「認証局」を含む日記 RSS

はてなキーワード: 認証局とは

2022-09-15

anond:20220915181036

SSL中間認証局勝手に立ててHTTPS通信スパイする以外のこともやってたんか

2022-01-20

オープンレター問題ってオレオレ認証局みたいなもんか

2021-01-25

なんとかしてTLSはらせようとするねぇ。セキュリティー上脆弱だねぇ。TLS認証局戦争相手に成って、急遽パージみたいな事がほんとうにおきているのに、なんとかして、セキュリティーを操縦したい管理したいという当局の考え方が危険だねぇ

2021-01-16

homebewがopenssl更新することでいろんなプログラムが動かなくらしいけどどうしてですか

https://twitter.com/search?q=openssl%20brew&f=live

小生はsslについて調べていて素人です。

ルーツ認証局公開鍵(/etc/ssl/cert.pem)を変えてしまうから

2020-09-21

サイボウズ青野社長マイナンバーカード批判に指摘する

記事はこれです https://note.com/yoshiaono/n/n4cd37820faf0

そもそもマイナンバーカード目的がよくわからない。身分証明のためなら運転免許証健康保険証でよくね?そもそも何が問題なの?

身分証明だけなら運転免許証で良いが(健康保険証は顔写真が無い)、誰でも取得出来る顔写真付き身分証明書は必要追記

マイナンバーカードICチップによる身分証明と正しいマイナンバー検証が同時に確認できるのが肝

カードに書かれたマイナンバー漏れるとまずいらしい。漏れるとまずいのに印刷するの?みんなで便利に使うための番号じゃないの?

ここは政府の雑な説明がほぼ悪いのだが、青野社長レベルで「漏れるとまずいらしい」という認識なのか…

「みんなで便利に使うための番号じゃないの?」その議論もあったがマイナンバー法で目的外利用が厳しく制限された。アメリカでのSocial Security Number濫用危険視したのだろう。

カードには、名前や住所や顔写真など個人情報プリントされている。落としたら個人情報ダダ漏れデジタル化する気ある?

それ運転免許証落としても同じですよね?

・だから付属ビニールカードケースを使って個人情報を目隠しする。仕様としておかしすぎない?誰かツッコんでくれなかったの?

・でも、そのカードケースだとQRコードが見えるので、読み込めばマイナンバー漏れる。お、おい!

これはご指摘の通りで「マイナンバー流出」に対して行政側も過敏に反応しているしバランスが取れてない、何とかしてくれデジタル庁!

費用がかかり過ぎ。もう一兆円くらい使ってない?

費用がかかってるとは思うが一兆円は盛り過ぎてない? https://jp.ub-speeda.com/ex/analysis/archive/38/ では立ち上げで2700億円

・一兆円を無駄にした住基ネットの失敗が活かされてない。学ぶ気ある?

住基ネット一兆円も盛り過ぎてない? また住基ネットの失敗って何?全国の市区町村で分かれていた個人情報フォーマットをまとめたのが失敗なの?それをサイボウズ社長が言います

日本の貴重なIT人材が、このおかしシステムの開発に大量投入されている。日本IT化の未来は暗い...

大量投入も盛ってない?日本IT化の未来は暗いって言いたいだけでは?

マイナンバーシステム管理項目が、住民記録システム住民票)や戸籍システムかぶっている。いい機会だから統合して効率化しようって話にならなかったの?それとも無駄が好きなの?

選択夫婦別姓で国を訴えている青野社長住民票は総務省戸籍法務省管轄であるのを知らないはずが無い。それぞれ目的が違うもの統合して効率化する大変さを知らない訳ではないですよね。

私は戸籍無駄だと思うので戸籍廃止頑張りましょう!

・4種類のパスワードを組み合わせて利用。それ、忘れる人が続出するよ。というか覚えられる人が珍しいと思う。

利用者証明パスワード」「券面事項入力補助用パスワード」「個人番号カードパスワード」は4桁数字で3つ同じも可能、「署名パスワード」は数字アルファベットの組み合わせで6文字から16文字までと実質2種類に出来るし窓口でもそう勧めている。

生体認証を使えない。やっぱり4種類のパスワードを覚えるしかないのかー。仕方ないかメモに書いてマイナンバーカードと一緒に持ち運ぶか...あれ?

