The connect method in lib/net/http.rb in the (1) Net::HTTP and (2) Net::HTTPS libraries in Ruby 1.8.5 and 1.8.6 does not verify that the commonName (CN) field in a server certificate matches the domain name in an HTTPS request, which makes it easier for remote attackers to intercept SSL transmissions via a man-in-the-middle attack or spoofed web site.
一般人におけるSSLの意味 (スコア:1, すばらしい洞察)
発行元が証明されているとか、中身が改竄されてないことを証明するってところは
あまり知られてないということ。
あまり知られてない理由に「重要なファクタについての啓蒙をしてこなかった」というのはあるけどね。
それをできるのは知ってる我々の役目でもあるということも肝に銘じておかねば。
Re:一般人におけるSSLの意味 (スコア:4, すばらしい洞察)
こういうのって、サイト(というかその裏のシステム)を構築したベンダーが
助言するべきじゃないかと思う。
その助言が「いや、問題ないっスよ。気にすんなって書いて良いっス」だったら
目も当てられないけど・・・。
--- (´-`)。oO(平和な日常は私を鈍くする) ---
Re:一般人におけるSSLの意味 (スコア:0)
Re:一般人におけるSSLの意味 (スコア:3, 興味深い)
システムを提案するインテグレータ業者は理解して無いでしょうね。
銀行がコストをケチって故意にオレオレ証明書にしているのではなく、
単に、充分な説明を受けてないからオレオレ証明書になっているのだと思う。
インテグレータ業者が銀行に対し説明しないのは、理解してないからでしょう。
風通しって大切ですよね。
# Web屋やってた時にオレオレ証明書について嘘を書かされた記憶があるのでAC
Re:一般人におけるSSLの意味 (スコア:0)
そういう場合もあれば、その逆もあるだろうし、両業者とも理解してる場合も、両業者とも理解してない場合もあるでしょう。
Re:一般人におけるSSLの意味 (スコア:0)
Re:一般人におけるSSLの意味 (スコア:1, 参考になる)
Ruby Net::HTTPS library does not validate server certificate CN [ryukoku.ac.jp]