アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
今のままが正解だろうが (スコア:1, 興味深い)
>サイトはFirefox認証のベンダーに有料の証明書を発行してもらう必要がある。
そもそもがそーなんだから仕方ないだろw
金がかかるから認証無しもアリもフリーパスにしたらおかしくなるだろう
逆に暗号化されてる分が安全だと言いたいのなら
実装を変更して認証と暗号化で警告を分けるかアドレスのURLの背景色を分けて
・緑は認証パス、暗号化OK
・水色は暗号化OK
・白は素
とかって分けるとかかな
もっと踏み込んでやるなら
手数料程度の実質無料の証明ベンダーのコミュニティを立ち上げて運営するかだろう
Re: (スコア:0, 参考になる)
実害だと思います。
Firefox3で警告が出ない証明書を取得するのは、悪意の人物でも
可能なことに気づいてください。
たとえば、どこかの銀行がオンライン窓口を提供するために、
代行会社のサービスを使うことは良くある話です。
しかし、一般顧客からみれば、それが銀行から委託された正当な
業者なのか、またはそれを装った悪意のフィッシングサイトなのか
区別は付きません。
さて、運のいいことに、オレオレ証明書の警告が出ない、正当な
サイトを表示できたとしましょう。
しかし、そのサイトが改竄されていない保障はありません。
妙なスクリプトが仕掛けられているかもしれません。
外部から攻略可能な脆弱なサーバーでさえ、警告の出ない証明書を
使うことは可能なのです。
高木氏が「オレオレ証明書」なんて用語を広め、「自己認証局の
証明書を批判するのがクールだなんて誤解を生んだのは
間違った流れのような気がする。
Re: (スコア:0)
> 実害だと思います。
増えていますかね? そんな人。
「そんな人が増えている」と思い込んでいるだけじゃないですか?
「正規の証明書」が信頼できるのではなく、「正規でない証明書」は「何も証明しない=証明書ではない」というだけの話です。
その上で、珍妙な「証明書でない証明書」なるものを使うのは、
・問題点を理解していない者
・理解しているけれど、(お金がないor面倒といった理由で)認証されているフリをしたい者
・詐欺師
のいずれかじゃないですか?
正規の証明書が何らかの理由で取得できないのら、HTTPで構わないじゃないですか。
どのみち傍受や改竄を防げないのですから。
Re: (スコア:0)
いいえ、それは正確ではありません。
ここで言われている正規な証明書とは、「Mozillaでは、たぶん信用できるだろう」と
あらかじめ証明を確認されているだろうものとして扱っているだけです。
ここで言われている正規でない証明書でも、きちんとブラウザに正しいやり方で
インストールすれば、下手な正規の証明書なんかよりも信頼性の高い証明書に
なりますので、あなたのように「何も証明しない=証明書ではない」と
思い込んでいる人が増えているという話なんです。
MozillaやMSが、「直接は確認していないけど、ここの認証局で認めたなら信用できる
と思うよ」と言って勝手にインストールされた証明書と、
接続先の相手から、直接的に間違いない方法で受け取った証明書では、
どちらが信用できる証明書なのか明白ですよね。
Re:今のままが正解だろうが (スコア:0)
私は違いますけど。
「正規の証明書」は、信用できることを意味していません。
その違いが分からないから、「証明書を取得するのは、悪意の人物でも可能」という頓珍漢な話になるのです。