日本ベリサインのSecure Site シール、問題を修正せずに再開 58
ストーリー by Oliver
だったら、やめてしまえ 部門より
だったら、やめてしまえ 部門より
mabu 曰く、 "誰でも簡単に偽装ができる問題などから停止していた日本ベリサインの「Secure Site シール」サービスですが、問題を修正せずに再開されたようです。(日本ベリサインの発表)
すでに「セキュリティホール memo ML」で痛烈な批判がなされているので私がコメントするまでもないのですが、無責任な話です。"
あれから随分時間がたっているはずなのに、まだ対策さ (スコア:2, 興味深い)
シール偽装の手法や、その対策方法もきちんと説明されていますね。
http://memo.st.ryukoku.ac.jp/archive/200203.month/3236.html [ryukoku.ac.jp]
http://memo.st.ryukoku.ac.jp/archive/200203.month/3250.html [ryukoku.ac.jp]
http://memo.st.ryukoku.ac.jp/archive/200203.month/3252.html [ryukoku.ac.jp]
http://memo.st.ryukoku.ac.jp/archive/200203.month/3259.html [ryukoku.ac.jp]
http://memo.st.ryukoku.ac.jp/archive/200203.month/3266.html [ryukoku.ac.jp]
http://memo.st.ryukoku.ac.jp/archive/200203.month/3272.html [ryukoku.ac.jp]
他にも www.verisign.com には、クロスサイトスクリプティング脆弱が
残っているみたいだし... secure を売っている会社とは思えないです。
関連リンクは (スコア:1)
単に無責任なだけじゃなくて (スコア:2, すばらしい洞察)
>インターネットおよびHTMLの特性上、一定の限界が存在し、ベリサイン
>のSecure Site シールも例外ではありません。
これって、自社の不備をインターネットとHTMLの問題だと主張して、
結果的に同業他社のトラストマークの信頼性を不当に貶める発言になって
いるような気がするんですが。
Re:単に無責任なだけじゃなくて (スコア:0)
今こそ同業他社はこんな声明を出すべきですね。 「日本ベリサイン社が、トラストマークとはそもそ
日本ベリサインには別の欠陥もあったらしい (スコア:2)
この問題について日本ベリサインの発表 [verisign.co.jp]では、
とされているが、METHOD=POST でアクセスしたものは、アクセスログには記録されていないのではないだろうか?なぜ? (スコア:1)
さて、彼らも「タダのバカ」ではないとすると、なにをどのように考えて、こういう「再開」を果たしたのか、ということを考える必要があるのだと思うが。
その結論が「タダのバカ」になっていようといまいと、とりあえずそういう過程を考えて見るのがよいのではないかと思うが。
結論:(wasなぜ?) (スコア:2, 興味深い)
良く言えば商売、悪く言えば詐欺
少ない利益で、詐欺同然のサービスって他でも色々あるじゃん??
よく止まるハード・OS・ソフト
これら全部は詐欺同然のサービスだと感じるけど。
自分で作るよりは、多少の不具合に目をつぶって
金で解決した方がいいから買うんですよね??
ま、日々繰り返されてる事だし
頭の毛が薄くなっちまったり
ケツの穴がチィサィ
言われるとアレだから、事実(欠陥)は事実(欠陥)として認識して
他の事は、あまり気にしないのがシアワセ。
Re:なぜ? (スコア:1)
問題は (スコア:2, すばらしい洞察)
「日本ベリサインのこのシールの仕組みは、他社に比べて信頼が全くない」
ということですから、周りに呼びかけて使わないようにするほうがいい。そういう問題ですね。日本ベリサイン社を責めるのではなく、そのユーザに危険性を知ってもらい、使わないようにしてもらう。
Re:なぜ? (スコア:1)
で、考えてみたんですが、
「シールはあくまで無償サービスなので止まっていても問題ないが、それをうたい文句に営業しているのでそうもいってられない。」
「利用企業には絶対じゃないのだよって言って、そのうち対応しますと約束すれば納得してもらえるだろう。」
「偽装はまずないだろうから、再開しても問題ないだろう。」
でしょうか?
