにすれば、何の問題もないかと。
    つまり、双方向認証。　そのユーザ鍵は銀行の店舗でしか渡さないとか。
    
    既存の技術の運用で解決出来るとおもうが。
    
    そもそも、自社サーバに、認証機関による署名料をけちったサーバ鍵使ってる会社に、年間2000万も運営料をはらうか？
    経営者に「 SSL 」なんて言っても知らないと思うが、「セキュリティ」と言う言葉には弱かったりして。
    詐欺とはあえていわないが、限りなく詐欺に近いねー。
    
    --
    hoihoi-p　　得意淡然、失意泰然。
    
    シェア
    
    親コメント
    - Re:なにがなんだか (スコア:1)
      
      by nim (10479) on 2005年10月29日 0時13分 (#821984)
      
      サーバが偽物だったら、当然どんなユーザの接続も
      受け入れる設定にするでしょう。ですから、ユーザが
      偽サーバにだまされるおそれはありますね。
      
      その前提にたち、銀行システムがクライアント証明書
      で認証するようにすれば、偽ユーザはそもそもセッションを
      開始できないため悪さはされないという訳ですね。
      (ちなみに、ふつう鍵はクライアント側で生成するもので、
      サービス提供側で作るものではないですが。サービス
      提供側はその鍵のうち公開鍵側に署名をして証明書
      を作るわけです)
      
      うーん……確かにそうですね。ICキャッシュカードを
      使ってインターネットバンキングみたいな話なので、
      それなら悪用はされないですね。
      
      シェア
      
      親コメント
  - Re:なにがなんだか (スコア:0)
    
    by Anonymous Coward
    
    そういう紛らわしい証明書は発行してもらえないはずでは。
    発行者にもよりますけど、主要ブラウザのルート証明書に入っているようなところは大丈夫なはず。
    - Re:なにがなんだか (スコア:2, 興味深い)
      
      by haratake (365) on 2005年10月28日 15時25分 (#821778)
      
      > そういう紛らわしい証明書は発行してもらえないはずでは。
      
      数万円かかる発行者なら、たぶんそういうチェックもしてそうですが、
      数千円で取れる証明書ではそんなチェックしてないでしょう。
      
      発行元が外国な場合は、類似してるかどうかもわからないし、どちらが本物かどうかの区別もできないでしょう。
      
      シェア
      
      親コメント
    - Re:なにがなんだか (スコア:1)
      
      by alp (1425) on 2005年10月28日 18時04分 (#821842) ホームページ日記
      
      その考え方は大甘です。PC Magazine の記事による [pcmag.com] と、Verisign でも
      https://citibusinessonline.da-us.cytigroup.com/
      程度までは見落とすようです。
      
      シェア
      
      親コメント
      - Re:なにがなんだか (スコア:1)
        
        by alp (1425) on 2005年10月28日 18時12分 (#821844) ホームページ日記
        
        すみません。Equifax の間違い。
        ちなみに、Equifax は IE,Mozilla の両方で Built-in です。
        
        シェア
        
        親コメント
      - Re:なにがなんだか (スコア:0)
        
        by Anonymous Coward
        
        VeriSign じゃなくて Equifaxのようです [pcmag.com] が。
        もはや VeriSign も「ウォークマン」みたいな代名詞になってたりする？

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

無料Phishing対策ソフトが登場、しかし問い合せ画面は「オレオレ証明書」 More ログイン

「無料Phishing対策ソフトが登場、しかし問い合せ画面は「オレオレ証明書」」記事へのコメント

なにがなんだか (スコア:4, 興味深い)

Re:なにがなんだか (スコア:2, 参考になる)

Re:なにがなんだか (スコア:1, 参考になる)

Re:なにがなんだか (スコア:1)

Re:なにがなんだか (スコア:1)

Re:なにがなんだか (スコア:1)

Re:なにがなんだか (スコア:1)

Re:なにがなんだか (スコア:0)

Re:なにがなんだか (スコア:2, 興味深い)

Re:なにがなんだか (スコア:1)

Re:なにがなんだか (スコア:1)

Re:なにがなんだか (スコア:0)

スラド