パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Safari 3.2リリース、EV SSLに対応」記事へのコメント

  • by nezuku (25740) on 2008年11月15日 17時53分 (#1456147)
    3.2へ更新したので、EV SSLを使用しているウェブサイトを表示して確認してみました。(Windows版)

    先行する実装例で用いられている、アドレスバーへ有効状態やサイト運営者名を
    描画する動作と比べると、有効になっている状態が気付きにくいです。
    ユーザに喚起させるための機能なのに、なぜ目立ちにくい色付けと場所に描画しているのか疑問ではあります。

    先行する実装例を真似れば、利用者にはブラウザ関係なしに判別方法を教えやすくなるのではと思うのですが…
    • Re: (スコア:0, 興味深い)

      by Anonymous Coward
      > ユーザに喚起させるための機能なのに、なぜ目立ちにくい色付けと場所に描画しているのか

      本末転倒とは、まさにこのことですね。

      Appleは長い間、Safariのフィッシング対策やEV-SSL対応を見送り、利用者の
      安全を軽視した「ユーザー無視」の態度を貫いてきたわけですが、またかと
      いう感じですね。Appleにとってはユーザーの安全などどうでもよい事という
      証でしょう。見た目の格好良さの方が大事なようです。まさにスイーツ(笑)
      • by Anonymous Coward
        いや、Appleはユーザを重視しているでしょう。

        見た目の格好良さの方が大事なようです。まさにスイーツ(笑)
        なのはユーザの方。
      • by Anonymous Coward
        EV-SSLを自慢したり目立たせる方がおかしい訳で、透過的に
        意識せずに利用出来るようになってこそ、意味があるものです。
        本当にSSLが危ないなら、httpsで、SSLを辞めてしまえば良い訳
        ですが、実際にはほとんどEV-SSLは使われておらず、9割以上は
        今もSSLです。理由を考えれば分かることですが、EV-SSLは実際
        の利用についての思慮に欠けているので、採用出来ないところが
        多いので普及していませんし、使っていなければユーザの安全を
        軽視しているという考え方は明らかにおかしいですね。
        • by Anonymous Coward on 2008年11月16日 0時19分 (#1456307)

          透過的に意識せずに利用出来るようになってこそ、意味があるものです。

          そんなことは不可能ですよ。緑色で運営者名が表示されているのを、ユーザが目で確認する以外、安全に使える方法は存在しません。

          親コメント
          • by Anonymous Coward
            まあ、ほぼ確実にapple流の抗議でしょうね。
            あなたみたいに、ユーザの学習効果の先を読まない開発者達に対する。

            UIとして、一時期さかんに喧伝された鍵マークの二の舞なのは確実ですから。
            • by Anonymous Coward on 2008年11月16日 2時31分 (#1456335)
              今一度、EV SSLについて勉強し直すことをおすすめします。

              鍵マークの二の舞

              を防ぎ、既存のSSLの証明書の弱点を補うために導入されたのがEV SSL。
              今までも認証がない、あるいは簡易的な認証の証明書(Webで簡単に購入でき、鍵が偽物ではないと言う点程度を保証する証明書)と、そうでない厳格に認証した証明書(法人の実体確認等を厳格に行ったもの)は一応区別があったようですが、その証明書自体を表示させて知識のあるユーザが確認するなどのとても簡単とは言えない方法でしかユーザが確認する方法がないものだった。なので、鍵マークが出ていることを確認するだけでは、通信している相手まできちっと確認ができず詐欺等を防ぐ決め手にはならなかったわけです。

              それを是正し、認証された証明書を区別するようにしたのがEV SSLというわけ。ただ証明書だけが区別されてもしかたがないわけで、その区別された証明書である場合、各ブラウザは表示を変え、確実に認証された情報が証明書から引き出せるようにして、わかりやすくユーザによるサイト認証(確認)ができるようにしてあります。