一生変更不可能な生体情報を結びつけることには検討必要銀行生体認証の有無を選べるし、乗り換えることも出来る)。また先ほども書いたがパスワードは実質2種類でしかも複雑な署名パスワードを覚えておかなければいけないシチュが分からない。電子署名しか使わないからだ。つまり覚えるのは4桁の暗証番号1つで良い。(これはこれで問題がとも言われるが、カード実物と組み合わせなので仕方ない点も)

利便性が低い。マイナンバーカードを使って給付金を申し込むと、もらえるのが遅くなるという逆利便性。ここまでくると、日本生産性を下げるのが目的しか思えない。

これは自治体による。マイナンバーカードを使った申請で紙ベースより早く給付される自治体もあった。https://twitter.com/kumagai_chiba/status/1262640109762908168 給付金自体想定外オペレーションだったのは大きい。

・普及してない。そりゃそうなるよね。一回、落ち着いて反省した方がいいと思うよ。

・にもかかわらず、自民党さらに大量の税金をぶっこんで普及に躍起になっている。これ、やめられなくなった負け戦に似てない?後で責任取るつもりないよね。

私はマイナンバーカード必要だと思っている派だが、マイナポイント事業は正直分からない。一回落ち着いた方が良いのは同意するが日本で止められなくなった負け戦は沢山あるので不安

マイナンバーカードを持っている人は、引っ越しして転出転入手続きをするとき暗証番号必要になる。つまり、持っていない方が無難ということですね。

意味の繋がりが全く分からない

海外転出したら返納。えっ、返す必要あるの?

「遅滞なく返納」とはなっていますそもそも国外転出した時点でマイナンバーカードは失効します。

引っ越しをして住所記入欄が一杯になったら再発行。どんなデジタル

デジタル世界アナログ人間社会を紐つける物理媒体なので物理的な制限があるのは仕方ないのでは、嫌なのは同意する。例えば電子ペーパーにした場合、破損して真っ白になったらなど考えることは多い。

マイナンバー目的外で利用すると違法。ごめん、マイナンバー活用して欲しいと思ってる?

これはマイナンバー法がそうだからであって改正してくれ!

追記)それでは困るというので捻り出されたのが利用者証明電子証明書を利用したマイキーID

マイナンバーカード運転免許健康保険証を集約しようとしている。返納や再発行が必要目的外利用禁止カードに集約するだと?生活できなくなるぞ!

運転免許証健康保険だって返納や再発行が必要なのは同じ。今の法律では出来ないので法改正必要

有効期限は自分手書き。もう意味不明。

マイナンバーカード有効期限は印字されています手書きなのは電子証明書有効期限。マイナンバーカード電子証明書有効期限はまず期間が違うし、同時に発行されるとも限らない。身分証明時に確認するのは印字された有効期限。

自治体業務の負荷をかけ過ぎ。発行・再発行だけでも大きな負荷。でもって、月数百万枚しか発行できないそうよ。自治体職員を殺す気?

自治体の負荷が高いのは同意、でもこれも法改正必要

総じて青野社長マイナンバーカードへの不満には納得できるものもあるが、日本代表するIT企業社長としては理解が雑すぎる。

選択夫婦別姓裁判を戦っている割には関連法律理解イマイチだ。(弁護士仕事だろと言われるかもしれないが、青野社長には選択夫婦別姓についての発信者でもあるので正しく知って欲しいと思っている)

またマイナンバーカードと言う物理媒体への不満が主で、ICチップを利用した電子署名に全く触れていないのも不思議だ。

企業のペーパレス、DXを進めるサイボウズとしては電子署名絶対必要になるものだ。

それに必要認証局電子証明書ICチップ搭載の一式を税金で作ったマイナンバーカード民業圧迫では無いのか?と思わなくも無いが一番お手頃に導入出来るのは確かだ。

その点がサイボウズと競合分野であるので触れないのかなと思った。

追記

電子署名の話でマイナンバーカード目的外利用禁止だろ!と突っ込まれるかもしれないと思ったので書いておく。

大変紛らわしいことに利用目的が厳しく制限されているのはマイナンバーである身分証明時に免許証コピーされることがあると思うが、マイナンバーカードで断られるのは

マイナンバーカードマイナンバー記載されているからであってそれをコピーした時点で目的外利用になってしまうからだ。(あの変なスリーブが出来た理由の一つ)

