アカウント名:
パスワード:
とりあえず、そういうところを見つけたらセキュリティホールの指摘として各ブラウザベンダに通報するのがよいかと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
ざるな証明書サービスはブラウザベンダがはじけ (スコア:1, すばらしい洞察)
そうなってしまえば、オレオレ証明書とかわらんわけで、そういうサービスを運営してるということ自体が信用商売なめてるとしか思えない。
とりあえず、そういうところを見つけたらセキュリティホールの指摘として各ブラウザベンダに通報するのがよいかと。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:ざるな証明書サービスはブラウザベンダがはじけ (スコア:3, すばらしい洞察)
(1)実在性を確認するには費用がかかるため、サーバ証明書の発行費用が格段にあがり、零細企業が証明書を取得するのが困難になる。
(2)登記の必要のない個人やその他任意団体が証明書を取得するのが不可能になる。
そんなわけで、そういうCA自身も、そのCAを信頼済みCAリストに突っ込むブラウザベンダも、一概に悪者扱いはできません。最終的な信用点は利用者自身が決定するものです。理想論ですし、難しいことではありますが。
Re:ざるな証明書サービスはブラウザベンダがはじけ (スコア:2, 参考になる)
>(2)登記の必要のない個人やその他任意団体が証明書を取得するのが不可能になる。
実在性を確認させて、高い費用を払ってでも信用を得たい時に使ってる所と
同ランクに保存されているのは問題があるでしょう。
そういう手間隙かけている所が培った信頼を隠れ蓑に、利用者自身の決定を促す
しかも低価格でというニーズは、現行法では違法にならない事業者じゃないのかね。
>最終的な信用点は利用者自身が決定
利用者自身が「実在性を確認するには費用がかかるため」
Re:ざるな証明書サービスはブラウザベンダがはじけ (スコア:3, 参考になる)
# かといって、妥当な例が思いつかないのだが…
組織の実在性や信頼性を(必ずしも)証明しないものでもってそれらを証明しろというのは無理があると思います。
--
「接続したサイトが本物のフィッシングサイトかどうかを認証しています。」ってその通りだよなぁ…
Re:ざるな証明書サービスはブラウザベンダがはじけ (スコア:0)
特許の権利を認めておいて、問題解決は当事者同士でやって
という特許庁があるというほうが似ているか。
それが信用できる企業かどうかまでは、証明しきれる
仕組みではないとは言ってもブラウザ標準で保存されていて
自覚無く使わせるCAには、信用できる運用とか権威が必要。
簡単にsony-xxx.comみたいなアドレスを保証されても困る。
疑わしきは弾けと言うのではなく、煩わしい手続きを踏まないと取れない
高い金がかかるというのは、それだけで即時性を求める犯罪者に有効