アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
証明書の取らせかた (スコア:2, 興味深い)
この手の隙をついた攻撃があまり無いから具体例として被害の例も挙げることが出来ないですし、イマイチ良い説得方法が見付かりません。
...みなさんどうやって説得してるんですかね?
Re:証明書の取らせかた (スコア:1, 興味深い)
Re:証明書の取らせかた (スコア:0)
偽サイトなんかアドレスバーを見ればわかるわけで。
偽サイト以前に、通信路上で盗聴されることが問題です。
Re:証明書の取らせかた (スコア:4, 参考になる)
他にもhostsファイルが改ざんされたとか、ブラウザのバグをやられたとか。
アドレスバーはあくまで目安で本当は何処にどのように繋がってるかなんて解らないんです。
その途中の経路も含めて保障してくれるのが正しく運用されたSSLなんですけど。
Re:証明書の取らせかた (スコア:0)
>他にもhostsファイルが改ざんされたとか、ブラウザのバグをやられたとか。
>
>アドレスバーはあくまで目安で本当は何処にどのように繋がってるかなんて解らないんです。
>その途中の経路も含めて保障してくれるのが正しく運用されたSSLなんですけど。
そっかー、hostsファイルは改竄される危険があるけど、
ルート証明書は改竄される心配は無いんだね!
ブラウザのバグでアドレスバーが書き換えられることは
あるけど、SSLが書き換えられることは無いんだね!
SSLって凄いね!
Re:証明書の取らせかた (スコア:0)
鍵(ハッシュ)が合わなくなるんじゃないの?
Re:証明書の取らせかた (スコア:1)
つまり、hostsを書き換えるトロイを流布するファーミング詐欺犯は、同時にオリジナルルートCA(VeriSignとか名乗ることもできる)も追加インポートするようにトロイを作り、オリジナルルートCAで署名したサーバ証明書で、フィッシングサイトを運営するわけですから、hostsが書き換えられるような状況の前提では元々SSLは無力ということですね。
だから、そういう状況がない前提においてさえ証明書がオレオレでないことが必要だという理由を主張しないといけない。
Re:証明書の取らせかた (スコア:0)
ニセモノの証明書が発行されたサイトがホンモノになるだけです。
#結局みんな自分の主義主張が正しいって言いたいだけなんだね。