パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「どうすればFirefoxを信じられる?」の件がやっと対処」記事へのコメント

  • 自己責任 (スコア:-1, オフトピック)

    by Anonymous Coward
    すべてのソフトウェアは自己責任で使う物です。
    どのソフトが開発元に責任を取ってくれるものが
    ありますか。ディジタル署名など不要なのです。
    自己責任なのだから。
    • 今回のデジタル署名の場合、どちらかといえばフィッシング詐欺のような詐欺対策に近いのではないかと。デジタル署名を施すことで、Mozilla Foundation が発行した正しいファイルかどうか位の確認は出来ます。

      キーロガー付きの Firefox なんて嫌ですし。

      もちろん Mozilla Foundation 自体が信用ならないというのであれば今回のデジタル署名はなんら意味が無いです。
      --
      Mc.N
      • by Anonymous Coward
        >デジタル署名を施すことで、Mozilla Foundation が発行した正しいファイルかどうか位の確認は出来ます。

        証明書確認ダイアログが「Mozilla Foundation」を名乗っているとして、証明書上でそう名乗っている人が本物のモジラファウンデーション [mozilla.org]だと利用者が確認するにはどうすればよいでしょうか?

        有効期間や証明書
        • Re:自己責任 (スコア:2, 参考になる)

          証明書確認ダイアログが「Mozilla Foundation」を名乗っているとして、証明書上でそう名乗っている人が本物のモジラファウンデーションだと利用者が確認するにはどうすればよいでしょうか?

          署名を行った認証局のCPS(Certification Practice Statement)を確認します。認証局が証明書を発行するにあたってどのような確認をするか,などの運用規定がかかれています。たとえば,日本Verisignの物はこちら [verisign.co.jp]。

          これをみ

          • by Anonymous Coward
            日本Verisignだと思ったら、日本Varisignだったりしたらどうしましょう!?

            # くだらないのでAC

            結局第三者の*機関*に頼らなければダメなのがダメだと思う。
            • by Anonymous Coward
              >日本Verisignだと思ったら、日本Varisignだったりしたらどうしましょう!?

              はあ?認証局の名前は偽れませんよ。

              >結局第三者の*機関*に頼らなければダメなのがダメだと思う。

              ぜんぜん意味がわかりませんよ。
              • Re:自己責任 (スコア:1, 興味深い)

                by Anonymous Coward on 2005年02月28日 21時23分 (#701025)
                >>日本Verisignだと思ったら、日本Varisignだったりしたらどうしましょう!?
                >
                >はあ?認証局の名前は偽れませんよ。

                視覚的な類似性を使った詐欺のことだと思います。
                もし、署名確認のダイアログが国際化ドメインに対応してたりすると、
                http://srad.jp/article.pl?sid=05/02/08/0515249&topic=74&mode=thread
                のようなことが署名に対しても起こりえます。
                結局、最後の判断は人がボタン押すか押さないかなので、
                コンピュータ→コンピュータの伝達を偽るのは防いだとしても、
                最後の コンピュータ→人 の伝達は、視覚なり聴覚に頼った伝達に
                なるでしょうから、そこを騙せば良い、というやりかたですかね。

                まぁ、root認証局の証明書をインストールする機会なんて
                あまりないと思いますが。
                証明書買うコストケチった社内システムぐらい?

                >>結局第三者の*機関*に頼らなければダメなのがダメだと思う。
                >
                >ぜんぜん意味がわかりませんよ。

                PGP的なモデルの可能性だと思います。
                信頼の源泉を絶対的な第3者以外のものに求める、と。
                ただその場合、インストールする際に、
                「このソフトウェアは、53%の信頼性で○○○から配布されたものと
                思われますが、インストールしますか?」
                のような、
                答えづらいダイアログがでてくるかもしれません。
                親コメント
              • by Anonymous Coward
                >>はあ?認証局の名前は偽れませんよ。
                >視覚的な類似性を使った詐欺のことだと思います。

                意味が分かりません。
                認証局はそんな名前の機関に証明書を与えない(と判断したものを信頼する)、ということでは?
              • by Anonymous Coward
                そういう名前の認証局が証明したという証明書を勝手に作っちゃうという意味ですよ。
                http://www.takagi-hiromitsu.jp/diary/20050216.html
                このへんが分かりやすいかと。
              • by Anonymous Coward
                >そういう名前の認証局が証明したという証明書を勝手に
                >作っちゃうという意味ですよ。

                名前は全然関係ない。ニセ証明書を騙して入れさせるなら、「VeriSign」というニセ証明書を作ればよいのであって、わざわざ「VariSign」にするまでもないし、「VeriSign」というニセ証明書をルートとして入れてしまう人がいるとしたら、フィンガープリントも確認せずに証明
              • by Anonymous Coward
                > まぁ、root認証局の証明書をインストールする機会なんて
                > あまりないと思いますが。
                今ここに恐るべき真実が明らかにされる。
                http://www.qolqol.com/

                # よりにもよって、ルート証明書をインストールさせようだなんて・・・

物事のやり方は一つではない -- Perlな人

処理中...