アカウント名:
パスワード:
悪いこと考えてる人間もノーリスクで利用できる仕組みにしたらhttpsでもやばいという状況を量産するだけなのでは……。
> 悪いこと考えてる人間もノーリスクで利用できる
OSS全否定とは大きく出たな
「もともとそうだったのがやりやすくなるだけ」って考え方もできる。むしろ、そういう認識が広まればEV証明書の意義がより明確に活用されるし、カジュアルなユーザもTLSを使いやすくなって全体的なセキュリティが向上する。
httpsである事自体は元々何も保証してないって状況のままでは
誰でもじゃないよドメイン所有者だけだよ
ドメイン管理者かの確認ありますよ。
ドメイン管理者かドメイン所有者か、なんて確認はしてない。
ただ申請してきたサーバーのIPアドレスと署名してほしいFQDNのDNSのIPアドレスが一致してるか確認してるだけかと。だから、自分はCloudFlareをかましてたから申請はブロックされた。CDN機能を無効にしてダイレクトにこちらのサーバーにつながるようにしたら署名してもらえた。
おそらくその他の確認はとってないと思う。
# 共有サーバー(IPアドレスも)でサービス側が変な設定しててユーザーがsudoできたりすると、同居してる他人のサイトの証明書も取れるはず。
何を防ごうとするのかの違いでしょう信頼できるサイトだけがHTTPSにするべきだというのであれば「信頼できるサイト」とは誰が定義するんでしょう?AdBlockなんかでやっている「許容できる広告」と同じように「誰かが勝手に決める」方がよほど怖いし危ないんですよ。
だから、とりあえず全部SSL/TLS化してしまえば「通信経路中の悪意」に対する防護措置が取れます。「サイトを安全に」ではなく「経路を安全に」が主眼なんじゃないでしょうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
むしろ誰でも証明書がとれるのは脆弱性では (スコア:1)
悪いこと考えてる人間もノーリスクで利用できる仕組みにしたらhttpsでもやばいという状況を量産するだけなのでは……。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:むしろ誰でも証明書がとれるのは脆弱性では (スコア:1)
> 悪いこと考えてる人間もノーリスクで利用できる
OSS全否定とは大きく出たな
Re:むしろ誰でも証明書がとれるのは脆弱性では (スコア:1)
「もともとそうだったのがやりやすくなるだけ」って考え方もできる。
むしろ、そういう認識が広まればEV証明書の意義がより明確に活用されるし、
カジュアルなユーザもTLSを使いやすくなって全体的なセキュリティが向上する。
Re: (スコア:0)
httpsである事自体は元々何も保証してないって状況のままでは
Re: (スコア:0)
誰でもじゃないよドメイン所有者だけだよ
Re: (スコア:0)
Re: (スコア:0)
ドメイン管理者かの確認ありますよ。
Re: (スコア:0)
Re: (スコア:0)
ドメイン管理者かドメイン所有者か、なんて確認はしてない。
ただ申請してきたサーバーのIPアドレスと署名してほしいFQDNのDNSのIPアドレスが一致してるか確認してるだけかと。
だから、自分はCloudFlareをかましてたから申請はブロックされた。CDN機能を無効にしてダイレクトにこちらのサーバーにつながるようにしたら署名してもらえた。
おそらくその他の確認はとってないと思う。
# 共有サーバー(IPアドレスも)でサービス側が変な設定しててユーザーがsudoできたりすると、同居してる他人のサイトの証明書も取れるはず。
Re: (スコア:0)
何を防ごうとするのかの違いでしょう
信頼できるサイトだけがHTTPSにするべきだというのであれば
「信頼できるサイト」とは誰が定義するんでしょう?
AdBlockなんかでやっている「許容できる広告」と同じように「誰かが勝手に決める」方がよほど怖いし危ないんですよ。
だから、とりあえず全部SSL/TLS化してしまえば「通信経路中の悪意」に対する防護措置が取れます。
「サイトを安全に」ではなく「経路を安全に」が主眼なんじゃないでしょうか。