Re:SSLの不備について電話で問い合わせてみた (#613486) | アッカ、339,177件の顧客情報流出を確認・流出したか確認することも可能だが…

「アッカ、339,177件の顧客情報流出を確認・流出したか確認することも可能だが…」記事へのコメント

記事ページを表示すべてのコメント取得

検索143コメント Log In/Create an Account

SSLの不備について電話で問い合わせてみた (スコア:2, 余計なもの)

by Anonymous Coward

ACCAのお客様窓口に電話して問い合わせと意見を言ってみました。
最初の係員とのやり取りはこうなりました。

私：警告が出るのですが。
係：有害なホームページに誘導されるということではないので、ご安心ください。
私：問題ないということですか？
係：さようでございます。
私：このまま使ってよいのでしょうか？
係：このまま進んでいただいてけっこうです。
私：では、この警告は何のためにあるのだと思いますか？
係：お客様のブラウザやウイルスソフトの設定によって、警告がでることがあるものです。
私：そちらにあるあなたのパソコンにも出るのですか？
係：はい出ています。そのままボ
- Re:SSLの不備について電話で問い合わせてみた (スコア:0)
  
  by Anonymous Coward
  
  ＞。こちらで本日中にこの警告が出ないように作業を行っているところ。
  
  事実、現在は自己証明書ではなくなってますね。
  どちらかというと証明書を入手するまでの間、自己証明書をつかってまで公開した姿勢は評価するべきだと思いますが。
  
  #証明書は、なにを保障するものなのか、調べてみよう!
  #SSLはどんな仕組みで動いているか勉強してみよう!
  - Re:SSLの不備について電話で問い合わせてみた (スコア:0)
    
    by Anonymous Coward
    
    どちらかというと証明書を入手するまでの間、自己証明書をつかってまで公開した姿勢は評価するべきだと思いますが。
    
    いいえ。自己署名証明書によるSSL運用は、SSLなしであるのと違いません。
    もちろん、SSLなしで、「取り急ぎ公開する姿勢」というのもアリでしょう。当然その場合は、「お客様の個人情報はSSLで保護しています」などという事実に反することは書かないでしょうから。
    なのに、ACCAが今回やったことは、SSLなしと違わない状態なのにもかか
    - Re:SSLの不備について電話で問い合わせてみた (スコア:0)
      
      by Anonymous Coward
      
      自己署名でも、盗聴をやりにくくする意味はあります。
      TCPを乗っ取ってMITMするのは大変ですよ。
      SSL無しのときにパケットを覗き見する方がずっと簡単です。
      こういう泥臭い嫌がらせ、不完全なガードというものも重要ですよ。
      暗号とは別のレイヤになりますが、例えばサーバのプログラムは
      どうしてroot以外で動かすのでしょうか？
      カーネルがバグっていれば、そんな努力は無駄になります。
      でも、サーバプログラ
      - Re:SSLの不備について電話で問い合わせてみた (スコア:0)
        
        by Anonymous Coward
        
        > TCPを乗っ取ってMITMするのは大変ですよ。
        
        顧客のネットワーク環境によっては簡単な場合がありますよ。
        
        > 正規の証明書が間に合わないときに自己署名を
        > 使うのもそういうことだと理解しましょう。
        
        顧客に嘘を言ってはいけません。「暗号化は完全には行われていません」と注意書きしない限り、虚偽表示です。
        
        Re:SSLの不備について電話で問い合わせてみた (スコア:0)
        
        by Anonymous Coward
        
        嘘書いちゃいかんよ。
        暗号化自体はちゃんと行われてるでしょ。
        
        Re:SSLの不備について電話で問い合わせてみた (スコア:0)
        
        by Anonymous Coward
        
        > 暗号化自体はちゃんと行われてるでしょ。
        
        あのねえ、公開鍵暗号は魔法じゃないっての。
        鍵交換とか勉強してみろ、馬鹿たれが。
        
        Re:SSLの不備について電話で問い合わせてみた (スコア:0)
        
        by Anonymous Coward
        
        別ACですが、言ってる事がよくわかりません。
        秘密鍵の交換はしてないですよね？
        
        馬鹿なので検索してもわかりませんでした。
        参考ページとか教えてくれませんか。
        
        Re:SSLの不備について電話で問い合わせてみた (スコア:0)
        
        by Anonymous Coward on 2004年08月29日 12時07分 (#613486)
        
