アカウント名:
パスワード:
よくドメイン名を確認しろと言われますが、 今回言及されているような、DNS ポイズニングや hosts 改竄があったらどうなるのでしょう。
SSLを利用しているサイトを利用するときに、 * 「セキュリティ証明書の名前が無効であるか、またはサイト名と一致しません」や * 「このセキュリティ証明書は、信頼する会社から発行されていません」 といった「セキュリティの警告」が出るような場合は、偽のサイトである可能性が高いので、「続行しますか」と聞かれたら「いいえ」を選択して処理を中止しましょう。
ブラウザが証明書に書かれた名称とアクセスに用いた URL とを比較してるんですか?
ええ、そのとおりですね。
また証明書に書かれた名称が間違いないことはどのように担保されているのでしょうか?
そのドメイン名の保有者にしか、認証局が証明書を発行しないようにしています。
フィッシングサイトにすら証明書が発行されてしまう現状においてもそれは信用できるのでしょうか?
それはフィッシングサイトのドメイン名の証明書ですから。 本物サイトのドメイン名をつかってファーミング(DNSポイゾニング)しようとしても、証明書の名称と一致せずに警告が出ます。
初めて訪れたときは、そのドメイン名が意図しているところのものかどうかじっくり調べるか、あるいは、サーバ証明書の組織名部分(実在証明と呼ばれる)を見て自分の意図している組織かどうか調べます。
私の疑問は、正確な組織名を知らなかったり、フィッシングサイト側が紛らわしい組織名を名乗っていたらどうするのかということであり、やはり web 以外の何らかの方法(含電話)で正式なサイトであることを確認する必要はあるということでしょうか。
いつも使っているところへ誘われた場合は、URLを確認します。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
便乗で質問 (スコア:0)
それは何を証明してくれるのですか?
以前「本物の」サーバ証明書を持つフィッシングサイト [srad.jp]
まで出現して話題となりましたが、
そもそも「正規の証明書」であっても
接続した相手が何者であるかまでは関知しないものですよね。
相手の正体は自己責任で判断するしか無いわけですが、
どのような方法で判断すれば良いのでしょうか。
よくドメイン名を確認しろと言われますが、
今回言及されているような、DNS ポイズニングや
hosts 改竄があったらどうなるのでしょう。
またオンラインで見付けた通販サイト等、
そもそも正確な URL など知
Re:便乗で質問 (スコア:0)
Re:便乗で質問 (スコア:0)
ブラウザが証明書に書かれた名称とアクセスに用いた URL とを比較してるんですか?
アクセスに用いる URL は hosts改竄なり何なりで変更できてしまうわけです。
また証明書に書かれた名称が間違いないことはどのように担保されているのでしょうか?
フィッシングサイトにすら証明書が発行されてしまう現状においてもそれは信用できるのでしょうか?
またそのような改竄をせずとも、フィッシングサイトが
「紛らわしい URL」と「紛らわしい URL のサイトの証明書」を取得していた場合、
そこに接続してしまったら、正常に鍵マークつきで表示されると思いますが、
自分がその URL が本物か否かを知らなかった場合、
その接続先サイトが何であるかをどのように判断すれば良いのでしょうか。
結局のところ、web 以外の何か信用できる手段で正式な URL を調べない限り、
安全な ssl 接続はできないということになるのでしょうか。
総務省のような滅茶苦茶な説明も多い現状、
知識の無い者がこのような問題に関して勉強しようと思っても、
得られた情報をどこまで信用して良いのか判断に迷います。
Re:便乗で質問 (スコア:0)
ええ、そのとおりですね。
そのドメイン名の保有者にしか、認証局が証明書を発行しないようにしています。
それはフィッシングサイトのドメイン名の証明書ですから。
本物サイトのドメイン名をつかってファーミング(DNSポイゾニング)しようとしても、証明書の名称と一致せずに警告が出ます。
Re:便乗で質問 (スコア:0)
技術的に発行できない仕組みになっているならともかく、認証局のミスにより保有者以外に発行されないかという疑問は残りますが、原則としてありえないことにはなっているわけですね。
私の疑問は、正確な組織名を知らなかったり、フィッシングサイト側が紛らわしい組織名を名乗っていたらどうするのかということであり、やはり web 以外の何らかの方法(含電話)で正式なサイトであることを確認する必要はあるということでしょうか。
こういう、証明書が何を証明しているのか、それ以外に何を確認すべきか、調べようと思っても紛らわしい情報ばかり溢れていて、本当に困ります。
Re:便乗で質問 (スコア:0)
いつも使っているところへ誘われた場合は、URLを確認します。