パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

無料Phishing対策ソフトが登場、しかし問い合せ画面は「オレオレ証明書」」記事へのコメント

  • 証明書の発行者が「CloverNetworkCom Co.,Ltd.」とまさにオレオレですね(笑)

    しかも、タレコミにあるcnetなどの記事によると
    ホワイトリスト掲載などに必要な「Web認証登録」の料金は、年額10万~200万円。また「フル機能」を利用する場合の価格は企業規模によって異なり、大手金融機関の場合で契約金2000万円、年間運用費2000万円から。
    とホワイトリストへの掲載は有償、いったいどこの会社が登録するのでしょうか?大体、特別なクライアントが必要で、一般的じゃないホワイトリストを利用するメリットが分かりません。なによりもVeriSignなりの既存の認証機関により、ブラウザで自動的にサイトが本物であるとわかる仕組みがすでにあるというのに、、、
    • 既存の SSL の仕組みを使ってO銀行のサイトを確認する為には、
      a. O銀行のサイトのドメイン名を正確に知っていて、
      b. SSL 証明書の cn がそのドメイン内のサーバであることを確認する。

      必要があります。
      O銀行が o-bank.com だとして、ο-bank.com を悪い人が
      使っていたとしたら、普通のユーザに区別がつくでしょうか。

      ですから、極限定的なエントリからなるホワイトリストを、
      そもそも信用のある主体が管理するモデル(例を挙げれば、
      金融庁の管理する銀行サイトホワイトリスト)
      であれば
      有効だと思います。

      今回上記条件を満たしているかどうかは疑問ですが。
      • by Anonymous Coward
        >b. SSL 証明書の cn がそのドメイン内のサーバであることを確認する。

        CN がアドレスバーのホスト名と一致するかは SSL クライアントが自動的に検査してくれるので、人が確認する必要はありません。
        • by nim (10479) on 2005年10月28日 14時46分 (#821769)
          まあ、アドレスバーでも証明書でもどちらで確認してもいいと思うのですが、アドレスバー偽装(きちんとアップデートされているUAなら問題ないでしょうが)の可能性からアドレスバーよりもcnを見た方がより安全かなと思ってこう書きました。

          親コメント
          • by yu_raku (419) on 2005年10月28日 19時44分 (#821883)
            そもそも、アドレスバーが無かったりするうえに、URLの確認ができない携帯電話のブラウザとかあります。どうしようもありません。
            携帯電話の業者は、URLが確認できないことが脆弱であるという認識を持っているのかなぁ。

            # 複数の携帯電話のWebブラウザに正しい接続先を確認することができないセキュリティホールが見つかりました
            # たぶんずっと修正されません
            親コメント

最初のバージョンは常に打ち捨てられる。

処理中...