総務省の電子申請・届出システム、問題残して再開 16
ストーリー by Oliver
見切り発車 部門より
見切り発車 部門より
k3c 曰く、 "一時休止 していた総務省の「電子申請・届出システム」が5月7日から再開している。まず、以前のシステムで用いられていたJavaアプレットにセキュリティ-上の脆弱性があったとしてこのアプレットを削除するように要請している。ファイルの破壊やデータの漏曳の可能性があるとのこと。
次に、サービス開始直後にセキュリティmemo MLなどで指摘され、議論が継続されてきた、「安全な通信を行うための証明書」のインストールについては、証明書のダウンロード先およびフィンガープリントのいずれもSSLで保護されないままである。これについては、新たにQ&A形式の回答を掲載して説明を試みている。
しかし、総務省自身がこのページの上の方で「ブラウザのサイトの信用性に関する表示については、誰が正しいと主張しているかを常に確認するようにしましょう。」とSSL通信時にサーバー証明書の確認を求めており、この説明における姿勢と矛盾している。そもそも「ブラウザのメッセージをよく確認」すれば判断できるのだから、現状よりはSSLを用いた方がより確実なはずである。また、偽の証明書をダウンロードさせられ、さらに偽のフィンガープリントを提示される可能性については考慮していないのか疑問が残る。さらに、誰が証明書を発行するのか、という総務省自身の説明にも矛盾があるとの指摘もある。
結局、Javaアプレットの脆弱性に対応、ついでにSSLについても一応説明、という変更のための休止だった模様。アプレットの削除方法くらいは「問題が発生した際のリアルタイムでの情報提供」(Q&AのA3)をしてくれてもよさそうなものですが…。"
なぜ機種依存文字を使う? (スコア:3, 参考になる)
「インターネット」の基本すら知らない組織が認証局作ったって,信用できないなぁ。
# 元々政府という組織自体を信用でないというつっこみは不可。
Re:なぜ機種依存文字を使う? (スコア:1)
もちろんMacユーザーである私は、そういう仕様を決めた役人に「税金返せ」といいたいですけどね。
#そりゃ、開発費やサポート代が安くなるので、国民の税金を有効につかうという大義名分があるとは思いますが。それって公平?
Re:なぜ機種依存文字を使う? (スコア:1)
Re:なぜ機種依存文字を使う? (スコア:1)
あれ、"リンク先"というのは
http://www.shinsei.soumu.go.jp/about_safety.html
のことですよね?
なんか丸数字だったろうと思える所が括弧でくくりの数字になってます。
直しちゃったのかな。
いやそれ以前の話としてどうして丸数字を使わないことが
"「インターネット」の基本"になるのでしょう。
JIS X 0213 はインターネットでは御法度なのでしょうか?
QandA形式の回答の中で (スコア:1)
なんて記述がありますが、こんな略しかた初めてみたな。
通常は NC でしょ?
この考え方で行くとIEの場合はこうなってしまうぞ。
「IN(インターネットエクスプローラ)の場合」
いや、いっそのこと こうしてはどう?
「IT(インターネットエクスプローラ)の場合」
だからぁ (スコア:1, 興味深い)
はできるようにしたけれど
セキュリティ
についてはまるで考えていない、ということだと思うな。
要するに
電子申請ができるサイトを作りました
ということに、今回は意義があるのであって、それが安全であることを認められて、一般に広く使われるようになることは
まるで考えていない
のではないかな?
この姿勢は多くのユーザにとっても、また社会一般でも全然正しくないわけだけれども、正しくない姿勢であってもまるでかまわない、役人には役人の事情というものがあるのだよ、というのが、日本の役人の世界ではありませんか。これは日本の常識としてね。
Re:だからぁ (スコア:2, すばらしい洞察)
むしろ、セキュリティ上は問題があるけど構わずに再開しました、という事ではないでしょうか。一度決めた公共工事を反対を押し切って強行するイメージとダブります。
行政窓口で書類を提出した場合、行政側の落ち度で損害を受けたら何の責任を負わないという事があり得るだろうか。ところが電子申請と来たら 利用規約 [soumu.go.jp]の免責事項に「総務省は・・利用者が第三者に与えた損害について、一切の責任を負いません」と書いてある位ですから、 その信頼性に対する発想が全く違いますね。 結局、電子申請の欠陥を突かれてあなたに被害が及ぼうと、何の責任も取る気が無いわけですね。無責任だなぁ。そんなゴミを税金で作って問題点はなるべく伏せて「私達は電子政府を実現しました」と言われてもね。
だいたい、ブラウザで申請するのに Mac や PC-UNIX を排除してるし。サーバ証明書を特定の外国の企業に依存したくないからと、自分達で怪しげな認証局を立てる事までしておきながら、OS は Windows 限定。これって外国の特定の企業に依存した技術だけどね。矛盾を感じないのかな。MS が潰れたらどうするの? しかも、Windows もブラウザも、オープンソースではないので中身は解らない。ブラックボックスである。それにセキュリティーホールが見つかったと言ってはパッチが出て微妙に動作が変わる。古いバージョンはサポートを打ち切られる。
対応ブラウザ: [soumu.go.jp] Netscape Communicator4.7? ネットスケープは伝統的にセキュリティーホールに対してパッチは出さない。最新のに入れ替えてくれというポリシーだ。4.7系統なんか今からサポートされるのか? それを言ったらInternet Explorer 5.01 ももはやサポートは見捨てられてるけどね。まあ、頑張って新しいブラウザに対応し続けてもらいたい物だ。対応が面倒なので、セキュリティーホールがある古いバージョン使ってくれ、というのは無しにしてもらいたい。(せめて、機能は少なくていいので、セキュリティー問題に留意した国産ブラウザを申請用やキオスク端末用に開発するぐらいの事はできないのかな)
Re:だからぁ (スコア:0)
まるで考えてないというよりは、
「ほーら、電子申請なんてやったら危険じゃないですかー、だからやっぱり従来通り信頼の置ける紙+印鑑申請のほうがいいんですよ」
っていうための理由付けで
Re:だからぁ (スコア:1)
ベンダはどこ? (スコア:1, 参考になる)
設計・製造・納入したベンダにも多いに問題があると思われます。
今に2ちゃんねるあたりで暴露&攻撃されるのでは?
請け負ったのが私の所属する会社でないことを願います。
Re:ベンダはどこ? (スコア:2, 参考になる)
日本経済新聞(5月9日付)に (スコア:1)
Re:日本経済新聞(5月9日付)に (スコア:0)
これは記者が無能だからなのか、それとも、 総務省のプレス [soumu.go.jp]
Re:日本経済新聞(5月9日付)に (スコア:1)
>対処を行うことをおすすめする」と肝心な要点を突いていて
>とてもわかりやすかった。しかも速報性もすごかった。
バガボンドは、2ちゃんねるやmemoをソースにしてるからね
アプレットの脆弱性の深刻度は大したことない? (スコア:0)
「予め存在を知られたデータ」って何だろう?よくわからん。 本当に危ないのかな。。。??
Re:アプレットの脆弱性の深刻度は大したことない? (スコア:2, 参考になる)