アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
証明書の取らせかた (スコア:2, 興味深い)
この手の隙をついた攻撃があまり無いから具体例として被害の例も挙げることが出来ないですし、イマイチ良い説得方法が見付かりません。
...みなさんどうやって説得してるんですかね?
Re:証明書の取らせかた (スコア:1, 興味深い)
Re:証明書の取らせかた (スコア:0)
偽サイトなんかアドレスバーを見ればわかるわけで。
偽サイト以前に、通信路上で盗聴されることが問題です。
Re:証明書の取らせかた (スコア:4, 参考になる)
他にもhostsファイルが改ざんされたとか、ブラウザのバグをやられたとか。
アドレスバーはあくまで目安で本当は何処にどのように繋がってるかなんて解らないんです。
その途中の経路も含めて保障してくれるのが正しく運用されたSSLなんですけど。
Re:証明書の取らせかた (スコア:0)
あなたのようなことを言っていると、こう言われちゃうわけよ。
だから「偽サイト以前に、通信路上で盗聴されることが問題です」と言ってるの。わかんない?
Re:証明書の取らせかた (スコア:0)
あなたのようなことを言っていると、こう言われちゃうわけよ。
Re:証明書の取らせかた (スコア:0)
>他にもhostsファイルが改ざんされたとか、ブラウザのバグをやられたとか。
>
>アドレスバーはあくまで目安で本当は何処にどのように繋がってるかなんて解らないんです。
>その途中の経路も含めて保障してくれるのが正しく運用されたSSLなんですけど。
そっかー、hostsファイルは改竄される危険があるけど、
ルート証明書は改竄される心配は無いんだね!
ブラウザのバグでアドレスバーが書き換えられることは
あるけど、SSLが書き換えられることは無いんだね!
SSLって凄いね!
Re:証明書の取らせかた (スコア:0)
鍵(ハッシュ)が合わなくなるんじゃないの?
Re:証明書の取らせかた (スコア:1)
つまり、hostsを書き換えるトロイを流布するファーミング詐欺犯は、同時にオリジナルルートCA(VeriSignとか名乗ることもできる)も追加インポートするようにトロイを作り、オリジナルルートCAで署名したサーバ証明書で、フィッシングサイトを運営するわけですから、hostsが書き換えられるような状況の前提では元々SSLは無力ということですね。
だから、そういう状況がない前提においてさえ証明書がオレオレでないことが必要だという理由を主張しないといけない。
Re:証明書の取らせかた (スコア:0)
ニセモノの証明書が発行されたサイトがホンモノになるだけです。
#結局みんな自分の主義主張が正しいって言いたいだけなんだね。
Re:証明書の取らせかた (スコア:0)
ローカルがどんなにひどい環境でも保障してくれるSSLってすごいギジュツなんですね。
#なわけねーだろ
Re:証明書の取らせかた (スコア:0)
> ローカルがどんなにひどい環境でも保障してくれるSSLってすごいギジュツなんですね。
それは正しく運用されているとは言えないだろ
Re:証明書の取らせかた (スコア:0)
> 他にもhostsファイルが改ざんされたとか、ブラウザのバグをやられたとか。
まで想定してるのに、SSLは正しく運用されていることを前提にするのって著しく不公平だと思うんですけど。
Re:証明書の取らせかた (スコア:2, 興味深い)
このような本家だかそうだかわからないアドレスは簡単に取れてしまいます。
次に最近でもいろいろな商業サイトがトップページ以外のリンク先が別ドメイン名になっていることは珍しくありません。表示されたアドレスを見ているとむしろアドレスでは判断できないと感じます。
そして例えアドレスが本物が表示されていたとしても、ルーティング情報を攻撃されていれば本物のアドレスから偽のサイトに誘導されます。最近のウィルスにそういう攻撃をするものがあったはずです。
URLアドレスだけで危険性を判断するのでは、オレオレ証明書を信用したとたんにフィッシング詐欺に騙されるわけです。
#各セキュリティ認証機関は速やかにNTT西日本の認証を取り下げるべきだと思います
Re:証明書の取らせかた (スコア:2, 参考になる)
> 使っているフィッシングサイト?が、www.au-kddi.comです。
残念ながら、www.au-kddi.comというURLアドレスから
危険性を判断できない人は、オレオレ証明書を信用しない
というだけでは、やはり騙される恐れがあります。
なぜなら、「www.au.kddi.comの偽物だから正しい証明書は
取れない」のではなくて「本物のwww.au-kddi.comとして
正しい証明書が取れる」からです。
正しい証明書からはそのサイトが本物のauなのか判断する
ことはできますが、その為には詳細を開いて確認するときに
あらかじめ「本物のauであればどう書かれているのか」を
知っておかなければならないでしょう。
# > トップページ以外のリンク先が別ドメイン名になっている
# こういうこと [asahi-net.or.jp]されるとかなりゲンナリ。
Re:証明書の取らせかた (スコア:1, 参考になる)
Re:証明書の取らせかた (スコア:0)
こんなんでいいのかね。
Re:証明書の取らせかた (スコア:0)
そんな訳で、だれかダウンロードしたアプリケーションが安全である証明書発行局もプリーズ!
#Unix系のソースインストールとかいうなよ゚゚゚
#所詮ソースコードが汚染されていない証明は、してないのだし
Re:証明書の取らせかた (スコア:1, 参考になる)
Re:証明書の取らせかた (スコア:0)
まさか君は Windows Update をしていないのかい?
そんな人は SSL 以前に、スパイウェア食いまくりだろうね。
Re:証明書の取らせかた (スコア:1, おもしろおかしい)
しかしサーバー側がアドレスバーを消してしまった。
どうしますか?
1.帰る
2.文句を言う
3.うろたえる
Re:証明書の取らせかた (スコア:1, 参考になる)
部門サーバー群の一部が落ちた事をアナウンスする時とかどれが見れてどれが見えないのかってのを何度も何度も聞かれますし。
# そのサーバーでは Web サーバー上げて無くても聞かれたり。
いや、まず盗聴が問題というのは確かですが。
Re:証明書の取らせかた (スコア:1)
DNSまで偽物捕まされますし、、、
uxi
Re:証明書の取らせかた (スコア:1)
んなの見ない奴が多いってことと、アドレスバーを隠蔽するタイプのもいたりするんだな、これが...
# アドレスバーの上に被さったのをずらせば解るっちゃわかるけど、「見る」だけではね。
Re:証明書の取らせかた (スコア:0)
貴方は即座に見破ってくれるわけですね