アカウント名:
パスワード:
SSLの利用には、民間認証機関が発行するサーバー証明書が必要で、認証の根底に、政府認証基盤ではなく、民間認証機関を置くことになり問題だ
と堂々と言ってのける総務省官房企画課だね。 自前の認証局で発行した証明書でSSLを使用するだけでも、途中改ざんの危険は減るのに。ダウンロード時にブラウザの警告は出るけど、証明書をブラウザにインストールしようという
自前の認証局で発行した証明書でSSLを使用するだけでも、途中改ざんの危険は減るのに。ダウンロード時にブラウザの警告は出るけど、証明書をブラウザにインストールしようという人なら、そのサイトのことを始めから信頼してるでしょう?
あぁ、ここにも高木氏の「SSL安全神話・SSL至上主義」に洗脳されちゃってる人がいるなぁ。 ブラウザにまだインストールされてないルート証明
自前の認証局で発行した証明書でSSLを使用するだけでも、途中改ざんの危険は減るのに。ダウンロード時にブラウザの警告は出るけど、証明書をブラウザにインストールしようという人なら、そのサイトのことを始めから信頼してるでしょう? あぁ、ここにも高木氏の「SSL安全神話・SSL至上主義」に洗脳されちゃってる人がいるなぁ。
あぁ、ここにも高木氏の「SSL安全神話・SSL至上主義」に洗脳されちゃってる人がいるなぁ。
引用コメントが完全な解決にはならないのは確かで
高木氏の~というのは元記事をちゃんと読んでないのでは?
VeriSignなど、既に多くのブラウザにルート証明が存在するSSLで独自のルート証明書を配るようにしても、偽サーバでhttpで偽ルート証明書を配られる事を阻止できないという事は既出なので書かなかっただけですが 高木氏の「安全のため=SSL使え」「SSL使ってない=安全でない」という固定観念から抜け出せない様を「SSL安全神話・SSL至上主義」と書いたのです。 で、それに洗脳されちゃってるから「SSL使ってないから安全じゃない」→「た
じゃあhttp://www.shinsei.soumu.go.jp/first_ie.htmlもSSLにして偽装ができないようにすればいい?
そのとうりですね。ユーザがここで https になっていることを目で確認するわけです。
でもその前のhttp://www.shinsei.soumu.go.jp/useconsent_ie.htmlはhttpなのでここを偽装されて
その話って 前にも言ってませんでした [srad.jp] ? そのときも
A→B→C→D
というリンクがあるとします。ここでDはルート証明書とします。ルート証明書をSSLで配布するために、ルート証明書のDとその前のページCをSSLにします(SSLのページは小文字でd, cと書きます)
A→B→c→d
でもBのページは相変わらずhttpなので、これを偽造されて
A→B'→
A→B'→C'→D' ×→c→d とされてしまう可能性はあります。(' 付きは偽装されたページ) こうなってしまったら、ここへアクセスするユーザにはSSLのページ の存在は全く隠されてしまうのでcのページの存在すらわかりません。 ですから「httpsになっていることを目で確認する」事もできません。
C’の画面を見て、https になっていないこと
C’の画面を見て、https になっていないことをユーザは目で確認できるのでは?
