逆に、他のブラウザでは URL と EV 証明書の組織名を両方表示しようとして、両方とも先頭部分しか表示されない場合がある、とも言えます。すると先頭部分だけ URL を似せておけば見ただけでは区別がつかない、という問題がでることになります。(Safari ならばクリックすると組織名の部分が URL になるのでスペース的に余裕がある) Chrome on iOS ではIPA [ipa.go.jp]の EV 組織名表示がされません。Safari on iOS なら Information-technology Promotion Ag ぐらいまで表示できます。
# どちらかというと、Safari が EV 証明書の国コードを表示しない方が不安ではあります
# 手元の IE11 on Win7 はタブの左のごく狭い場所にアドレスバーが表示される……解像度のせいか?
原因と対策が最初の2行でわかる (スコア:2)
>EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。
表示の実装方法云々じゃなくて、審査が不十分なのが全ての問題。ここを直さないと他にも問題がボロボロ出てくるし、逆に直せばほぼ全ての問題が解決する。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re: (スコア:0)
>Safariの場合、EV証明書を使用したWebページではアドレスバーにURLが表示されず、発行先の会社名のみが表示される
>Safariのアドレスバーではstripe.ian.sh、stripe.comともに「Stripe, Inc」と表示されるのみで見分けがつかない。
明らかに表示に問題があるだろ何いってんだ。
なかなか難しい (スコア:4, 参考になる)
「アドレスバーでは…見分けがつかない」というのはより正しくいえば「アドレスバーをクリックしなければ見分けがつかない」ですね。このあたりスマートフォンなど画面の狭い UI と共通化を図っているせいかもしれません。
逆に、他のブラウザでは URL と EV 証明書の組織名を両方表示しようとして、両方とも先頭部分しか表示されない場合がある、とも言えます。すると先頭部分だけ URL を似せておけば見ただけでは区別がつかない、という問題がでることになります。(Safari ならばクリックすると組織名の部分が URL になるのでスペース的に余裕がある) Chrome on iOS ではIPA [ipa.go.jp]の EV 組織名表示がされません。Safari on iOS なら Information-technology Promotion Ag ぐらいまで表示できます。
# どちらかというと、Safari が EV 証明書の国コードを表示しない方が不安ではあります
# 手元の IE11 on Win7 はタブの左のごく狭い場所にアドレスバーが表示される……解像度のせいか?
もし、ユーザが接続したいサイト(企業)の正しい URL を知っていると仮定できるのなら、EV 証明書は不要でドメイン名を保証する証明書で構わなかったはず。EV 証明書は組織の正しいドメイン名を知らなくても組織を特定できるようにという意図で生まれたはずなので、両方を同時に表示して先頭部分しか表示されないよりも、より組織名・URL を表示するスペースを確保する、という考えも理解できます。
ドメイン名を表示しておけばユーザーの責任、というのは多分間違いだと思うのですが、正しい組織名を表示してダメだとなると、州名など住所をより詳しく表示して情報量を増やすぐらいしか思いつきません。これをするとますます URL 表示に割ける面積が減ることになりますから、URL を常時表示するのは諦めた方が正解かも、とも思います。
アドレスバーを2行にして番地まで表示すべきだと思う (スコア:4, 参考になる)
これはセンスの無い設計ですね。画面(特に横幅)が狭いのでやむを得ず省略している情報は、PCの広い幅の画面ではきちんと表示すべきです。
確かにその通りですね。
スマホについては常時表示を諦めて、スクロールで消えるようにするしかないと思います。
しかし、PCの場合は、アドレスバーを2行にする程度の余裕はあるので、EV証明書の場合は下記のように番地まで表示すべきだと思います。Stripe, Inc の場合には、次のようになります。
ゆうちょダイレクトだとこんな感じで、千代田区霞が関1-3-2のゆうちょ銀行なんだな、とユーザーが確認できます。
※上記の番地情報は、実際に使われている EV 証明書の Subject に含まれている Object Identifier (2 5 4 9) の Street address [oid-info.com] (CA/Browser Forum のガイドラインでは必須ではない) の情報
スマホの場合も同じようにアドレスバーをURLと住所の2行で表示して、下にスクロールすれば隠れるようにすれば良いのではないでしょうか。
意図的に組織名を長くして全部表示できなくするといった悪用方法も考えられるので、組織名や住所は省略表示をせずに長い場合には折り返し表示(3行以上になる)すれば良いと思います。
Re: (スコア:0)
ドメイン名、
組織名(重複容易な為)、国と組織名(同一国内で重複出来ないとする)、国と組織名と所在地、国と商標、何を表示したとしても、ユーザがその名称と自分の目的とするサービスの持つ名称を比較しなきゃならないのは同じかと思います。ユーザが正しく認知している可能性が高いのを選ぶべきと考えると、商標で排他するか、
