アカウント名:
パスワード:
ベネズエラ大使館でググる [google.co.jp]と、在ベネズエラ日本大使館が出てくるので、確かに信用できるとは限りませんね。
これが原因で、かなりの人が勘違いして在ベネズエラ日本大使館にランダエタ応援メッセージが届いた [emb-japan.go.jp]とか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
電話によるDDOS攻撃 (スコア:5, おもしろおかしい)
外部からの圧力があれば修正の予算取れるだろうしー。
Re:電話によるDDOS攻撃 (スコア:2, おもしろおかしい)
Re:電話によるDDOS攻撃 (スコア:2, おもしろおかしい)
Re:電話によるDDOS攻撃 (スコア:1, すばらしい洞察)
電話してみた (スコア:5, 参考になる)
私:電子申請システムについてお尋ねしたいのですが。
県:はい、担当者にかわります。
私:電子申請システムについてお尋ねしているのですが。
県:はい。
私:「入り口はこちら」をクリックすると、「偽装しているサイトに接続しようとしています」という警告が出るのですが。
県:偽装・・・ですか。
私:ブラウザは Firefox なんですが。
県:えとー、ブラウザは Internet Explorer と Netscape のみ想定していますので・・・
私:IE ですか。IE でアクセスしてみると、信頼されないなんとかから発行されていますと警告が出ます。
県:えとー、そしたらですね、「初めて利用する方は」というメニューが見えますか?
私:・・・。それは入り口の中に入るとあるのでしょうか?
県:そうです。中に入っていただいて・・・
私:でも、偽装しているサイトに接続しようとしていると警告が出ているのですが・・・入れというのですか?
県:えー、そういう状況は想定していなかったもので。中に入っていただくと、安全な通信のための証明書の組み込みの説明がありますのでそれにしたがって・・・
私:偽装されていると出ているのに、中に入ってそれをするのですか?
県:ええ・・・。
私:そちらでは警告は出ませんか?
県:こちらでは出ません。
私:私の見ているサイトは偽サイトなのでしょうか?
県:うううん、それはわかりませんが・・・。
私:そうですか。どうも。
脳内で電凸してみた(オフトピ) (スコア:5, おもしろおかしい)
私「はい。『偽装しているサイト』についてです。」
県「『偽装しているサイト』とは何のことですか?」
私「オレオレ証明書です。」
県「え、オレオレ証明書?」
私「はい。オレオレ証明書です。アクセス全員に自己責任を与えます。」
県「・・・で、そのオレオレ証明書は当県においてアクセスするうえで何のデメリットがあるとお考えですか?」
私「はい。第三者が騙って来て欺かれます。」
県「いや、当県には騙ってくるような輩はいません。それに不正にアクセスを加えるのは犯罪ですよね。」
私「でも、IPAでも啓蒙してますよ。」
県「いや、啓蒙とかそういう問題じゃなくてですね・・・」
私「アクセス全員が危険になるんですよ。」
県「ふざけないでください。それに危険って何ですか。だいたい・・・」
私「脆弱性です。間抜けた仕様とも言います。セキュリティポリシーというのは・・・」
県「聞いてません。帰って下さい。」
私「あれあれ?怒らせていいんですか?チクリますよ。総務省に。」
県「いいですよ。連絡して下さい。オレオレ証明書とやらを。それで満足でしたら帰って下さい。」
私「運がよかったな。今ちょうど17時だ。」
県「当窓口の時間は終了しました。」
Re:電話してみた (スコア:2, おもしろおかしい)
県:あなたは、誰ですか?
私:○○町の△△です。
県:それを証明できるものはありますか?