でも、どうしても「セキュリティ会社ともあろうものが、信じられない!」っていう結論になるんですが、ダメ?
-----
Team Slashdot Japan [tripod.co.jp]に参加しよう。
「日本ベリサイン」です (スコア:1)
-----
Team Slashdot Japan [tripod.co.jp]に参加しよう。
逆に、日本ベリサインを利用しているユーザーは? (スコア:1)
日本ベリサインのサービスを利用しつづけている
会社というのは、次のステップで、「危機管理に問題あり」
と思われたりすることはないのでしょうか?
今回の件で、さっそく乗り換えたというところは、
まだ、聞きませんが。
Copyright (c) 2001-2014 Parsley, All rights reserved.
自らの存在意義を (スコア:0)
うちの子供は (スコア:0)
うちの3歳になる子供はシール集めが趣味だが。。。。
そういう問題ではないな。
Re:うちの子供は (スコア:0)
子供でなくても・・・ (スコア:0)
Re:子供でなくても・・・ (スコア:0)
Re:子供でなくても・・・ (スコア:1)
プラスなのか(笑)
-- wanna be the biggest dreamer
Re:子供でなくても・・・ (スコア:0)
#シールの方がNGマークだったりして
シールがないほうが (スコア:0)
このシールが張ってあるのは
「あぶないサイト」
の証拠である、と。
いやー、世の中わかりやすくなってますなぁ。
Re:シールがないほうが (スコア:1)
日本べりサインが今すべきことは・・・ (スコア:0)
激オフトピ。(マイナス1候補) (スコア:2, 参考になる)
揉め事が更に拡大化する可能性があるし。
確かに、悪い面ばっかクローズアップされる2chだが、いい効果も一方であることは理解しています。
やるのは勝ってだし、言うのも勝手。
でも、よく考えてから物を言って欲しい。
・・・・・・・・・・・・・・・・と、思ってみた。
2chな話は2chでやってちょ。ここは/.Jなんだからさ。
==発言内容は、私の思考に基づいて記述されています==
==詳細な内容に関しては、保証の限りではありません==
Re:激オフトピ。(マイナス1候補) (スコア:0)
/.J をどういう風な雰囲気にするかはみんなが決めることです。
もし、/.J の空気が 2ch っぽい雰囲気に流れてるのならば、
それはそれでしょうがないことでしょうな。
Re:激オフトピ。(マイナス1候補) (スコア:1)
>/.J をどういう風な雰囲気にするかはみんなが決めることです。
だもんで、2ch化を忌避する意見自体を黙殺してはいけないですな。
これも「みんな」の「意見の一つ」だし。
#言ってる文章自体に矛盾があるのは自分で認識してます?
#それとも意図しての誘導?
ま、わたしゃ2chだのなんだの、って話に興味はないですが、
話の流れが気になったので。
---- redbrick
Re:激オフトピ。(マイナス1候補) (スコア:1)
「そういう変遷を遂げるならば、仕方ないことだ」と思う意見がある一方、2ch化を忌避する考えが間違っているわけでもない。
ただ、私としては・・・ACさんの「2chな話は2chでやってちょ。ここは/.Jなんだからさ。」という意見には賛成。
「ここはスラッシュドットジャパンであって、2chでは無い」と言う考えには賛同できますね。
#オフトピのオフトピ、陳謝。>皆様
--- いじょ、トーシローの呟きでした。
Re:こういうのこそ (スコア:1)
でも、こういう、技術的能力の猛烈に低いところって、ユーモアを理解する能力もなさそうだから、問題を直すより「訴えるぞ!」の恫喝を連発するんじゃないかな。けど恥の上塗りになって面白いかも。
何にしても、こんなので年間10万円取って商売するというのが信じられない。金儲けの事ばかり考えて、セキュリティーの事は何も考えていないんだからねぇ。まあ、これまでも、外国製の製品やサービスその物は優れていても、日本の代理店や提携先がタコという話は「ありがち」だけど、それにしてもひどいねぇ。
Re:こういうのこそ (スコア:1)
Re:こういうのこそ (スコア:1)
> 私刑はどうかと思いますが?
