アカウント名:
パスワード:
「ユーザーがどんな警告も無視する」とか「どんな悪意あるプログラムが走っているか分からない」
社会なんて、所詮相互の共通認識と自制でしか成り立っていないので、それらを形成しやすい環境を作るのが国の役目。行政機関のオレオレ認証はその共通認識を狭めることにしか役立っていないのが問題。
行政のSSL使ってるサイトに行ったことのある一般人ってどれだけ居るの? 行った事も無いサイトでどんなトンチキやってようが、大勢に影響ないんじゃないか?
IPアドレス直書きは、問題がDNSの乗っ取りだけだとはっきり分かっているなら 効果があります。しかし現実には、何が脅威なのか不明な場合がほとんどであり、 たとえDNS 乗っ取りが起きていることは分かっていても、他の脅威の危険もある わけですから、推奨できない回避策でしょう。
ルータ乗っ取りや盗聴には無力ですね.
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
SSLがあれば万全 (スコア:0)
だって、SSLがあるもん。
Re:SSLがあれば万全 (スコア:3, すばらしい洞察)
DNSポイゾニングされて、サイトの利用者がブラウザの警告を無視して他のサーバに個人情報を送信したとき、責任の所在はどこにあると世間ではみなされるのでしょうね。
Re:SSLがあれば万全 (スコア:0)
他に管理者がいるのであれば、バカには管理者権限を与えないことで何とかなるかもしれませんが、バカが自分のアカウント上に持っている情報の流出は防ぎようがありませんね。
Re:SSLがあれば万全 (スコア:1)
もとのレスは行政機関のオレオレ認証が、こういう自体をまねきかねないことを批判しているのでは?
社会なんて、所詮相互の共通認識と自制でしか成り立っていないので、それらを形成しやすい環境を作るのが国の役目。行政機関のオレオレ認証はその共通認識を狭めることにしか役立っていないのが問題。
Re:SSLがあれば万全 (スコア:0)
Re:SSLがあれば万全 (スコア:1)
今現在の行政の業務のかなりはインターネットで済むことばかり。それをIT化するかしないかは社会的コストに跳ね返ってくる。社会的コストは産業競争力に関係する(しかも日本はこれが結構大きい)ので、低いことに越したことはない。
SSL必要な行政サイトの利用が低いという事は、行政のIT化が進んでいない証拠。それはそれで悲しい事。でも行政サイトがトンチキだと、利用率が上がるのも、情報リテラシイを下げることになりかねないので、悲しいこと。
こんなジレンマになる事態をまねかないよう、行政サイトはちゃんとしていてほしいもんです。
せ、世間では? (スコア:0)
何ゆえ不要であろう「世間では」という語句を付けるのか?
純粋に「責任の所在はどこにある」のか考えるだけじゃご不満?
Re:SSLがあれば万全 (スコア:0)
Re:SSLがあれば万全 (スコア:3, 参考になる)
IPアドレス直書きは、問題がDNSの乗っ取りだけだとはっきり分かっているなら 効果があります。しかし現実には、何が脅威なのか不明な場合がほとんどであり、 たとえDNS 乗っ取りが起きていることは分かっていても、他の脅威の危険もある わけですから、推奨できない回避策でしょう。
Re:SSLがあれば万全 (スコア:0, 余計なもの)
鍵マーククリックして、データ毎回見ているの?
見ていないと偽サイトかは判断出来ないのでは?
Re:SSLがあれば万全 (スコア:1)
1、ブラウザに登録されているCAって、全て抜かりなく登録時の確認は完璧なのだろうか?
他人のドメインの証明書取れれば、鍵マークをクリックして確認しない限りドメインを乗っ取られた側もユーザーも気付かない気がする。
2、気に入りに登録しているトップページとかが非SSLのページだと、ロケーションで微妙に違う乗っ取る奴のサイトに飛ばせるよね。
その移動先のサイトの証明書を持っていればほとんど気付かないのでは?
3、ブラウザの穴を突いて、アドレス欄に違うサイト表示出来る問題とかあったよね。
2と合わせて使われれば、SSLで防げると考えるのは過信の様な気がする。
4、定期的にブラウザに怪しいCAが追加されていないかチェックしている人って多いの?
ウイルスに感染してwinnyとかに晒す奴がいるところを見ると、追加されている可能性もあるのでは?
毎度、鍵をクリックしてデータを見ていれば、CAとかが変わったのに気がつくだろうけど、そうじゃなければSSLで完全に防げるとは思えない。
Re:SSLがあれば万全 (スコア:0)
Re:SSLがあれば万全 (スコア:1)
ルータ乗っ取りや盗聴には無力ですね.
Re:SSLがあれば万全 (スコア:0)
いいえ。せいぜい本物サイトとの通信を不可能にするDoSが可能なだけです。
ただし端末上で信頼できないプログラムは動かしていないのが前提です。もっと詳しくは
のような状況。
リンク先にも書かれているとおり、SSLに関する議論をするときにはふつうの想定です。
Re:SSLがあれば万全 (スコア:1, 参考になる)
> http://www.oiwa.jp/~yutaka/tdiary/20050709.html#p02 [www.oiwa.jp]
> のような状況。
と書いたつもりでした。
Re:SSLがあれば万全 (スコア:0)
Re:SSLがあれば万全 (スコア:0)
『DNSの改竄』にたいしてなら解決になるんじゃないの?
ルータ乗っ取りとか、盗聴とかは、DNS改竄とは別問題ですよね?
SSLならあらゆる問題が解決する訳でもないし。
Re:SSLがあれば万全 (スコア:1, すばらしい洞察)
Re:SSLがあれば万全 (スコア:0)
Re:SSLがあれば万全 (スコア:0)
個人的に審査が甘そうなCAはブラウザの証明書ストアから外してます。
解決してないって (スコア:0)
#どうしてこんなに○○だらけなの?