「SSL」タグアーカイブ

2006-02

14

23:45:00

“本物”のSSL証明書を持つフィッシング・サイト？

時事ネタSSL, https, サイト, フィッシング, メール, 偽, 持つ, 本物, 証明, 証明書, 踏み込んROCA

確認された偽サイトは，「Mountain America Federal Credit Union」をかたるもの。実際のサイトのURLは「https://www.mtnamerica.org」だが，偽サイトのURLは「https://www.mountain-america.net」だった。間違える可能性は高い。

別に「本物」では無い訳で。以前からもこれぐらいはあるのではないのかな？
とは言え、これはSSLとかではなく、DNSつまりドメイン名の利用形態としての一種の限界ですよね。

併せて，銀行やクレジット会社などでは，クリッカブルなリンクを記述したメールは送らないようにすべきとしている。正規の企業がそのようなメールを送ることは，フィッシング詐欺に遭う“土壌”を作ることになるからだ。

というのも、一部伺えます。
例えば属性証明書のように、国や公的証明機関などに「このサイトは一般的には○○として知られるブランドのサイトです」などと内容に踏み込んで証明させる、などの仕組みが今後必要になるかもしれない。
上記サイトに証明書を発行していたのがどこかは知りませんが、通常VerisignなどのCAは建前上サイトの存在証明しかしませんからね。より一歩踏み込んだ証明が必要とされているといったところでしょうか。
ブランディング属性証明とでも呼べばいいのかな。
と思うんだけど、どんなもんだろう。

2005-04

24

00:00:00

Opera 8の証明書検証に脆弱性？

時事ネタCOMODO, Opera, Organization, SSL, ブラウザ, 情報, 未修正, 検証, 正式版, 証明書, 項目ROCA

Opera 8の正式発表とともに流れていたニュースですが、

窓の杜【NEWS】:
Opera Software ASA、音声操作やSVG画像に対応した「Opera」v8.0 正式版を公開
SSL証明書の発行者名を偽装できる脆弱性はv8.0の正式版でも未修正
なお、SSL証明書を供給する米Geotrust社が12日明らかにしたところによると、「Opera」のベータ版にはSSL証明書の検証に関して問題があり、発行者名を偽装できる脆弱性があるという。編集部で試用したところ、同脆弱性はv8.0の正式版でも未修正であることを確認した。

はて。これは証明書検証の脆弱性問題なのかな。この報道内容には疑問があります。

Continue reading →

2005-03

01

23:57:00

OperaでようやくSSL証明書情報が参照可能に・・なるか？

時事ネタFireFox, Internet, Opera, SSL, アドレスバー, フィッシング, 参照, 情報, 改良, 証明書, 詳細情報ROCA

INTERNET Watchから

Operaが次期ブラウザのベータ2公開、フィッシング対策に大幅な改良
今回のバージョンから、URLに応じたセキュリティ情報がアドレスバーの中に表示されるようになった。正当に暗号化されたページを訪れている時にはアドレスバーの右半分に黄色いセキュリティバーが現われて証明書などの情報が表示される。これによって自分がだまされていないかどうかを容易に確認できる。

というのはIEやFirefoxなどでいうところのこれ

相当の機能ですかね。実物はまだ試していないのでよく分からないのですが。
Operaの最大の不満点は、httpsサイトを訪れている時にSSL証明書の詳細情報が参照できなかった(暗号方法やキーサイズなどの情報しかなかった)ことなのですが、フィッシング対策とは銘打っているものの、要は詳細情報を表示できるようにようやくなるみたいですね。
今まで何で対応していなかったのかが不思議です。
でもそうだとしても他のブラウザ並みになるだけなので、大幅な改良ってのはどうかと。
# 記事中でそれとなくXMLHttpRequestサポートに触れているのも”Ajax”対応を暗に示していて、流行ものに目ざといINTERNET Watchらしいですね。
追記
やっぱりそうでしたね。ほぼFirefoxと同様かな。