              その点で、EV SSL対応というのは、機能的に対応するだけでなく、簡単に区別がつくようにしておくことが重要で、できる限りわかりやすく表示することが重視されています。
              だから、対応したと言っても、注意深く確認しなければわからないようではあまり意味がないという論が出てくるのは当然で、その点は当然appleも押さえているでしょうから、

              確実にapple流の抗議

              なんてことはまずあり得ないと思いますよ。ただ、安全性とユーザの利便性、ブランドイメージ、デザイン性を崩さないこと等を天秤にかけ、ユーザの層の違いなども考慮して、appleのポリシーに従った優先順位の結果による決定なのでしょう。
              そういう選択をする自由はappleにはありますが、同じくらい「わかりにくい」「対応が十分ではない」などとして、決済サービスなどがSafariによるアクセスを非対応にする自由はあるとおもいます。
              さて、この対応を実際にEV SSLでフィッシング詐欺を防ごうとしている企業やサービスは、どう評価するでしょうか?
              親コメント
              • by Anonymous Coward

                この対応を実際にEV SSLでフィッシング詐欺を防ごうとしている企業やサービスは、どう評価するでしょうか?
                少なくとも日本の企業の大半は EV SSL どころか SSL も分かっちゃいないから、どうこうされることもないでしょう。
              • by Anonymous Coward
                いい加減なことを憶測を元に書かないでいただきたいですね。EV SSLが
                あってもフィッシュング対策に必ずしもなる訳ではない(架空会社が使え
                る抜け道がある以上)し、倒産した会社に対して発行していたEV SSLの
                証明書がすぐに無効になるようなこともないので被害は防げません。

                EV SSLの問題点は上げればきりがありません。普及していない理由、
                事実を考えても、採用サイトが劇的に増えるとは思えないですし。
                EV SSL採用=ユーザが安全という図式は短絡すぎて返って危険な事態
                を招くことになってしまうでしょう。
              • by Anonymous Coward
                なんていうか、言っている事が鍵マークの二の舞そのものですな。
              • by Anonymous Coward
                そうかな。
                すでに振り込め詐欺で金融機関は相当対応を迫られてますし、その延長線上で何か対応をとられる可能性はあると思いますよ。
                それこそ日本企業の場合、どこか一社がそういった対応をとれば一斉に横並びになるでしょうし。クレジットカード会社などは国際的なフィッシング詐欺に悩まされているでしょうから、かなり神経質になっているはずです。
                当然PayPalなども必死でしょうし。
              • by Anonymous Coward

                EV SSLがあってもフィッシュング対策に必ずしもなる訳ではない(架空会社が使える抜け道がある以上)し、倒産した会社に対して発行していたEV SSLの証明書がすぐに無効になるようなこともないので被害は防げません。

                倒産した会社や架空会社用の証明書では、会社名が異なりますから、ユーザが緑色の会社名を確認して入力している限り、フィッシングは防止されます。

                そのための会社名表示なわけで、確認しにくい場所の Safari の表示方法は見識を疑われます。

              • by Anonymous Coward on 2008年11月16日 19時48分 (#1456557)
                #1456335 [srad.jp]を書いたACですが、
                フィッシング対策に必ずしもなるわけではないことは同意しますし、これがあれば完全にフィッシング詐欺が防げると書いたつもりもありません。証明書は証明するためのものあるわけで、詐欺や悪徳サイトではないことの保証書ではないわけですから当然です。
                ただ、

                EV-SSLを自慢したり目立たせる方がおかしい訳で、透過的に意識せずに利用出来るようになってこそ、意味があるものです。( #1456296 [srad.jp] )

                まあ、ほぼ確実にapple流の抗議でしょうね。
                あなたみたいに、ユーザの学習効果の先を読まない開発者達に対する。
                UIとして、一時期さかんに喧伝された鍵マークの二の舞なのは確実ですから。
                ( #1456317 [srad.jp] )