私:いや・・・
県:あなたが誰なのか証明できませんと、電子申請システムについてお答えできません。
俺たちは思い違いをしていたようだ (スコア:4, おもしろおかしい)
「そりゃ電話に出ますよね」
「そう、そこには電話対応の人間が必要だ。自動応答のメッセージでは
県民『なんか警告が出たんで確認したいんだけど』
職員『はい、それではURLをどうぞ』
県民『エッチテーテーピーエス、ええと縦に点が二つ、あ、コロンていうの?これ。
それから斜め棒、へえ、これはスラッシュ?うん、それが二つ。
それからダブリューダブリューダブリュー…』
職員『復唱いたします。アクセスしておられるURLはエイチティーティーピーエス
コロンスラッシュスラッシュダブリューダブリューダブリュー…ですね』
県民『はい、そうです』
職員『ご安心ください、これは静岡県電子承認システムの正規なサイトです』
という血の通ったサービスを提供することは不可能だ。
つまりこれは電子承認システム導入によって削減される静岡県の職員を
救済し、さらには県民と県政との距離ができてしまうのを防ぐための人道的
措置だったんだよ!」
「な、なんだってー!」
Re:俺たちは思い違いをしていたようだ (スコア:1)
Re:俺たちは思い違いをしていたようだ (スコア:2, 参考になる)
ネットに頼らない手段で確認するのは当たり前な気もしますね。
電話帳やNTTの番号案内・・・ (スコア:4, 興味深い)
# こんな単純なビジネスモデルを思いつかなかった自分が悲しいのでAC
こういうのが通じるのであれば (スコア:3, おもしろおかしい)
というか防犯の仕組みを無にするようなことを、こともあろうが警察が触れ回ってるのは、どういうつもりなんだろう。
正規なサイトであることの確認方法 (スコア:3, すばらしい洞察)
Re:正規なサイトであることの確認方法 (スコア:2, すばらしい洞察)
Re:正規なサイトであることの確認方法 (スコア:1)
おそらく警察もそういう意図で書いたのでは?
で、いちいちフィンガープリント確認するのは大変だということで
PKI があるのだと思っていましたよ。
Re:正規なサイトであることの確認方法 (スコア:1)
証明書 (スコア:3, すばらしい洞察)
「うちは証明書用意したからもう安全。平気だな」
一般市民:
「このサイトは証明書があるから安全ね」
詳しい人:
「なにこれ、オレオレ証明書じゃん」
そもそも証明書自体は技術的に見て暗号化されたり
厳格になってるが、社会的に見た場合に
これで信頼性が保障されるかというとそんなことは
あるはず無いわけで。
証明書があるから安全、という認識だけが社会に
広まってしまった弊害でしょうかね。
証明書はその名の通り、サイトと所属する団体の存在を
証明するだけで信頼性を保障する為の証書では
ありませんから。
Re:証明書 (スコア:2, 参考になる)
Re:証明書 (スコア:1)
>「うちは証明書用意したからもう安全。平気だな」
→「証明書!?なんだそれ、社印と登記簿だろ」
>一般市民:
>「このサイトは証明書があるから安全ね」
→「証明書!?なんかよく分からんからどうでもいいや」
が実態かと…
Googleを信用すること無かれ(オフトピ:-893) (スコア:2, 興味深い)
ベネズエラ大使館でググる [google.co.jp]と、在ベネズエラ日本大使館が出てくるので、確かに信用できるとは限りませんね。
これが原因で、かなりの人が勘違いして在ベネズエラ日本大使館にランダエタ応援メッセージが届いた [emb-japan.go.jp]とか。
現実問題として (スコア:1)
ポンポン気にもせずクリックを続ける方々はひっかかり易い
ところでM$のどこかのページがオレオレだったのはもう直ったのだろうか?
Re:現実問題として (スコア:2, 参考になる)
しかし、ためしにIEでアクセスしてみたら何の警告も出ませんでした。
第5種オレオレ証明書 [takagi-hiromitsu.jp]に該当しますね。
# しかし、IEにルート証明書が登録されているということは、
# 言い換えれば直す気がない?
Re:現実問題として (スコア:1)
M$的解釈で証明書を説くならば
#992313 [srad.jp] も普通の対応って事になってしまう
でもやっぱり違うよね〜?
で、 (スコア:1, すばらしい洞察)
では実際にオレオレ証明書が出たとき、どのような対応がベストなのでしょう?
よかったらぜひ、ご教示を。
ドメインで判断しない。 (スコア:1, 参考になる)
> サーバにあり、これが本当に静岡県警察のサイトかどうか不明だ
だからといって、
shizuoka-kenkei.go.jp とか
shizuoka-police.go.jp とか
shizuoka-keisatsu.go.jp とか
にあればこれが本当に静岡県警察のサイトだ! ってわけでもないですよね?
