アカウント名:
パスワード:
おれがFBIだったら、やっぱり要求する。当然、もらえない。そこで諦める。
以降、テロが起こってマスコミが「実はテロリストは暗号化された通信で頻繁にやりとりしていた!ほらこの企業のサーバにこんなログが!FBIはこれを見抜けなかった!」と騒ごうが何しようが「だって暗号解けないもん仕方ないじゃん」で済ませる。
というか、SSLだったらブラウザに登録されているどこか適当な認証局の鍵を一つでも持っていればいいんじゃないの?
ブラウザでSSLで暗号化されたページ見るのにいちいちこのページはどこの認証局に登録されているのか確認する人はそんなにいないでしょ
もっと手っ取り早く、FBIがルートCAになっている証明書をバンドルするように、ブラウザベンダに要求したりとか。
完全ななりすましではないにせよ、中間者攻撃で警告が出ないくらいの効果はあります。
そういや、昔、日本の自治体がオレオレ証明書を配布してたね。
www.google.comはGoogleが自ら認証局やってますがこれってGoogle内で改竄されてたら意味ないじゃん
企業向けにhttps対応プロキシサーバ(ウィルススキャンつき)というのがあってどうやってるのかと思ったらそのファイアウォールの証明書をクライアントPCに仕込んでおくんだとさMITMの正しい?応用
なるほどと思ったね~
その仕組みのソフトウェアはいくつもありますが、サイトごとの初回アクセス時オンデマンド証明書でっちあげるわけで、相当負荷が高いんですよね。個人的な意見としては大した効果はないのですが、その割にはサーバ台数が必要でライセンス売れて、社員の事細かく監視したい(肥大化し官僚的で無能な)間接部門につけこんだ良い商売だとおもいます。
FBIのCA局がクラッカに狙われて、万一秘密鍵が漏洩した日には目も当てられないので、そんなリスクの高いことはやらないと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
おれがFBIだったら (スコア:0)
おれがFBIだったら、やっぱり要求する。
当然、もらえない。
そこで諦める。
以降、テロが起こってマスコミが「実はテロリストは暗号化された通信で頻繁にやりとりしていた!
ほらこの企業のサーバにこんなログが!FBIはこれを見抜けなかった!」と騒ごうが何しようが
「だって暗号解けないもん仕方ないじゃん」で済ませる。
Re: (スコア:0)
というか、SSLだったらブラウザに登録されているどこか適当な認証局の
鍵を一つでも持っていればいいんじゃないの?
ブラウザでSSLで暗号化されたページ見るのにいちいちこのページはどこの認証局に
登録されているのか確認する人はそんなにいないでしょ
Re:おれがFBIだったら (スコア:1)
もっと手っ取り早く、
FBIがルートCAになっている証明書をバンドルするように、ブラウザベンダに要求したりとか。
完全ななりすましではないにせよ、中間者攻撃で警告が出ないくらいの効果はあります。
Re: (スコア:0)
そういや、昔、日本の自治体がオレオレ証明書を配布してたね。
Re: (スコア:0)
www.google.comはGoogleが自ら認証局やってますが
これってGoogle内で改竄されてたら意味ないじゃん
Re: (スコア:0)
企業向けにhttps対応プロキシサーバ(ウィルススキャンつき)というのがあって
どうやってるのかと思ったら
そのファイアウォールの証明書をクライアントPCに仕込んでおくんだとさ
MITMの正しい?応用
なるほどと思ったね~
Re:おれがFBIだったら (スコア:1)
その仕組みのソフトウェアはいくつもありますが、サイトごとの初回アクセス時オンデマンド証明書でっちあげるわけで、
相当負荷が高いんですよね。
個人的な意見としては大した効果はないのですが、その割にはサーバ台数が必要でライセンス売れて、
社員の事細かく監視したい(肥大化し官僚的で無能な)間接部門につけこんだ良い商売だとおもいます。
Re: (スコア:0)
FBIのCA局がクラッカに狙われて、
万一秘密鍵が漏洩した日には目も当てられないので、
そんなリスクの高いことはやらないと思います。