アカウント名:
パスワード:
Firefox のリリース版の Windows 版インストーラパッケージに限って言えば(わたしがそれしか知らない)、Windows Explorer から検証可能な形での電子署名が施されています。 また、それとは別に GnuPG による電子署名も施されています(分離署名形式になっています)。
もちろん、 GnuPG を使うにしても、その GnuPG が本物なのかとか、署名の検証に必要な公開鍵が本物なのかとか、いろいろありますが :-)
それで OpenSSL 辺りの、やはりちょこちょこと穴が見つかっているものを採用する、と?
Firefox や Opera の場合には、同一のコードベースでマルチプラットフォームに対応するためという方が理由としては大きいでしょう。
Firefox などのコード品質は Bugzilla を見るまでも無く決して高いとは言えないものであって、余程枯れて来ている Windows 回りのコードを利用したほうが安全感が高いと言われても仕方がないでしょう。
ざっと「Windows 証明書 脆弱性」で検索しても MS02-48/50 くらいしか引っかからない上に、Firefox も同様に出てきます。また、Opera も 9.02 で偽造 SSL 証明書を正規なものとして受け入れる問題が解決している (2006/ 9/22 リリース!) とか、つい最近の話であって、「そんな脆弱なものは使わない」と言うにはあまりにも説得力不足ですよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
Firefox や Opera で使えない時点で (スコア:0)
自分でエクスポートとインポートをすればいいかもしれませんが。
Re:Firefox や Opera で使えない時点で (スコア:3, すばらしい洞察)
それともWindowsのデジタル証明書ってアプリからは一切参照できないものなの?
Re:Firefox や Opera で使えない時点で (スコア:1, 興味深い)
Windowsの証明書なんかどこまで信用できるのかわからないし、証明する基準なんて用途ごとに違ってきますから。
Javaはランタイムで一括で持ってる部分もあるな。
Re:Firefox や Opera で使えない時点で (スコア:0)
さらに、Windowsだって、自分で購入した人よりは、プリインストールの人の方が多いわけで、そうすると、購入店の信頼性とか・・・
以下続く
Re:Firefox や Opera で使えない時点で (スコア:1, 参考になる)
インストーラーは証明書ついてなかったっけ?
Re:Firefox や Opera で使えない時点で (スコア:0)
インストーラには証明書ついてますね。拡張に署名がつかないのは相変わらずですけど…。
Firefox のリリース版パッケージに施されている電子署名 (スコア:0)
Firefox のリリース版の Windows 版インストーラパッケージに限って言えば(わたしがそれしか知らない)、Windows Explorer から検証可能な形での電子署名が施されています。 また、それとは別に GnuPG による電子署名も施されています(分離署名形式になっています)。
もちろん、 GnuPG を使うにしても、その GnuPG が本物なのかとか、署名の検証に必要な公開鍵が本物なのかとか、いろいろありますが :-)
Re:Firefox や Opera で使えない時点で (スコア:0)
JavaはJRE 5.0からデフォルトでブラウザの(IEを使っていればIEの)証明書ストアを参照するように なりました [takagi-hiromitsu.jp]が?
リンク先にあるとおり証明書を一括して管理したいというのは自然な願望でしょう。
それにJavaの証明書ストアはThawte Personal Freemail CAでコード署名ができる [keio.ac.jp]設定になっているので危険きわまりないです。まあCNがランダムな文字列になるなのでちゃんと署名を確認していれば怪しいということは分かると思いますし、EK
Re:Firefox や Opera で使えない時点で (スコア:1, 参考になる)
それで OpenSSL 辺りの、やはりちょこちょこと穴が見つかっているものを採用する、と?
Firefox や Opera の場合には、同一のコードベースでマルチプラットフォームに対応するためという方が理由としては大きいでしょう。
Firefox などのコード品質は Bugzilla を見るまでも無く決して高いとは言えないものであって、余程枯れて来ている Windows 回りのコードを利用したほうが安全感が高いと言われても仕方がないでしょう。
ざっと「Windows 証明書 脆弱性」で検索しても MS02-48/50 くらいしか引っかからない上に、Firefox も同様に出てきます。また、Opera も 9.02 で偽造 SSL 証明書を正規なものとして受け入れる問題が解決している (2006/ 9/22 リリース!) とか、つい最近の話であって、「そんな脆弱なものは使わない」と言うにはあまりにも説得力不足ですよ。
Re:Firefox や Opera で使えない時点で (スコア:1, すばらしい洞察)
おいおい、ソースが公開されているものと公開されていないものを比較して品質吟味するってどうよ。
Re:Firefox や Opera で使えない時点で (スコア:0)
Re:Firefox や Opera で使えない時点で (スコア:0)
また出鱈目を。根拠は?
Re:Firefox や Opera で使えない時点で (スコア:0)
ブラウザがデフォでGPKIを信頼するかどうかは別でしょう。
PKI知らないユーザを考えればブラウザデフォが一番でしょうが、証明書を信頼するかどうかはブラウザのポリシー次第だと思いますよ。