                のように、明らかにEV SSLについて誤認した発言があったためそれを指摘したまでです。
                それを誤読し、

                EV SSL採用=ユーザが安全という図式

                などと、それこそ憶測を元に勝手に発言をねつ造し、批判口調で書かれても、困ってしまいます

                また、弱点を数点あげていらっしゃいますが、それについては別のACの方がかかれているので具体的には書きませんが(EV SSLだろうが証明書は証明書でしかありませんよ)一つでも弱点があれば、その技術は無駄だ、と言うならば、世に出ている技術のほとんどは無意味ですよ。そして、完全でなくとも詐欺を防げれば、それは有効な技術と言えるのは多くの人は同意してくれると思います。
                さらに言えば、当然ながら「すでに弱点があるのだから、この先いくつも弱点が増えても同じ」という考えは明確に間違いであると言えます。ですから、最大限の効果を上げていこうという風に各社協調して行っている中、Safariはあまり目立たないインターフェイスを採用している点を問題にする意見があるわけです。

                それからもう一点。普及していない点を問題にあげていらっしゃいますが、それこそ憶測を元に言わないでいただきたいです。
                すでに国内最大手の銀行であるゆうちょ銀行を始め、金融機関向けのネットバンキングサービスを手がけているNTTデータ(ここは各金融機関が導入した訳ではないようですが)や、独自のオンラインバンキングを持っている銀行の多くでも採用が進んでいますし、当然ネット専業銀行3行(JNB,eBank,ソニー銀行)等も導入済みです。また巨大な決済代行業であるPayPalも導入済みですね。
                そういった一番詐欺に遭ったときにすぐに致命的な問題になる部分ではすでにかなりの割合で普及が進んでいます。そのほかにも、mixiやbiglobe等でも導入が進んでいますから、とりあえず必要なところでは順調に普及が進んでいるとみていいでしょう。
                ただし、これは主観も入ってきますから、こういった事実を持ってしても「普及が進んでいない」とおっしゃるならそれでもかまいませんが、一番重要なことは、EV SSL証明書は現在の時点で少なくとも、普通のSSL証明書を置き換えるものではないという点です。その点で普及を割合ではかってもとりあえず意味がないということでしょうね。

                #元コメが一切具体的な話を出していないのはわかっていて、釣られて書いていますのであしからず
                #こんな根拠のない話で不要論が普及してはたまらんので
                親コメント
              • by Anonymous Coward
                詳しく具体的にどうぞ

                #アップルが鍵マークの二の舞をユーザに強いているってんなら分かるが
              • by Anonymous Coward
                企業側の都合はどうでもよく、学習の結果を見た目に置いた時点で歴史は繰り返されるでしょうね。
                普及(=学習完了)した際には、ブラウザ画面上の入力画面を同じような色とデザインにするだけで、
                非常に有効なフィッシングサイトになるでしょう。

                「緑色だったから安心だとおもってましたぁ」

                こんな安易な解決を許しちゃいかんよ、ほんとは。
                どうやって「普通の人」を自分で防衛できるように学習させるかなんだがな。
              • by nim (10479) on 2008年11月17日 10時56分 (#1456774)
                そんな怪しい会社に EV SSL 証明書出しちゃだめでしょ。
                単純化していうと、SSL は、「真正な相手と通信している」ことを証明するものなので、
                「その相手が信用できる」かどうかとは無関係です。

                ただ、それじゃ、証明書のcnまで十分覚えているようなよく知ったあいて以外とは意味が無くて、
                専門家にしか使い道がないので、一般の人がネットバンキングや買い物などを安心してできるように、
                「ある程度信用できるはずの、有名な」会社かどうかまでCAで判断して、その名前をわかりやすく
                表示させるところまでが EV SSL です。

                だから、CA は架空会社なんかに EV SSL 証明書を出しちゃだめですし、倒産したら速やかに CRL に
                のせて向こうかしなくてはなりません。