ドメイン名ないし組織名を積極的に広報してもらってそれ表示するのが一番安全って事になると思うのですが、
1組織で複数のサービスを展開することを考えるとドメイン名で済ますのが一番安全な気がします。
もうどうせ大体のブラウザは国際化ドメイン名に対応しているのだし、
「~で検索」とか言ってないで「国際化ドメイン名でサービス名.jp」へアクセス!とかCMすればいい。
# 価格.com は早いところ xn--1sqt31d.com を取ってそっちでもサービスするべきだと思う。
Re: (スコア:0)
それはsafariの問題だよね。完全に。
Re: (スコア:0)
んなわけない
仮に実装に問題なしとしても(ありえねー)、審査の健全性のみに全て依拠しているって、クソ規格にもほどがあるわ
Re: (スコア:0)
んなこたーない。セキュアブートやドライバ署名だって審査に依拠してるし、それは有効に機能する。
https://cpplover.blogspot.jp/2012/06/blog-post_08.html [blogspot.jp]
Re: (スコア:0)
EV証明書は想定される攻撃内容に対して最低の審査基準がザルって事だわな。
EV証明書は審査したコンテンツのみに署名出来るわけではなく、ドメインと組織の実在性しか審査できない。
そして、フィッシング詐欺の類の犯人はインターネットを介さない詐欺行為と同じく会社作る位わけがない。
マルウェアに比べ攻撃の開発コストが安く、ドライバ署名等と違いTLS証明書は発行数が膨大だから紛れるのも簡単。
Re: (スコア:0)
審査が不十分なのが全ての問題。
正しく登記された実在の企業で、連絡先(住所等)も間違っていない、以上の何を審査すれば良いというのか。
Re:原因と対策が最初の2行でわかる (スコア:1)
実在の企業を作れてしまう脆弱性
Re: (スコア:0)
日本では登記住所さえ異なれば別に他社と同じ名前をつけていい。
商標上の問題で訴えられるケースはあるけど、フィッシングをしようというヤツは気にしないだろうね。そもそも商標だって区分が違えば同一でも問題ないし。
どこの国でもそうだと思うが、同一会社名を認めないとつけられる会社名がどんどん長くなってしまって困る。
だから、会社が正規に設立される以上はどうしようもない。
Re: (スコア:0)
しかも国が違えばもう、重複なんてチェックすらされないしな
それを審査が足らないというなら、既存企業のリネームも含めて、全世界の企業名を一意にする制度を整える必要が出てくる
Re:原因と対策が最初の2行でわかる (スコア:2)
一応現状でも Safari 以外の主要ブラウザは EV 証明書の Subject "C" の国名をアドレスバーに表示しています。
しかし、同じ国内でも企業名の重複が許されている国がある(アメリカや日本など)ので、同国内だけであっても企業名を一意にするというのは現実的ではないですね。
Re:原因と対策が最初の2行でわかる (スコア:1)
国跨げば確実に、国内でも国によっては重複可能なIDでどうこうしようって発想がなぁ…
なんかサイン文化とかFacebookに見られるような実名偏重&乱用の一環のようにも思える。
そもそも、もともと全世界で重複のないドメイン名ってキーが有るのに
どうしてわざわざ重複して識別が困難になるキーを有難がっているんだ。
ましてやセキュリティ上の識別符号として使用するとか正気じゃない。
ドメイン名が目的上正しいことを確認しつつ、補足的に運営組織が確認できる、で十分じゃないか。
国際化ドメイン名使えば多言語で人間可読なドメイン名だって作り放題なのになんでまた……
EV証明書に金払った企業としては派手にアピールしてほしいかもしれんが、
そもそもこんなの鍵マーククリックするまで非表示だって構わんだろ…
Re: (スコア:0)
自分のFirefoxでは会社名等が表示されませんでした
おかしいと調べたら設定-詳細のOCSPレスポンダ確認をオフにしていました
オフにするとこういう危険性があるんですね
Re: (スコア:0)
重複ってのは要素の一つであって、それだけではないよ。
ドメインだって期限切れの乗っ取りとかあるし、重複なしだけをみれば、期限切れのない一意な番号の方がよりよいかと言えば、そうならないのが実際。
何故かって言えば、普段使わないものを間違わない可能性は低くなるから。そういう意味では普段使いするドメイン名で識別ってのは悪くないんだが、多くの人、ほとんどの場合ではドメイン名は直接入力ではない間接的な使用で「普段使い」とまでは言えないのも事実。
実名や社名を使うのは、実生活で一番使われているであろうIDなのと、もう一つ、登録に
Re: (スコア:0)
重複しないのはそもそもの絶対条件でしょう。
攻撃を想定するなら相手は偽装できる部分は全部偽装する。
重複しないキーないしはキーセットを照合することでしか、目的の対象かどうかの識別はできない。
ドメイン名は有効期間中は単体でそれを満たす。
組織に関わる情報は、一般人が普段意識しない領域までキーセットに含めないとそれを満たせない。
商標なら国名をキーセットに含めれば成立するけど…
> ドメインだって期限切れの乗っ取りとかあるし
フィッシング詐欺とか誤認させる詐欺を想定するならドメインの期限切れは想定しなくてよい筈。
ドメイン名が普段使いされてないの
Re: (スコア:0)
>公権力の介入は詐欺師共にとって実際の所それが対した抑止力になってないことからわかるように、実効性が無い。
実効性がないは言い過ぎでしょう。
少なくとも私は店で買い物するのに詐欺かどうか怪しんだりしてません。日本ってそういう国じゃないですか?
