アカウント名:
パスワード:
どちらかというと証明書を入手するまでの間、自己証明書をつかってまで公開した姿勢は評価するべきだと思いますが。
いいえ。自己署名証明書によるSSL運用は、SSLなしであるのと違いません。 もちろん、SSLなしで、「取り急ぎ公開する姿勢」というのもアリでしょう。当然その場合は、「お客様の個人情報はSSLで保護しています」などという事実に反することは書かないでしょうから。 なのに、ACCAが今回やったことは、SSLなしと違わない状態なのにもかか
「データの送受信はSSL技術により保護されるようになっておりますので安心してご確認いただけます。」というアナウンスが間違っているのは全面的に同意しています。
それ以上に何か言って意味があるのか?
大ありです。 この流れで#613309を読むと、パケットを覗いただけで内容がわかるように受け取れるのですが、そうではないんですよね? もしそんな方法があるのなら確認したい、と思って質問したのですが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
SSLの不備について電話で問い合わせてみた (スコア:2, 余計なもの)
最初の係員とのやり取りはこうなりました。
私:警告が出るのですが。
係:有害なホームページに誘導されるということではないので、ご安心ください。
私:問題ないということですか?
係:さようでございます。
私:このまま使ってよいのでしょうか?
係:このまま進んでいただいてけっこうです。
私:では、この警告は何のためにあるのだと思いますか?
係:お客様のブラウザやウイルスソフトの設定によって、警告がでることがあるものです。
私:そちらにあるあなたのパソコンにも出るのですか?
係:はい出ています。そのままボ
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
事実、現在は自己証明書ではなくなってますね。
どちらかというと証明書を入手するまでの間、自己証明書をつかってまで公開した姿勢は評価するべきだと思いますが。
#証明書は、なにを保障するものなのか、調べてみよう!
#SSLはどんな仕組みで動いているか勉強してみよう!
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
いいえ。自己署名証明書によるSSL運用は、SSLなしであるのと違いません。
もちろん、SSLなしで、「取り急ぎ公開する姿勢」というのもアリでしょう。当然その場合は、「お客様の個人情報はSSLで保護しています」などという事実に反することは書かないでしょうから。
なのに、ACCAが今回やったことは、SSLなしと違わない状態なのにもかか
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
TCPを乗っ取ってMITMするのは大変ですよ。
SSL無しのときにパケットを覗き見する方がずっと簡単です。
こういう泥臭い嫌がらせ、不完全なガードというものも重要ですよ。
暗号とは別のレイヤになりますが、例えばサーバのプログラムは
どうしてroot以外で動かすのでしょうか?
カーネルがバグっていれば、そんな努力は無駄になります。
でも、サーバプログラ
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
顧客のネットワーク環境によっては簡単な場合がありますよ。
> 正規の証明書が間に合わないときに自己署名を
> 使うのもそういうことだと理解しましょう。
顧客に嘘を言ってはいけません。「暗号化は完全には行われていません」と注意書きしない限り、虚偽表示です。
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
暗号化自体はちゃんと行われてるでしょ。
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
あのねえ、公開鍵暗号は魔法じゃないっての。
鍵交換とか勉強してみろ、馬鹿たれが。
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
秘密鍵の交換はしてないですよね?
馬鹿なので検索してもわかりませんでした。
参考ページとか教えてくれませんか。
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
> 参考ページとか教えてくれませんか。
http://srad.jp/comments.pl?sid=205703&cid=612963
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
相手が誰かの保証はありませんが。
#言葉遊びのような
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
> 相手が誰かの保証はありませんが。
そういうのはSSLが機能しているとは言わない。
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
#613178 中継されているかわからないからSSLの意味がない
#613201 安全とは言えないがパケット覗き見は防げるから平文より多少はまし
という流れで暗号化している、していないという話になっているので
#613201の言う意味では暗号化していま
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
それ以上に何か言って意味があるのか?
Re:SSLの不備について電話で問い合わせてみた (スコア:0)
大ありです。
この流れで#613309を読むと、パケットを覗いただけで内容が
わかるように受け取れるのですが、そうではないんですよね?
もしそんな方法があるのなら確認したい、と思って質問したの
ですが。
Re:SSLの不備について電話で問い合わせてみた (スコア:0)