でもツリー形式だと一覧で見にくいし、証明書のエクスポートとかは出来ないんですね。この辺りはIEが一番出来はいいですね。

2004-11

13

10:24:00

何かSeesaaのSSL証明書が切れてる訳ですが

昨日いっぱい(GMT指定。JSTだと本日AM9時)で切れてますね。
昔自分もやっちゃったことがあるので大きな口は叩けないんですけど(苦笑)、これって内部のシステム管理体制がかなりいい加減なのを、かなりインパクト強く露呈することになるので早めに何とかしておいた方がいいかと。
そもそも格好悪いしね。。。
でも、Verisignだと申請してから一週間はかかるから、長引きそうですね。
# 因みに旅行びと日記を使ってこの状態で投稿すると「リモートサーバーと信頼関係が確立できません」エラーになると思いますので、XML-RPCエンドポイントURLには当面通常のhttpのURLを指定しておいて下さい(URLはこちらから)。
追記(11/15)
今日確認したら更新されてますね。
有効開始日が11/2になっているということは、更新手続きはしてたものの、インストール作業を忘れてたっぽいですね。

2004-08

18

00:00:00

SeesaaがXML-RPC機能を独自拡張

少し前のニュースになってしまいましたが、Seesaaがubicast Bloggerとの対応に伴って、XML-RPC機能を独自拡張したんですね。
XML-RPC機能の独自拡張自体はどこかの事業者がそのうちやるような気がしていたんですが、追加機能は意外でした。
要はubicast Bloggerと組んで、使ってもらえれば楽に新規登録できるので新規ユーザーも獲得できる、という算段なんでしょうね。
でも実はちょっとがっかりです。だって、ユーザーにも私みたいな開発者にも特にメリットはないですから。
独自拡張という点では実はAtom APIの方がよっぽど考慮されていたりする訳ですが、仕様全般としてはまだまだ実用的という気がしませんし(現状のXML-RPC機能相当の機能にも達していないようなので)、しばらくはXML-RPCベースが主流のままなのはやむを得ないでしょう。
特に開発者の立場からは、その歴史故開発環境や情報も豊富(こちらのサイトに開発環境一覧がありますが、ほとんどの言語で網羅されています)ですから実装もしやすいです。だからこそ、独自拡張とは言え、差別化という観点からは現実的な手段足りえると考えられたのでしょう。
とは言え、どうせ独自拡張するんなら、カテゴリーの新規作成とか、コメント一覧の取得とか、画像管理全般とか、今のXML-RPC機能では定義されていない、かゆいところに手が届くような大胆な拡張をして欲しかったものです。
そうしたら、むりくりにでも対応しようかという気力(興味本位?)も沸くんですけどね。
# ただ、あんまり注目されていないみたいですが、XML-RPC機能のSSL対応は非常にいいですね。XML-RPC機能の最大の欠点はセキュリティモデルだと思ってましたので。ま、辞書攻撃に弱いのはそのままですが、何も無いよりはよっぽどましです。
個人でMTとか運用しててもSSL化はなかなかできませんからね。他に対応している事業者はあるのかな？
因みに、旅行びと日記でもSSL対応してますので、Seesaaを使われる場合はSSL接続で初期設定された方がいいでしょう。
追記
トラックバックから見つけたんですが、
http://www.witha.jp/blog/archives/000115.html

何より、BlogWriteはずっと前からシーザーBlogに対応しているのに、ナンデBlogWriteの事が何も書いてにゃいんでしょう。バグつぶしに協力してあげたのに。ねぇシーザーさん？なんちゃって。

笑った。
バグ潰しなら、僕も協力してあげました(w
BlogWriteというBlogクライアント、あまり知らなかったのですが、なかなか面白そうです。
ubicast BloggerとBlogWriteってのが、今の二大勢力なのかなぁ。どっちもよく似てますよね。
よく分かってませんが。