消費者は、欠陥商品に対してクレームをつけたり、返品したり、欠陥を認めようとしないメーカーに「問題があるぞ!」と声を上げる権利がある。今度の日本ベリサインの欠陥は、まさに、自社が販売している筈のセキュリティーが、実は無かったという事で、無いものを売っている以上、詐欺商法に等しい。ここで、下手な言い逃れが、全く意味が無いという事実を、彼らでも理解できるように示すというのがなぜ非難されるのか?
考えてみよう。日本ベリサインの認証つきの、詐欺サイトによって消費者が騙されたとする。これが問題ではないというのか? しかし、現状の日本ベリサイトの欠陥認証方式では、それが容易に可能になってしまう。
> インターネット上で使用される各種トラストマークの完全性は、
> インターネットおよびHTMLの特性上、一定の限界が存在し、ベリ
> サインのSecure Site シールも例外ではありません。インター
> ネット上の画像ファイルは、不法に複製および変更が可能であり、
> その結果インターネット利用者を誤った方向に導く可能性がある
> ことが知られています。
これを、保障するのが日本ベリサインの仕事なわけで(苦笑)、そのために年間10万円取っているわけでしょう?
だから、もし日本ベリサインに、技術的な事が理解できないなら、せめて「恥を知れ!」という事さ。
Re:こういうのこそ (スコア:1)
ベリサインのサービスに欠陥があるのならそれを指摘し、場合によっては一般大衆に知らしめればよいだけの話です。
その方法が欠陥の悪用だと言うのならば、その行為は意図が何であれ「悪意を持ったサイト」と変わりがありません。
あなたは車に例にしましたが、あなたの主張は「欠陥車で事故を起こして事の重大さをメーカーに解らせよう」という主張と同一かと思われます。
また、セキュリティ欠陥情報の開示の際に「何処まで開示するか、何時開示するか?」の論議が挙がることがありますが、その中で『安直に欠陥情報を悪用する人間』の存在が論点になることもあったかと思います。
繰り返しますが、私の主張は「目的が正しければ手段も正当化される訳ではない」の一点のみです。
ベリサインに欠陥があることを煽るのは大いに結構ですが、方法は熟考なさい。
件の報告者は祭などといったくだらない偽善行為のために欠陥の内容を公開したわけでないと思いますが。
Re:こういうのこそ (スコア:1)
>繰り返しますが、私の主張は「目的が正しければ手段も正当化される
>訳ではない」の一点のみです。
おっしゃりたいことは確かに正論ですが、
>消費者は、欠陥商品に対してクレームをつけたり、返品したり、欠
>陥を認めようとしないメーカーに「問題があるぞ!」と声を上げる
>権利がある。
というののどこが不当な手段なのでしょうか?
Re:こういうのこそ (スコア:0)
「不当な手段」は大本の発言のこの部分を指すものと思われますが。
Re:こういうのこそ (スコア:0)
Re:こういうのこそ (スコア:1, すばらしい洞察)
私はあまり良くない気がする。それがどれだけ「まずい」かは
各個人の判断でしょう。
この件に関しての一番の抗議は顧客が日本ベリサインのサービスを
解約して同業他社に乗り換えることじゃないの?