ドメインによって信用できるできないをみるのは危険だと思います。
なお、静岡県のサイト http://www.pref.shizuoka.jp/sosiki/kenkei/ [shizuoka.jp]から静岡県警のサイトに行けます。 http://www.pref.shizuoka.jp/ [shizuoka.jp] が静岡県のサイトかどうかは不明ですがね。
ちなみに、静岡県民の中では「なぜ http://police.pref.shizuoka.jp/ とかに置かないんだろうね?」とか「Web静岡 http://www.wbs.ne.jp/ [wbs.ne.jp] がわざと wbs.ne.jp に置くようにしむけて宣伝に利用しているんじゃない?」とかよく言ってます。
Re:ドメインで判断しない。 (スコア:2, 興味深い)
>shizuoka-police.go.jp とか
>shizuoka-keisatsu.go.jp とか
>にあればこれが本当に静岡県警察のサイトだ! ってわけでもないですよね?
DNSがクラックされている危険性は別に考えるとして
.go.jpというだけである程度の信用はおいてよいかと。
# もうね、何も信用できないですよ
Re:ドメインで判断しない。 (スコア:1, おもしろおかしい)
>
>投稿してから .go.jp を例にしちゃ言いたいことがわかりにくいと思いました。です。はい。
確かに、社会保険庁 [sia.go.jp]とか、信用してよいのか難しいですね。
いろんな意味で :)
Re:ドメインで判断しない。 (スコア:2, すばらしい洞察)
iida
Re:ドメインで判断しない。 (スコア:2, 参考になる)
> サーバにあり、これが本当に静岡県警察のサイトかどうか不明だ
こんなセンスないデザインのサイトつくれるの、いまどき、公共系だけだというところで判断できます。
#じょーだんです(^-^;
Re:ドメインで判断しない。 (スコア:1)
DNS を信用できるならば、GO.JP ドメインは官公庁、国立の機関、特殊法人であること間違いないと言えます。確かに静岡県警のサイトかどうかは分かりませんが、官公庁が偽装サイトを作る理由はないので、.go.jp となっているサイトについて「○○である」というのを疑う必要はないでしょう。
# 繰り返しますが、DNS を信用できるならば、ですけどね。
> http://www.pref.shizuoka.jp/ が静岡県のサイトかどうかは不明ですがね。
pref.道府県名.jp と metro.tokyo.jp は、都道府県庁を指していることはほぼ断定できます。
というのも、「都道府県名.jp」は予約アドレスです。「市区町村名.都道府県名.jp」も予約アドレスです。それ以下のレベルは、地域ドメインとして誰でも登録できます。
という条件から導けることは、hoge.shizuoka.jp は、「ほげ」という名前の(市町村)がない限り、そのドメイン名を登録できるものは静岡県だけであると断定できます。
以上から、pref.shizuoka.jp は、厳密に言えば県庁ではないかもしれませんが、静岡県の公式のドメインであるということはほぼ断定できます。
Re:ドメインで判断しない。 (スコア:3, 参考になる)
普通の汎用JPドメインです。
汎用JPと地域ドメインは、ぱっと見区別がつかないので、
pref.県名.jp とか city.市町村名.県名.jp が本当に地方自治体の地域ドメインなのか、それに似せた汎用JPなのか、
簡単に判断できないと思います。
概ねヘボン式ですが、たまに変なのがあったような気がするので、ちゃんと確認するには
都道府県ラベル [jprs.jp]を見て確認しないとダメかな。
Re:ドメインで判断しない。 (スコア:2, 興味深い)
政令市になると city.市町村名.jp になってよいはずなのですが、
先日政令市になった静岡市は、http://www.city.shizuoka.shizuoka.jp/ [shizuoka.jp]からhttp://www.city.shizuoka.jp/ [shizuoka.jp]に変更してますが
しかし、堺市は、 SAKAI.JP が使えず、
今度、政令市になる予定の浜松市は HAMAMATSU.JP が使えず
http://www.city.sakai.jp/ とか
http://www.city.hamamatsu.jp/ があっても危険だったりします。
Re:ドメインで判断しない。 (スコア:1, 興味深い)
> pref.道府県名.jp と metro.tokyo.jp は、都道府県庁を指していることはほぼ断定
そのドメインが官公庁、国立の機関、特殊法人、都道府県庁または役所のものであることはドメインからわかります。そして、そのドメインが指しているサイトはそれらのものであることもほぼ正しいでしょう。
そして、そこにある情報はたぶんそれらのものであるはずです。