                また、上記の性質から当然に、EV SSL証明書を使えるのは一般人が信用できるかどうか判断できる
                程度には知名度のある会社であるべきですから、「採用サイトが劇的に増える」というのはむしろ
                ありえません。
                「○○銀行」のEV SSLであれば銀行免許のあるところ以外がとれるのはまずいですし、「××大学」
                でとれるのは、本当の大学以外ではラーメン大学くらいでしょう。
                親コメント
              • by Anonymous Coward

                「○○銀行」のEV SSLであれば銀行免許のあるところ以外がとれるのはまずいですし、

                日本では「○○銀行」のEV SSLをなぜかNTTデータが取得 [takagi-hiromitsu.jp]してますけどね。高木先生ですら

                「まあ、それでもいいかと思うようになった」「NTTデータは著名な会社であるし」

                とか書くというのは、日本で正しくEV SSLが運用されるのは絶望的であるというあきらめから来るものでしょう。どう考えてもナァナァになる要素しか見当たりません。

              • by Anonymous Coward
                そうですね。愚民共はどうせ犯罪に巻き込まれるのだから、対策なんでしても無駄ですね。こんなことするくらいなら、いい加減な知識で妄想たっぷりの、何の確証もない誇大妄想な意見をたくさん出してあることないこと触れ回って足を引っ張る方がよっぽど重要な活動ですね。

                #一生やってろよ
    • by Anonymous Coward
      今まででも気づきにくい鍵マークの左に社名が表示されてるから、気づきやすくなったが。
      • by Anonymous Coward
        今までに社名の表示なんてありました?
        ないですね。
  • EV SSL 地味 (スコア:2, 興味深い)

    by kgw (29702) on 2008年11月15日 17時38分 (#1456140)
    FirefoxやIEのド緑に比べると地味なUIで意識にのぼりにくいですね。
    Appleらしい見た目と言えばそのとおりなんですが、意識にのぼらないというのは良くないような気がします。
    • Re:EV SSL 地味 (スコア:1, 参考になる)

      by Anonymous Coward on 2008年11月15日 21時08分 (#1456242)
      高木"Googleストリートビュー"浩光先生が、緑で表示されるとはてブに書いておられる [hatena.ne.jp]のですが、Mac版だと緑になるんですかね。Windows版では確かに目立たないことこの上ないです。
      親コメント
      • by wedge (14149) on 2008年11月15日 22時00分 (#1456255) 日記
        字の色みーどーりー♪
        親コメント
        • by Anonymous Coward
          なるほど。ノートPCを寝っ転がって使っているのですが、液晶であんな上の方に表示されてると角度の関係で黒とほとんど見分けが付きませんでした。
          どっちにしてもほとんど目立たないですね。
  • by Anonymous Coward on 2008年11月15日 21時57分 (#1456253)
    FirefoxやOperaでは非対応なEV SSLがあるそうですが、
    これはサイト運営の問題ですか?ブラウザの問題ですか?ベリサインの問題ですか?
    http://takagi-hiromitsu.jp/diary/20080627.html#p02 [takagi-hiromitsu.jp]
    • by Anonymous Coward on 2008年11月15日 22時42分 (#1456266)
      従来のSSL ルート証明書をEV SSL対応証明書に置き換えたので、対応しているルート証明書をEV SSL用として認識するブラウザは対応、それ以前のブラウザはEV SSLではない証明書として認識しているだけなんでしょうね。
      ルート証明書なんて更新されていくものですから古いルート証明書しか持たない古い携帯なんて、EV SSL用に新しく用意したルート証明書が使えないのは当然。
      正式対応前のFirefox用EV SSL拡張もベリサインのものしかEV SSLとして認識しませんでした。ブラウザ側のルート証明書がEV SSL用に対応すればそのうち緑色になるんじゃないですか?