Re: (スコア:0)
ここではEV証明書の審査に必要な会社の登記が抑止力として実効性があるかって話なので…
ありとあらゆる公権力に実効性がないって言ってるわけではないですよ。
というか物理店舗はそれを用意するコストが抑止力になっているので比較になりません。
検索エンジンや広告や紹介風広告から見つけた、聞いたことのない通販サイトを初見で信用するのかって話の方が近いです。
Re: (スコア:0)
IEもOFFにするとEV証明書として表示されないらしい [cybertrust.ne.jp]。
なんでなんだろ。
即、失効確認できる状態でしかEV証明書として表示できないみたいなルールでもあるのか、ブラウザ側の検証手順で必須なデータがあるのか…
Re:原因と対策が最初の2行でわかる (スコア:1)
ペーパーカンパニーでないかどうかのチェックぐらいは定期的に…無理かなぁ。無理っぽいなぁ。
Safariの実装が頭おかしいのは判ったけど
Re:原因と対策が最初の2行でわかる (スコア:2)
ペーパーカンパニーでないかどうかのチェックぐらいは定期的に…無理かなぁ。無理っぽいなぁ。
Safariの実装が頭おかしいのは判ったけど
法人の納税証明書を毎年送付する義務をつけるとか。
新規法人も納税証明書取れます。
Re: (スコア:0)
ペーパーかどうか、納税金額が多いかどうか、そういうのと信頼がおけるかどうかとは別だから、ぶっちゃけ意味ないよねw
Re: (スコア:0)
金額が多いか?なんて誰か言ったかな?
ペーパーかそうでないかは、
納税してるかしてないかでしょ。
納税してるけどペーパー、営業してるけどペーパーとか良い始めたらきりがない。
Re: (スコア:0)
納税額ゼロでも納税証明書取れちゃうよ・・・
Re: (スコア:0)
世の中ペーパーカンパニーだらけで成りすましする側は法人すら立ち上げずにやるんだから意味がない
Re:原因と対策が最初の2行でわかる (スコア:1)
格付け機関 [wikipedia.org]に依頼するか、同じ審査をやれば良い。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re: (スコア:0)
リンク先を読んだら格付け機関がつけてる信用格付の信憑性にも問題が,みたいなことが.
とすると,格付け機関の格付けも必要なのかも?
Re: (スコア:0)
そして格付け機関の格付けの格付けが……
# エンドレスなんちゃら
Re:原因と対策が最初の2行でわかる (スコア:2)
もう自分が信用できるかどうかですね。
Re: (スコア:0)
ユニークユーザー数とかアクセス数とかが大きなサービスに限れば分かりやすい指標になると思う。
Googleならできる。他はできない。
Re: (スコア:0)
商標。
できれば商標法の方で「Webサービスとして使用する名前、Webサービス提供車の名前」等の区分を各国で設けてもらってそれを持ってる会社であることを確認するあたりが妥当かなぁ…
でも根本的な話として「使おうと思っているサービスの正しい何らかの名前」と表示されている名前をユーザが比較するのは同じ。
会社名オンリーは重複し放題で論外だが、国と会社名にしても、国と商標にしても、ドメイン名にしてもその比較方法は変わらない。
どうせHTTPSでアクセスするんだったらドメイン名オンリーで見たほうがチェックしなきゃいけない情報少なくて安全な気がするなぁ…
キ
Re: (スコア:0)
じゃあ中国みたいにサイト運営するときは登録制にするしかないのかな。
Re: (スコア:0)
Cannonかもしれんよ。
ドメインっても
http://www.mitubishisteel.co.jp/ [mitubishisteel.co.jp]
とか
http://www.nissin-oilio.com/ [nissin-oilio.com]
とかあるし
#正しくはWebで検索!
Re: (スコア:0)
だからこそ、ドメインを可能な限り覚えやすいものにした上でそれをちゃんと宣伝すれば良いんじゃないかな。
とりあえず無駄な「www.」を省くところから。