アカウント名:
パスワード:
日本だったら、IPAに報告するのがいいのかな。脆弱性に報奨金をかけているようなところなら、直接、報告してもいいと思うけど。
IPAは未だに情報セキュリティ白書をパスワード付zipで配布してるからなあ……しかも、パスワードを得る為の登録サイトをIE/Edge/Chrome/Safari以外は弾く様に作ってある。
え、マジで!?(Firefox使い)
変なブラウザまで対応する必要はない税金の無駄
変なブラウザ(Firefox)
「謎の半導体メーカー(nVIDIA)」なみにウケル
#NCSA Mosaic からの代々の継続ユーザー
作ってて結果一部のブラウザで動かないということならその言い分もとおるが、あえて弾くようにするのは追加費用だろ
動かないと文句言ってくるバカへの対応コストよりは安いので残当いや冗談ではなく。
だとしても火狐弾くのは意味不明すぎる
FirefoxはOSから切り離された独自のSSL監理システム持ってるからでしょうねきちんと機能している間は問題ないでしょうが絶対の信頼を置くのは難しいブラウザですよ
OSから切り離された独自のSSL監理システム
ってのが何を指すのかはっきりしないのですが、もしMozillaが管理している認証局のリストのことでしたらca-certificatesというパッケージ名で大半のLinuxディストリビューションに標準搭載されているのでマイナーなものではありませんよ。
IPAの話をしますと、www.ipa.go.jpはApache httpdを使用しているようなので、高い確率でca-certificatesも使用しているでしょう。
絶対の信頼を置くのは難しい
と言っているあなたも何かしらca-certificatesの恩恵にあずかっているはずです。
そもそもMozillaの管理するリストがWindowsのものより信頼性に劣ると主張する根拠がよく分かりません。Mozillaの方は「どこどこの認証局は運用がダメだ」みたいな話を公の場で議論したりしているので、透明性という点ではむしろ優れていると思うのですが…
NSSのことかも?
日本の公的組織と認証局の話でMozillaと言えば、日本の公的認証局の運用体制がMozillaの審査基準に適合しなくてMozillaのリストに含まれてなかった、的な話があったような。
杓子定規に過ぎるけれどどちらが正しいかと言えばMozillaかな的な案件だったようなうろおぼえの記憶。
オフトピですが、これですね
Mozilla、日本政府の公開鍵基盤(GPKI)について「対応予定なし」というステータスにhttps://it.srad.jp/story/18/03/01/072235/ [it.srad.jp]
存在証明が必要だったから、電話一本すれば済んでた話だった。
Linux自体がマイn…いやなんでもありません。
って人の事を言えないBSDユーザーorz
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
直接報告するのはリスクが高いってことかな (スコア:0)
日本だったら、IPAに報告するのがいいのかな。
脆弱性に報奨金をかけているようなところなら、直接、報告してもいいと思うけど。
Re:直接報告するのはリスクが高いってことかな (スコア:0)
IPAは未だに情報セキュリティ白書をパスワード付zipで配布してるからなあ……
しかも、パスワードを得る為の登録サイトをIE/Edge/Chrome/Safari以外は弾く様に作ってある。
Re: (スコア:0)
え、マジで!?(Firefox使い)
Re: (スコア:0)
変なブラウザまで対応する必要はない
税金の無駄
Re: (スコア:0)
変なブラウザ(Firefox)
Re: (スコア:0)
変なブラウザ(Firefox)
「謎の半導体メーカー(nVIDIA)」なみにウケル
#NCSA Mosaic からの代々の継続ユーザー
Re: (スコア:0)
作ってて結果一部のブラウザで動かないということならその言い分もとおるが、
あえて弾くようにするのは追加費用だろ
Re: (スコア:0)
動かないと文句言ってくるバカへの対応コストよりは安いので残当
いや冗談ではなく。
Re: (スコア:0)
だとしても火狐弾くのは意味不明すぎる
Re: (スコア:0)
FirefoxはOSから切り離された独自のSSL監理システム持ってるからでしょうね
きちんと機能している間は問題ないでしょうが絶対の信頼を置くのは難しいブラウザですよ
Re:直接報告するのはリスクが高いってことかな (スコア:2, 参考になる)
OSから切り離された独自のSSL監理システム
ってのが何を指すのかはっきりしないのですが、もしMozillaが管理している認証局のリストのことでしたらca-certificatesというパッケージ名で大半のLinuxディストリビューションに標準搭載されているのでマイナーなものではありませんよ。
IPAの話をしますと、www.ipa.go.jpはApache httpdを使用しているようなので、高い確率でca-certificatesも使用しているでしょう。
絶対の信頼を置くのは難しい
と言っているあなたも何かしらca-certificatesの恩恵にあずかっているはずです。
そもそもMozillaの管理するリストがWindowsのものより信頼性に劣ると主張する根拠がよく分かりません。Mozillaの方は「どこどこの認証局は運用がダメだ」みたいな話を公の場で議論したりしているので、透明性という点ではむしろ優れていると思うのですが…
Re: (スコア:0)
NSSのことかも?
Re: (スコア:0)
日本の公的組織と認証局の話でMozillaと言えば、
日本の公的認証局の運用体制がMozillaの審査基準に適合しなくてMozillaのリストに含まれてなかった、的な話があったような。
杓子定規に過ぎるけれどどちらが正しいかと言えばMozillaかな的な案件だったようなうろおぼえの記憶。
Re:直接報告するのはリスクが高いってことかな (スコア:1)
オフトピですが、これですね
Mozilla、日本政府の公開鍵基盤(GPKI)について「対応予定なし」というステータスに
https://it.srad.jp/story/18/03/01/072235/ [it.srad.jp]
Re: (スコア:0)
存在証明が必要だったから、電話一本すれば済んでた話だった。
Re: (スコア:0)
Linux自体がマイn…いやなんでもありません。
って人の事を言えないBSDユーザーorz