      それにしてもまぁ、何故携帯用とPC用を分けるのが先進的なんでしょうね。古い頭だと最新に思えるんでしょうか。仕方ないです。
      親コメント
      • by Anonymous Coward
        Windows版のSafariではスルガ銀行のインターネットバンキングでもちゃんと運営者名が表示されますね。
        運営者名をクリックしたらOSの証明書マネージャが表示されたので、Safariの場合証明書の管理に関してはOSに丸投げしているみたいです。
        # Operaだと「unsupported device」と表示されるだけだったのでAC
  • そもそもEV SSLが必要になった理由は、現在OSの証明書ストアやブラウザに
    標準的に入っているCAの一部が厳格な審査を行わずに証明書を発行しまくった結果なわけですが、
    EV SSL証明書についてもそのようなナァナァな状態にならないという保証はできるのでしょうか?

    そのうちCA/ブラウザフォーラムの基準があやふやになったり営業的にはもっとサクサク
    発行した方が儲かるよなってことで怪しげなEV SSL証明書が出回るようになって・・・
    以下無限ループということにはならない?

    そもそもEV SSL証明書によってCAの峻別をするよりも怪しげな証明書と中間証明機関の
    証明書をリボークすればいいんじゃ無いのか?とも思うのですが、各クライアントが
    CRLを定期的に確認してくれるかどうかなんてわからないしなぁ。
    --
    屍体メモ [windy.cx]
    • > EV SSL証明書についてもそのようなナァナァな状態にならないという保証はできるのでしょうか?
      なるだろうな、と思います。そしてEEV SSL、E3V SSL、E4V SSLと続いていく...
      その前にEEV SSLになったときに表示はどうするんでしょうね。今のSafariが目立たない表示なのはそのときのため?...な訳ないか。

      --
      Best regards, でぃーすけ
      親コメント
      • by Anonymous Coward
        なりません。
        以前のものがナアナアになったのは、
        何の標準規格もなかったからです。
        EV SSLという規格ができたのですから、
        破ればクビになるだけです。

        そういうことって普通、直感的にわかりませんか?
        • by Anonymous Coward
          直感というのは知識があって初めて働くもんだから、無知な人間にそれを求めても無駄
  • Intel Mac 10.5.5 環境で flash 再生を中断すると手元では再現性ありでハングします。とりあえず相方には firefox 使えにはしましたけど、Apple はだいたいいつもパッチのチェックは甘い。
  • by Anonymous Coward on 2008年11月15日 17時51分 (#1456145)
    また変な棒グラフを使って比較してる。
    • by Anonymous Coward
      比較対象がFirefox2って...
      3だと棒グラフが見えないほどになるのか?
  • by Anonymous Coward on 2008年11月17日 11時28分 (#1456787)
    Safari Stand、Acid Search等のアドオンを利用している人は要注意です。
    アドオンをインストールしたままでアップデートすると、Safariがクラッシュしまくって使い物にならなくなってしまいます。
    同じページにアクセスしてもクラッシュしたりしなかったり、起動時にクラッシュすることがあったり、何がトリガになるのかはよく分かりませんでした。
    私の環境ではアドオンをすべてアンインストールするまで、問題が起こり続けました。

    たまたまFirefoxもインストールしてあったのでネットで調べてアドオンをアンインストールすると直るらしいと分かりましたが、Safariしかなかったら調べ物もできないところでした。危なかったです・・・。
    • by Anonymous Coward
      Safariにアドオンの仕組みはありません。その類いは基本的に使ってはいけ
      ないInputManagersを強引に利用して自ら問題を招いているんでしょう。
      • by Anonymous Coward
        #元ACです

        仕組みがなくっても、現実にいろんなアドオン(プラグインといった方がいいのかな?)が山ほど作られて配布されてますよ。
        「基本的に使ってはいけないInputManagers」ってなんでしょうか。使っていいものといけないものがある? すべからく駄目なんだったら、なんで簡単に追加できるような仕組みになってるんでしょう?
        使ってはいけないものだったら始めから使えないようにして欲しいですね。デフォルトだとInputMangersフォルダは空ですし。

        ひょっとしたら誤解されてるかもしれませんが、別にAppleに文句をつけてるわけではないですよ。そんなことは一

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...