アカウント名:
パスワード:
とか書いてあるけど、検索サイトで上位に出てきたリンクをURLを確かめもせずにクリックするような人はhttpだろうがhttpsだろうがどっちみちダメでしょう。
httpsなら大丈夫とか間違った安心感を与えるだけ性質が悪い気がする。
「URLの確認はhttps(SSL/TSL)接続が大前提」というより、適切に「URLの確認」をさせるのは、相手がある程度の技術的な知識が持っていない限り不可能なので、もう諦めた方が良いと思います。
特に、スマホでネットを始めた人には適切な確認は全く期待できません。
パンフレットに記載されていた確認方法の指示も不適切で、パンフレット [soumu.go.jp]の6ページ目(PDFの7ページ目)には、
申請用 WEB サイトにアクセス後、その URL が「https://net.kojinbango-card.go.jp」であることを確認することで、サイトが真正であることを確認してください。
とありますが、
ので適切な説明ではありません。
かといって、正しいURLの確認方法を書こうとすると、
「申請用 WEB サイトにアクセス後、アドレスバーのURLが『https://net.kojinbango-card.go.jp』と完全に一致するか、アドレスバーのURLが『https://net.kojinbango-card.go.jp/』から始まる(最後のスラッシュが必ず必要)」
と長ったらしい説明になってしまうし、スマホだと横幅の関係でURLが省略表示されてしまって確認が困難という問題もあります。
ってことで、三菱東京UFJ銀行のように、「URL」の存在に一切触れずに、EV証明書の確認だけさせるのが望ましいと思います。 [bk.mufg.jp]
個人番号カード総合サイト [kojinbango-card.go.jp]も、きちんとEV証明書を(それも go.jp ドメインで)使っているようだし。
については、EV証明書(やOV証明書)と、単なるDV証明書の違いがもっと周知されるべきですね。
技術的な観点からすると、DV証明書は公開鍵がそのドメインに属することを明白にしているに過ぎず、サイトのコンテンツの内容や運営者が誰であるかについては一切言及していません。DV証明書には、Webサイトの評価・現実世界における身元・安全性に関する情報は一切含まれていないのです。
技術的な観点からすると、DV証明書は公開鍵がそのドメインに属することを明白にしているに過ぎず、サイトのコンテンツの内容や運営者が誰であるかについては一切言及していません。
DV証明書には、Webサイトの評価・現実世界における身元・安全性に関する情報は一切含まれていないのです。
(フィッシング詐欺やマルウェアとの戦いにおける認証局の役割 - Let's Encrypt 総合ポータル [letsencrypt.jp] より引用)
と、DV証明書は単にドメインの所有者の公開鍵であることを認証しているだけなのですが、「HTTPS (TLS) なら認証局が身元を確認しているサイトだから安心」と勘違いしている人が未だに多いようです。
(個人番号カード総合サイトはEV証明書です)
ドヤ顔すごーい
元記事ですが、httpsなら大丈夫とは書いていません。httpsなのは大前提で、その上で、
そのURLが「https://www.kojinbango-card.go.jp」であることを確認することで、サイトが真正であることが確認できるとしている。
と書いてあります。
なんで確認しないのか不思議ですね。 適当な住所指定して希望の場所につく 適当な電話番号入れて希望の相手と会話するこれが可能な人達なんでしょうかね?
> 適当な住所指定して希望の場所につく>適当な電話番号入れて希望の相手と会話する大体これで何とかなるからでしょ郵便や宅配便は宛先がおかしいと連絡くるし電話も相手が間違っていたなら掛け直せばよいだけ
URLを確認させるには、「URLとはなにか」から教える必要ありそうだね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
URLの確認はhttps(SSL/TSL)接続が大前提 (スコア:1)
とか書いてあるけど、検索サイトで上位に出てきたリンクを
URLを確かめもせずにクリックするような人は
httpだろうがhttpsだろうがどっちみちダメでしょう。
httpsなら大丈夫とか間違った安心感を与えるだけ性質が悪い気がする。
もう 「URLの確認」 をさせるのは諦めた方が良さげ (スコア:4, 興味深い)
「URLの確認はhttps(SSL/TSL)接続が大前提」というより、適切に「URLの確認」をさせるのは、相手がある程度の技術的な知識が持っていない限り不可能なので、もう諦めた方が良いと思います。
特に、スマホでネットを始めた人には適切な確認は全く期待できません。
パンフレットに記載されていた確認方法の指示も不適切で、パンフレット [soumu.go.jp]の6ページ目(PDFの7ページ目)には、
とありますが、
ので適切な説明ではありません。
かといって、正しいURLの確認方法を書こうとすると、
「申請用 WEB サイトにアクセス後、アドレスバーのURLが『https://net.kojinbango-card.go.jp』と完全に一致するか、アドレスバーのURLが『https://net.kojinbango-card.go.jp/』から始まる(最後のスラッシュが必ず必要)」
と長ったらしい説明になってしまうし、スマホだと横幅の関係でURLが省略表示されてしまって確認が困難という問題もあります。
ってことで、三菱東京UFJ銀行のように、「URL」の存在に一切触れずに、EV証明書の確認だけさせるのが望ましいと思います。 [bk.mufg.jp]
個人番号カード総合サイト [kojinbango-card.go.jp]も、きちんとEV証明書を(それも go.jp ドメインで)使っているようだし。
については、EV証明書(やOV証明書)と、単なるDV証明書の違いがもっと周知されるべきですね。
(フィッシング詐欺やマルウェアとの戦いにおける認証局の役割 - Let's Encrypt 総合ポータル [letsencrypt.jp] より引用)
と、DV証明書は単にドメインの所有者の公開鍵であることを認証しているだけなのですが、「HTTPS (TLS) なら認証局が身元を確認しているサイトだから安心」と勘違いしている人が未だに多いようです。
(個人番号カード総合サイトはEV証明書です)
Re: (スコア:0)
ドヤ顔すごーい
Re: (スコア:0)
元記事ですが、httpsなら大丈夫とは書いていません。
httpsなのは大前提で、その上で、
と書いてあります。
Re: (スコア:0)
なんで確認しないのか不思議ですね。
適当な住所指定して希望の場所につく
適当な電話番号入れて希望の相手と会話する
これが可能な人達なんでしょうかね?
Re: (スコア:0)
> 適当な住所指定して希望の場所につく
>適当な電話番号入れて希望の相手と会話する
大体これで何とかなるからでしょ
郵便や宅配便は宛先がおかしいと連絡くるし
電話も相手が間違っていたなら掛け直せばよいだけ
URLを確認させるには、「URLとはなにか」から教える必要ありそうだね