それで「おかしい」と気付くためには「cがSSLで提供されているはず」という予備知識が必要ですが、そんなものはありません 「cのページはSSLで提供されています」という事を周知する労力をかけるぐらいなら、本来の確認手段であるフィンガープリントを周知する方に力をいれるべきでしょう。 もちろんトップページに「SSLだよ」なんて書いても無意味です
ですから、SSLのサーバ証明書では悪意のある者によって管理されている、あるいはクラックされたサイトに「日本国総務省のものである」と主張する「(偽物の)ルート証明書」が置かれる事を抑止する事はできません。 な、アホな。それは、認証局がポカをやったときか、総務省のサーバー自身が侵入されてコンテンツを改竄されたときですが、そういう話をしているのですか? 最初のコメントからずいぶん論
ですから、SSLのサーバ証明書では悪意のある者によって管理されている、あるいはクラックされたサイトに「日本国総務省のものである」と主張する「(偽物の)ルート証明書」が置かれる事を抑止する事はできません。
な、アホな。それは、認証局がポカをやったときか、総務省のサーバー自身が侵入されてコンテンツを改竄されたときですが、そういう話をしているのですか? 最初のコメントからずいぶん論
この点だけを(SSL不完全論の)拠り所にしているようです。
この点だけを(SSL不完全論の)拠り所にしているようです。 SSLのページ自体のすりかえなんて話は全然してませんし、そんな事は拠り所にもしていませんが。
そこに至る経路でSSLで用意されているページ以外の所へ誘導されてしまうという話をしています。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
政府関係者の無知にはあきれるかも (スコア:2, すばらしい洞察)
と堂々と言ってのける総務省官房企画課だね。
自前の認証局で発行した証明書でSSLを使用するだけでも、途中改ざんの危険は減るのに。ダウンロード時にブラウザの警告は出るけど、証明書をブラウザにインストールしようという
Re:政府関係者の無知にはあきれるかも (スコア:0)
あぁ、ここにも高木氏の「SSL安全神話・SSL至上主義」に洗脳されちゃってる人がいるなぁ。
ブラウザにまだインストールされてないルート証明
Re:政府関係者の無知にはあきれるかも (スコア:1)
引用コメントが完全な解決にはならないのは確かで
Re:政府関係者の無知にはあきれるかも (スコア:0)
VeriSignなど、既に多くのブラウザにルート証明が存在するSSLで独自のルート証明書を配るようにしても、偽サーバでhttpで偽ルート証明書を配られる事を阻止できないという事は既出なので書かなかっただけですが
高木氏の「安全のため=SSL使え」「SSL使ってない=安全でない」という固定観念から抜け出せない様を「SSL安全神話・SSL至上主義」と書いたのです。
で、それに洗脳されちゃってるから「SSL使ってないから安全じゃない」→「た
Re:政府関係者の無知にはあきれるかも (スコア:0)
偽サーバで…以降の意味がわかりません。
- SSLなのに「httpで」とは?
Re:政府関係者の無知にはあきれるかも (スコア:-1, 余計なもの)
これをSSLにしましょう。https://www.shinsei.soumu.go.jp/download/soumuca.cer
でもここへのリンクが貼ってあるhttp://www.shinsei.soumu.go.jp/first_ie.htmlはhttpなので偽装可能ですから、https://www.shinsei.soumu.go.jp/download/soumuca.cerではなくhttp://www.shinsei.soumu.go.jp/download/soumuca.cerへと書き換えられてhttpでルート証明書を配られる可能性があります。
じゃあhttp://www.shinsei.soumu.go.jp/first_ie.htmlもSSLにして偽装ができないように
Re:政府関係者の無知にはあきれるかも (スコア:1, 参考になる)
そのとうりですね。ユーザがここで https になっていることを目で確認するわけです。
その話って 前にも言ってませんでした [srad.jp] ?
そのときも
Re:政府関係者の無知にはあきれるかも (スコア:0)
前のコメントはURLをベタベタ書いたせいか「余計なもの」にされちゃったので、もう少し簡略化して書きますね。
たとえば、
A→B→C→D
というリンクがあるとします。ここでDはルート証明書とします。ルート証明書をSSLで配布するために、ルート証明書のDとその前のページCをSSLにします(SSLのページは小文字でd, cと書きます)
A→B→c→d
でもBのページは相変わらずhttpなので、これを偽造されて
A→B'→
Re:政府関係者の無知にはあきれるかも (スコア:0)
C’の画面を見て、https になっていないこと
Re:政府関係者の無知にはあきれるかも (スコア:0)
それで「おかしい」と気付くためには「cがSSLで提供されているはず」という予備知識が必要ですが、そんなものはありません
「cのページはSSLで提供されています」という事を周知する労力をかけるぐらいなら、本来の確認手段であるフィンガープリントを周知する方に力をいれるべきでしょう。
もちろんトップページに「SSLだよ」なんて書いても無意味です
Re:政府関係者の無知にはあきれるかも (スコア:1)
まだやってるとは…。
この議論では http じゃ危険だという予備知識があるということは前提なんでしょ? それすらわからない人がだまされることを阻止することは出来ません。
その上
Re:政府関係者の無知にはあきれるかも (スコア:1)
ここで jbeef 氏が指摘している [srad.jp]
Re:政府関係者の無知にはあきれるかも (スコア:0)
そこに至る経路でSSLで用意されているページ以外の所へ誘導されてしまうという話をしています。
Re:政府関係者の無知にはあきれるかも (スコア:1)
それ以外の点は全部 SSL 利用者の常識レベルで回避できることが示されていると思いますが。
とっくに論破:Pされていますね。