顧客でもない人があーだこうだ言ってるのは、ただの野次にしか
過ぎないと思うんだが。まぁ、野次でも有用な意見や的を得た指摘が
あったりするんで野次が悪いとか、いらないとか言うつもりはないけど。
さらに、偽者シールを貼りまくるってのは野次を通り越して、
「殴りこみ」な感じがする。要は「行き過ぎた行為じゃないか?」
ってことね。
顧客でない人ができる最大の抗議は、この件を顧客である企業などに
知らせて「日本ベリサインのサービスは信頼できませんよ」と
言うぐらいかと思うんだが…。
Re:こういうのこそ (スコア:0)
「御社のサイトの証明手段には欠陥があるので、信用して買い物ができない。
ぜひ御社の商品を購入したいので、信用できる方
Re:こういうのこそ (スコア:1)
> サービスに欠陥があるのならそれを指摘し
とっくに指摘してもらっているんですよ、日本ベリサインは。ちなみに、「ベリサイン」はちゃんとした商売をしています。おかしいのは「日本」ベリサインなわけでして、それを混同すべきではありません。それで、100万円もソフトハウスに払えば直してもらえると見積もれる程度の問題であるのに、問題内容を理解できず、問題を直さないまま営業再開するからこそ、問題があるわけで。
> あなたの主張は「欠陥車で事故を起こして事の重大さをメーカーに解らせよう」という主張と同一かと思われます。
むちゃくちゃな論法ですね。これは
- 欠陥があると証拠をしめした上で、事前に内密に報告してもらった
- しかも、直す方法まで教えてもらっている。
- しかし相手がその問題を理解せず、問題是正を拒否して口先三寸で問題を誤魔化せば事足れり、という誤判断をした。
- そこで、そんな対応では済まない、という事を公開される羽目になった
わけであり、車で例えれば、「メーカーは欠陥など無いと言っているが、これが実験結果です」と、欠陥がある事をテストドライバーとテストコースで証明した実験欠陥を好評するような物です。確かに、さっさと欠陥を是正しなければ、本当に事故になるかもしれませんが。> 目的が正しければ手段も正当化される訳ではない
面白いですね。鈴木宗男氏にもそれを教えてあげたらどうですか? この1つ覚えでどんな行為でも追及を免れますよ、と。そころで、日本ベリサインが、容易に対策できる欠陥を直さずに、口先だけで、セキュリティーが無い「認証マーク」を売るという「犯罪行為」のような事は、どうやったら正当化できるのですか?
本当に考えが甘いですね。「黙っていれば、判りはしない」とでも思っているのでしょうか。日本ベリサインのお偉方のように。 とにかく、「祭り」という、ちょっとユーモアを含んだ反応、およびその表現の是非と、指摘されているのに直さなかった欠陥を公開する事の是非は分けたほうがよさそうですね。
どうやら「黙っていれば判りはしない!」といった甘い発想のようですね。日本ベリサインのお偉方と一緒なのでしょう。それで、簡単に偽物シールが貼れる状態を放置してもいい、と思っている。
ところでこれは一体何なんでしょう? 少なくとも2分以上は時間置いてるけどポストできなくて。
スラッシュドット ジャパン requires you to wait 2 分 between each successful posting of a comment to allow everyone a fair chance at posting a comment.