        > 馬鹿なので検索してもわかりませんでした。
        > 参考ページとか教えてくれませんか。
        
        http://srad.jp/comments.pl?sid=205703&cid=612963
        
        シェア
        
        親コメント
        
        Re:SSLの不備について電話で問い合わせてみた (スコア:0)
        
        by Anonymous Coward
        
        いや・・だから・・・通信自体は暗号化されてますよね？
        相手が誰かの保証はありませんが。
        
        #言葉遊びのような
        
        Re:SSLの不備について電話で問い合わせてみた (スコア:0)
        
        by Anonymous Coward
        
        > いや・・だから・・・通信自体は暗号化されてますよね？
        > 相手が誰かの保証はありませんが。
        
        そういうのはSSLが機能しているとは言わない。
        
        Re:SSLの不備について電話で問い合わせてみた (スコア:0)
        
        by Anonymous Coward
        
        それはわかっていますが
        
        #613178　中継されているかわからないからSSLの意味がない
        #613201　安全とは言えないがパケット覗き見は防げるから平文より多少はまし
        
        という流れで暗号化している、していないという話になっているので
        #613201の言う意味では暗号化していま
        
        Re:SSLの不備について電話で問い合わせてみた (スコア:0)
        
        by Anonymous Coward
        
        「データの送受信はSSL技術により保護されるようになっておりますので安心してご確認いただけます。」というアナウンスが間違っているのは全面的に同意しています。
        なら、もう話すことはないだろ？
        それ以上に何か言って意味があるのか？
        
        Re:SSLの不備について電話で問い合わせてみた (スコア:0)
        
        by Anonymous Coward
        
        > なら、もう話すことはないだろ？
        
        大ありです。
        この流れで#613309を読むと、パケットを覗いただけで内容が
        わかるように受け取れるのですが、そうではないんですよね？
        
        もしそんな方法があるのなら確認したい、と思って質問したの
        ですが。
        
        Re:SSLの不備について電話で問い合わせてみた (スコア:0)
        
        by Anonymous Coward
        
        大ありです。
        この流れで#613309を読むと、パケットを覗いただけで内容がわかるように受け取れるのですが、そうではないんですよね？
        もしそんな方法があるのなら確認したい、と思って質問したのですが。
        それは単にあなたが馬鹿なだけです。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

アッカ、339,177件の顧客情報流出を確認・流出したか確認することも可能だが… More ログイン

「アッカ、339,177件の顧客情報流出を確認・流出したか確認することも可能だが…」記事へのコメント

SSLの不備について電話で問い合わせてみた (スコア:2, 余計なもの)

Re:SSLの不備について電話で問い合わせてみた (スコア:0)

Re:SSLの不備について電話で問い合わせてみた (スコア:0)

Re:SSLの不備について電話で問い合わせてみた (スコア:0)

Re:SSLの不備について電話で問い合わせてみた (スコア:0)

Re:SSLの不備について電話で問い合わせてみた (スコア:0)

Re:SSLの不備について電話で問い合わせてみた (スコア:0)

Re:SSLの不備について電話で問い合わせてみた (スコア:0)

Re:SSLの不備について電話で問い合わせてみた (スコア:0)

Re:SSLの不備について電話で問い合わせてみた (スコア:0)

Re:SSLの不備について電話で問い合わせてみた (スコア:0)

Re:SSLの不備について電話で問い合わせてみた (スコア:0)

Re:SSLの不備について電話で問い合わせてみた (スコア:0)

Re:SSLの不備について電話で問い合わせてみた (スコア:0)

Re:SSLの不備について電話で問い合わせてみた (スコア:0)

スラド