が、しかし、そこに書かれている情報が本当にそれらのものであるかは、電話でもして確認しない限りはわからないです。なので、「ドメインで判断しない」というのは良い考えだと思います。
っていうのも、Webサイトに掲載する情報管理がずさんです。個人が勝手に書き換えることもできるし、サービスプロバイダーが勝手に書き換えることもできなくはありません。できない仕組みが確立しているところもあるかもしれませんが、できない仕組みがないところもあり必要です。
配布するための公式資料を印刷するためには上の上まで許可を取ってから印刷していくことが多いのに、Webサイトの情報は直上司さえしらないうちに書き換えていることもあります。
サービスプロバイダーが勝手に書き換えてはいけませんが勝手に書き換えることができるところもあります。
サービスプロバイダのサーバーに同居している人が書き換えることができるところもあります。
> pref.shizuoka.jp は、厳密に言えば県庁ではないかもしれませんが、
> 静岡県の公式のドメインであるということはほぼ断定できます。
そうですね。ただ、そこに書かれている情報が静岡県の公式の情報かどうかというとわかりませんね。
もちろん情報を利用する人は、静岡県の公式の情報だと思って利用しますがね。
そんなこと言っていたらキリがないですね。すみません。
Re:ドメインで判断しない。 (スコア:1)
静岡県警でググれば上位に行くようにSEO対策すれば…。
モデレート したいときには 権利なし
かつかれー
Re:ドメインで判断しない。 (スコア:1, 参考になる)
tokyo-police.jp は、警視庁で取得済み。
kyoto-police.jp は、京都府警で取得済み。
全部あるのかと思ったら kanagawa-police.jp とか saitama-police.jp とか osaka-police.jp とかない。
kanagawa-police.jp とって不正とかされないかな?
# 公式サイトは web静岡 なのに
# shizuoka-police.jp はぷららで管理しているんだな。
やっぱり窓口だ。 (スコア:1)
取り消しチェックしていると結構引っかかるよな (スコア:1)
「いいえ」を選択するべきなんだろうか?
証明書 (スコア:1, すばらしい洞察)
自治体は「中間証明機関」として法人・個人の証明書を発行する。
いいと思うんだけどなぁ…。
民業圧迫ですか?
Re:証明書 (スコア:2, 参考になる)
何をもって正とする? (スコア:1)
Pinging slashdot.jp [61.215.208.13] with 32 bytes of data:
電話して「IPは61.215.208.13で合ってますか?」
じゃ、だめなの?よくわからんけど。
番号案内の料金がもったいないとか (スコア:1)
Re:番号案内の料金がもったいないとか (スコア:1, おもしろおかしい)
警察なら110番で確認すればいいのでは?
・・・はっ!交換機が偽造させている心配も・・・。
Re:番号案内の料金がもったいないとか (スコア:2, おもしろおかしい)
Re:番号案内の料金がもったいないとか (スコア:1, おもしろおかしい)
その電話機、貴方の居ない間に誰かがこっそり忍び込んで設置した、偽物の電話機という可能性は無いですか?
Re:番号案内の料金がもったいないとか (スコア:2, おもしろおかしい)
直接静岡県警に出向いて・・・はっ!ここにある警察署は本物なのか!?
そして行き着く先は「自分は本当に自分なんだろうか・・・」
#腕や足に番号が書いてあったら要注意ですぞ!
後、鼻の頭が赤い人もね。顔洗ってから確かめよう :-)
じゃぶじゃぶ(ポチッ・・・ブゥゥゥゥン)
Re:本当に静岡県警察のサイトかどうか不明 (スコア:2, すばらしい洞察)
…普通県警というと、県の公安委員会の下部組織な訳で、静岡県http://www.pref.shizuoka.jp/ [shizuoka.jp]の内部ドメインにあると「よそ者」は真っ先に考えると思いますけど…。
Re:本当に静岡県警察のサイトかどうか不明 (スコア:1, おもしろおかしい)
そうでないと証明するものは、少なくともネットワーク上には存在しないようだ。
あるいは、「静岡県」の現地の組織はそのままだが、
ネットワーク上の部分が乗っ取られている可能性も考えられる。
Re:本当に静岡県警察のサイトかどうか不明 (スコア:2, おもしろおかしい)
いやいやw (スコア:1, すばらしい洞察)
>電話帳でAの電話番号を調べて連絡するのだからBに電話するようなことにはなりません。
本当にそれで問題ないですか?
もうちょっと考えてみましょう。
そこでAは当然正規のサイトなので「えぇ、警告が出るのは正常です。うちは正規のサイトです」と答える。
しかしユーザーが見てるBのサイトはフィッシングサイト。問題大アリです。
# もちろん、Aのサイトが証明書を取得してれば最初から起こらない問題ではある
Re:いやいやw (スコア:1, 余計なもの)