It's been -26553 秒 since you last successfully posted a comment
Re:こういうのこそ (スコア:2, すばらしい洞察)
冗談に真で反応するアナタみたいなのが安直にそういう行動に走られたら『こーいう輩を輩出するからセキュリティ欠陥情報は開示せず極秘に取り扱うべきだ』っていういつもの論旨が台頭しかねないので、その方法は止めて他の方法にして頂戴。
</本音>
Re:こういうのこそ (スコア:0)
Re:こういうのこそ (スコア:0)
だというのなら、それは「テストドライバー」と「テストコース」ではなく、一般のドライバが公道で実験するようなものでしょう。
祭りってのは・・・ (スコア:1, すばらしい洞察)
(だからこそ”祭り”なんですけどね。気に食わないことがあれば手当たり次第に噛み付いて。日常の憂さを晴らしたいがとりあえず名目が必要だから祭りなんてごまかしているだけだし。)
べりサインを真っ当に批判しようとするなら祭りなんて発想自体が出てこないと思うのです。
Re:こういうのこそ (スコア:1)
そこまでひどくはないと思うが。偽物シールを使って詐欺をやろうと言っている訳じゃないんだし、わかりやすくてかつ問題の少ないデモだと思うよ。
Re:こういうのこそ (スコア:1)
ですが、
>> 目的が正しければ手段も正当化される訳ではない
> 面白いですね。鈴木宗男氏にもそれを教えてあげたらどうですか? この1つ覚えでどんな行為でも追及を免れますよ、と。
平気でこう言ってのけるこの手の人間が(お遊び感覚で)そういう行為を無差別かつ大体的に行うと
>冗談に真で反応するアナタみたいなのが安直にそういう行動に走られたら『こーいう輩を輩出するからセキュリティ欠陥情報
>は開示せず極秘に取り扱うべきだ』っていういつもの論旨が台頭しかねないので、その方法は止めて他の方法にして頂戴。
こうなるのが関の山だから(只でさえ頭の痛い問題なのに)、
>ベリサインに欠陥があることを煽るのは大いに結構ですが、方法は熟考なさい。
>件の報告者は祭などといったくだらない偽善行為のために欠陥の内容を公開したわけでないと思いますが。
と書いた訳です。
Re:こういうのこそ (スコア:0)
日本ベリサインは、保証するのが仕事な訳で、それでお金を取ってます。
彼らは現在のシステムに修正すべき部分があるのも知っているし、
修正方法も知ってるんですよね?(USは知ってるらしいし)
大人の喧嘩のやり方 (スコア:2, 興味深い)
ちなみに、民事訴訟法改正で、簡易裁判制度に加えて新たに小額裁判制度という簡易訴訟手続が追加されました。30万円以下の給付請求(金銭の支払いを求める訴訟)に限られますが、原則的に1回の審議で終了すること(10分から30分くらい)、上告や控訴ができないこと(終局判決)、訴訟費用が安いこと(原則6000円で統一)、本人訴訟が原則であること(弁護士など代理人は必要ない)、などの特徴があります。
訴状に関してもWeb経由の作成サービス [e-sosyo.com]などもあります。
ちなみに、上でAC氏やTechnical Type氏が主張されている「偽造シールでデモンストレーション」というのは正当な抗議活動にあたらないと思います。逆にベリサインから訴訟起こされるカモ、ってか、んなガキ臭いことはやめましょ
Re:大人の喧嘩のやり方 (スコア:0)
でも、私は日本ベリサインのユーザーじゃないし、裁判は起こせそうにないですねえ....。
誰かユーザーの人、裁判起こさないかなあ......。
という、他人に頼った姿勢がまず、いかんなあ(とほほ)
詳しい内
Re:こういうのこそ (スコア:1)
裁判っていうのはダメなんでしょうか?
本来そうあるべきよね。
…でも、チョットでも(知識がある|使ってる)デベロッパなら
ボル●モアとかヴェ■サインとか、日本法人を信頼してないでしょ?
そもそも、Web 世界の第三者の証明って
半端な営利団体から金で買うようなものばかりでは?
# ヘタに目くじら立てる以前に
# その程度のモノって認識が大切よん♪
まぁ、今回は半端な物ですってアナウンスしてるんだし
イイんでないの??
Re:こういうのこそ (スコア:0)
Re:こういうのこそ (スコア:0)
騒ぎを大きくして、
本家ベリサインに気づかせて
日本ベリサインの責任者のクビを飛ばす
・・・ってのがいいのかな?
Re:こういうのこそ (スコア:0)
ロッチとか産地偽称とかですか。
偽物の話題に、よくシールが関わるのは何故かなぁ
Re:こういうのこそ (スコア:1)
あれ以来彼とは友だちじゃないけど。
# あいつノコギリクワガタも盗んだんだったな。今考えても腹がたつ。
-----
Team Slashdot Japan [tripod.co.jp]に参加しよう。