パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

無料Phishing対策ソフトが登場、しかし問い合せ画面は「オレオレ証明書」」記事へのコメント

  • おれおれ証明書って、もう当たり前のように使われてるんじゃないかと思うよ。あちこち使ってる感じじゃ。わざと言うより、経営側がコストけちってるとか、技術者が無知なのか。まぁ、前者だろうけど。技術への中途半端な理解が原因なのかなぁ。

    #NetscapeでHotmailのSSL認証にアクセスすると証明書を認めてくれないんよね。セッション中だけ通すことで使ってるけど、あれも問題ある証明書なのかしらん。

    • オレオレ証明書でも、他の方法で広くフィンガープリントを入手できるようになっていれば問題なんですがね。
      #そういうのはオレオレ証明書って言わないんでしょうか?
      • 前回ここでネタ [srad.jp]になったときに紹介された所の説明 [takagi-hiromitsu.jp]よると、ちゃんと運用されていればオレオレ証明書にはならないでしょうね

        ただし、認証や、アクセス規制がかからず公開されているWebページで使用されている自己発行証明書はオレオレ証明書扱いでしょう

        認証等で制限され、使用者すべてに自己証明書等が配布されている
        • > フィンガープリントだろうと、別ルートで公開キーを安全に入手出来るようにしてあろうと
          > それを該当ルートで入手してない人にとってはオレオレ証明書と変わらない訳だし、

          素朴な疑問として、ダウンロードしてきたブラウザとか、
          プレインストールさていたOSに最初から入っている証明書、というのは、
          どういう扱いになるんでしょうか?
          それを別途検証して使っているという人をあまり見たことがありませんが。
          そういう意味では、そういうものもオレオレ証明書と変わらん、
          と結論付けざるを得ないのではないでしょうか。
          • 信頼出来るルート=流通経路、配布元が信頼出来るかどうかでしょうから、無論その流通ルートが信頼に足る物では無いと判断するのであればオレオレ証明書と変わらないでしょう

            逆に言えば配布元、配布ルートが信頼できる物でありえるのであればそれはオレオレでは無いと言うことになります
            最終的に判断するのは使用者であり購入者です
            まぁいい加減な証明書を添付して配布していたら、購入者以外の人からのつっこみも有るかもしれませんね
            Microsoftや各ブラウザ提供者が配布している証明書は少なくとも信用できると一般的に判断されている?から使用されているのでしょう。

            そして各証明書等を持っていない場合は信頼できるかどうかですら、判断されていないわけですから、当然オレオレ証明書となるわけです
            • たとえばFirefoxなんかは http://ftp.mozilla-japan.org/... とSSL通さずに配布されてる訳で、オレオレ証明書の危険性として指摘されている、経路迂回とかされちゃうと容易に配布元と違ったものがユーザの手に渡ってしまう事になりますね。
              こういうブラウザとかをダウンロードしてルート証明書まで確認する人がどれだけいるか?と言えば、ほとんどの人はそんなものまで確認しないんじゃないかな?

              でもなぜか信頼されてますよね。
              信頼されてると言うより、そこにオレオレ証明と同様な危険性があるとは誰も気にしていないし指摘している人もいないというか。

              • そこにオレオレ証明と同様な危険性があるとは誰も気にしていないし指摘している人もいないというか。
                気にされてるし、指摘されてきましたが。あなたが知らなかっただけでは?
                「どうすればFirefoxを信じられる?」の件がやっと対処 [srad.jp]
              • by Anonymous Coward on 2005年10月31日 15時24分 (#823246)
                #821855です。

                コード署名というのは、「改竄の可能性がある」と認識している人が「改竄されていない」と確認するための手段に過ぎません。
                いくら本物にデジタル署名を施しても、「改竄の可能性がある」と認識していない人には何の役にも立ちません。

                高木さんが「オレオレ証明は危険だ」と指摘し、広報しているのと同様以上の情熱(?)を持って、広く一般に「Firefoxをダウンロードしたらデジタル署名を確認しないと危険だ」と指摘し、広報している人がいますか?
                多くの確認もせずに使っている人が危険にさらされているという事を気にしている人がどれだけいますか?
                自分が危険かもしれないと考えている人はいるでしょうが、他人の事まで気にしている人がどれだけいますか?
                少なくともmozilla-japan.orgのページ [mozilla-japan.org]には「ダウンロードしたらデジタル署名を確認すべし」という事は全く書かれていません。

                あなたは、そのトピのタイトルを勝手に拡大解釈して、全ての問題が解決したと思ってるのかもしれませんが、そこで「対処」されたのは「正しいものを正しいと確認する手段が用意された」だけであって、問題は「そのような危険性を認識すらしていない人は危険な状態のまま放置されている」という点です。
                「そんなの当人の責任だ」と言うのであれば、オレオレ証明だってそんなに騒ぐ必要は無いですね。当人の責任です。でもそうじゃないでしょ?
                だからバランスが悪いと感じているのです。

                親コメント
              • 高木さんが「オレオレ証明は危険だ」と指摘し、広報しているのと同様以上の情熱(?)を持って、広く一般に「Firefoxをダウンロードしたらデジタル署名を確認しないと危険だ」と指摘し、広報している人がいますか?

                これ [takagi-hiromitsu.jp] とかこれ [takagi-hiromitsu.jp] とかありましたね。

                少なくともmozilla-japan.orgのページには「ダウンロードしたらデジタル署

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

処理中...