パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

無料Phishing対策ソフトが登場、しかし問い合せ画面は「オレオレ証明書」」記事へのコメント

  • おれおれ証明書って、もう当たり前のように使われてるんじゃないかと思うよ。あちこち使ってる感じじゃ。わざと言うより、経営側がコストけちってるとか、技術者が無知なのか。まぁ、前者だろうけど。技術への中途半端な理解が原因なのかなぁ。

    #NetscapeでHotmailのSSL認証にアクセスすると証明書を認めてくれないんよね。セッション中だけ通すことで使ってるけど、あれも問題ある証明書なのかしらん。

    • オレオレ証明書でも、他の方法で広くフィンガープリントを入手できるようになっていれば問題なんですがね。
      #そういうのはオレオレ証明書って言わないんでしょうか?
      • オレオレ証明書でも、他の方法で広くフィンガープリントを入手できるようになっていれば問題なんですがね。
        #そういうのはオレオレ証明書って言わないんでしょうか?
        「問題ないんですがね」のタイポ?

        はてなダイヤリー -オレオレ証明書とは- [hatena.ne.jp] に記載されている「高木浩光氏によるオレオレ証明書の分類」に従うと
        第三種オレオレ証明書
                不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をインストールするよう促しており、安全なインストール方法が用意されているもの。

        ではないでしょうか。
        • そもそもオレオレ証明書にあたらないのではないのでしょうか。
          件のページではオレオレ証明書の定義として次のようにあります。
          そのような証明書でありながら、サーバの管理者によって警告を無視していいと主張されている、あるいはブラウザの設定で警告を回避する(証明書を信頼できるものとして設定してしまう)ことが推奨されている証明書がいわゆる「オレオレ証明書」である

          自己認証の証明書でも、それが安全であると主張していなければ、単純にSSLを使っていないだけのページと同じ程度の安全性で、利用者もそのつもりで利用するというだけでしょう。
          安全でないものを安全だと嘘の説明をすることがオレオレ証明書の問題なので、安全だと言わない限りは非難される物でもないと思います。
          • by Anonymous Coward
            > 単純にSSLを使っていないだけのページと同じ程度の安全性
            だったらそもそもSSLに無駄なコストを掛ける必要はないと思いますが何のために導入するのでしょうか。
            • by Anonymous Coward on 2005年10月29日 0時54分 (#822001)
              一応の暗号化ではないでしょうか。
              確かになりすましは区別できませんが、わざわざ仕掛けないと騙せませんから。
              同じLANを使っている多の利用者に盗聴されない程度の意味はあるかも知れません。
              親コメント
              • 同じLANを使っている多の利用者に盗聴されない程度の意味はあるかも知れません。
                攻撃者が同じLANを使っているなら、攻撃はあまりにも容易ですよ。方法は何通りもありますが、一番簡単なのは偽DHCPサーバを立ち上げることですね。

アレゲは一日にしてならず -- アレゲ見習い

処理中...