アカウント名:
パスワード:
SSLは機能していません。客が入力した個人情報は盗聴される可能性があります。 嘘を付かないように。ブラウザの下の鍵マークはきちんと確認したかい? SSL自体は機能しているから、盗聴はされないと思うぞ。(暗号化が破られない限り)
SSLは機能していません。客が入力した個人情報は盗聴される可能性があります。
嘘を付かないように。ブラウザの下の鍵マークはきちんと確認したかい? SSL自体は機能しているから、盗聴はされないと思うぞ。(暗号化が破られない限り)
通信路の間に入れば、そのまま盗聴できる。 もっと勉強した方がいい。man-in-the-middle がヒントの検索語だ。
→ DNSハックしてのフィッシングの可能性がある。 → ブラウザが警告を出すって話。
DNS spoofing は間に入るためのひとつの実現方法に過ぎないのであって、通信路の間に入る方法は他にもある。
ただし、サーバ
暗号通信だけだったらPGPよろしく証明機関なんて必要ないだろ? まさか、公開鍵方式を知らないとか言わないよな?
PGPメールなら、フィンガープリントを事前に名刺とかでもらうわけだが、Webサイトでどうやってそれをやるわけ?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
SSLの不備について電話で問い合わせてみた (スコア:2, 余計なもの)
最初の係員とのやり取りはこうなりました。
私:警告が出るのですが。
係:有害なホームページに誘導されるということではないので、ご安心ください。
私:問題ないということですか?
係:さようでございます。
私:このまま使ってよいのでしょうか?
係:このまま進んでいただいてけっこうです。
私:では、この警告は何のためにあるのだと思いますか?
係:お客様のブラウザやウイルスソフトの設定によって、警告がでることがあるものです。
私:そちらにあるあなたのパソコンにも出るのですか?
係:はい出ています。そのままボ
突っ込み処、満載ですな (スコア:0, フレームのもと)
ま、これは半分あってるな。
> SSLは機能していません。客が入力した個人情報は盗聴される可能性があります。
嘘を付かないように。
ブラウザの下の鍵マークはきちんと確認したかい?
SSL自体は機能しているから、盗聴はされないと思うぞ。(暗号化が破られない限り)
ただし、サーバがACCAのものだと証明できない。(信頼できる第3者が保証をしてい
ない)
→ DNSハックしてのフィッシングの可能性がある。
→ ブラウザが警告を出すって話。
君のDNSサーバは無事ですか?
> 客に間違った説明をしてしまったことを訂正し、証明書の修正が完了するまで、サ
イトの運用を止めるべきです。
おひおひ、君が間違ってるくせに偉そだな。
その発言からすると、君の発言が消えるまで一切の書込みは止めるべき。
> 係:この警告が出ないように本日中に設定を変更することにしています。
> 私:私のパソコンの設定を変更してくれるのですか?
今、証明書取得を頑張ってんだろ。
さて、いつ入れ替わるか見ものだな。
就業時間が過ぎたからって月曜に伸びたら大笑い。
Re:突っ込み処、満載ですな (スコア:0)
通信路の間に入れば、そのまま盗聴できる。
もっと勉強した方がいい。man-in-the-middle がヒントの検索語だ。
DNS spoofing は間に入るためのひとつの実現方法に過ぎないのであって、通信路の間に入る方法は他にもある。
Re:突っ込み処、満載ですな (スコア:0)
ま、厨房になるとこういう「分かった風な」発言して恥かく香具師多いけど。
(man-in-the-middleも誤解している模様だし)
つか、証明書はそもそも身分証明書であることがベースだけどね。
(だから「
Re:突っ込み処、満載ですな (スコア:0)
PGPメールなら、フィンガープリントを事前に名刺とかでもらうわけだが、Webサイトでどうやってそれをやるわけ?
Re:突っ込み処、満載ですな (スコア:0)
誰かが間に入っていたとしても。
あと、SSLを使うと盗聴できない訳じゃなくて、
盗聴されてもまぁ安心(暗号化されてるから)ってだけでしょ。
# あと、実際のところそんな簡単に man-in-the-middle できる
方法ってあるのかな?
ターゲットと同じセグメントにいるなら話は別だけど。
webmitm (スコア:1)
調べてみたところ、Dsniff の webmitm が SSL に対応しているんですね。
まさしく自己署名の証明書で sniffing してくれるということです。
自宅と ACCA の間に ISP しかいない人は気にしなくていいかもしれませんが
学校からとか会社からとかだと、やっぱり気になります。
Re:webmitm (スコア:0)
ISPの中の人は信用して良いのか?
(だから認証局が必要)
Re:webmitm (スコア:0)
>
> ISPの中の人は信用して良いのか?
> (だから認証局が必要)
認証局じゃなくて、暗号化ね。
そして、暗号化のために認証局が必要。
あと、中の人だけでなく、外の人が通信ケーブルをどうこうすることもなくはない。
Re:突っ込み処、満載ですな (スコア:0)
> 誰かが間に入っていたとしても。
そういうのは「SSLが機能している」とは言わないの。
PKIあってのSSLなわけ。
> # あと、実際のところそんな簡単に man-in-the-middle できる
> 方法ってあるのかな?
簡単でないならオーケーというのなら、そもそもSSLがいらない罠。
Re:突っ込み処、満載ですな (スコア:0)
>まず、鍵マークが出ているならSSL自体は機能しているんじゃない?
>誰かが間に入っていたとしても。
man-in-the-middleってのは、通信相手(今回の場合はACCAだね)の公開鍵を使って暗号化しているつもりが、実は「間に入った誰かさん」が用意し
Re:突っ込み処、満載ですな (スコア:0)
どうせ世間の理解なんてこんなものなんでしょう。