まりマイナンバーカードマイナンバーが関わらない部分、つまりICチップ電子証明書を利用することは自由に出来る。

今回のマイナンバーカードを利用した給付金オンライン申請でも、マイナンバーの認められた利用目的給付金申請なんて入って無いのでマイナンバー自体は一切使われていないし使えない。

自治体に届く情報申請者が記入した世帯の氏名や振込先口座情報マイナンバーカード電子署名証明書で署名したデータであり、マイナンバーは含まれていない。

オンライン申請時間がかかる場合があったのは申請者が記入した振込先口座情報などが間違えていることが多々ありその確認作業に手間取ったからだ。

今回の想定外事務処理で突合処理を楽にするため一部の自治体では奇策を取った。

マイナンバーカードには電子署名用と利用者証明用、2種類の電子証明書が含まれておりそれぞれ固有のシリアル番号を持つ。

利用者証明用のシリアル番号はコンビニコピー機での住民票発行で使われており自治体にも身近な存在(という自治体がありますというレベルですが)だ

そこで電子署名用と利用者証明用のシリアル番号の対応表を取り寄せ、給付金申請情報に含まれ電子署名証明シリアル番号→利用者証明用のシリアル番号→住民票というルート突合したのだ。

あれ?そのシリアル番号で個人判別出来ちゃってない?と思う方が居るだろうが電子証明書シリアル番号はマイナンバーでは無いのでこんな利用をしても良いのだ。

電子証明書有効期限は5年で再発行時シリアル番号も切り替わるがマイナンバー原則一生変わらないという違いはあります

追記2

コメントブコメを思っていた以上に頂いた、ありがとうございます

結構同意してるじゃん」との指摘にそうだなと思ったのでタイトルを「サイボウズ青野社長マイナンバーカードdis反論する」から

サイボウズ青野社長マイナンバーカードdis批判一部反論指摘する」に修正した。

あと頂いたコメントでのツッコミについて

マイナンバーカードなら今までと同じ事に加えてマイナンバー検証ができる!って余計な事増えただけじゃない?

これは「マイナンバーカードでなきゃ〇〇が出来ない」って書かなきゃ反論にならない

マイナンバーカードICチップに搭載された電子証明書により利用者証明電子署名が出来る、で良いだろうか。

偽造に対抗する券面事項をICチップから読み出す機能運転免許証にもあるからなぁ。

「それ運転免許証落としても同じですよね?」

新しいもので今までと同レベルなら、別のカードが出来た分リスクが2倍になるからサービスレベル低下してるだろって話では?

これはそういう意味だったのか、完全に私が読み違えていた。ご指摘ありがとう

レベルセキュリティなら枚数が増えた分だけ落とすリスクが増えるのはその通り、で政府運転免許証マイナンバーカードとの一体化を検討しているのでこれが進めば枚数は減る。

より高セキュリティに…となるとこれが結構難しい。

名前や住所や顔写真など個人情報プリントされている」のを防ぐには電子ペーパー等のデバイス生体認証等の組み合わせが考えられるが

所記入欄のところでも指摘したが、壊れたときに何も表示出来ないというデメリットが大きすぎる。

スマホアプリとして入れる?それでは日本政府コントロール出来なくなってしまう…

カード有効期限と電子証明書有効期限がバラバラな仕組みそのものが腐ってるって話では?

この辺、なんか切り分けるメリットとかあんのかな?

これは後出しだがマイナンバーカード有効期限を5年にして電子証明書と期限を揃えるべきだった。

現在マイナンバーカード有効期限は10年だが、日本で一番使われているであろう運転免許証有効期限が最長5年なので許されるだろう。

10年という期間は住民基本台帳カードに引っ張られたのではないか

電子証明書有効期限を10年に延ばすというのは電子証明書危惧危殆化の観点から許されないだろう。

https://www.cao.go.jp/bangouseido/mailmagazine/backnumber/2020/20200221_01.html

また現在マイナンバーカードでは申請時に電子証明書無しで後から追加が可能になっており、これが給付金申請ときトラブルにもなったのだが、

これもまた住民基本台帳カードに悪い意味で引っ張られてしまったのではないか。(住民基本台帳カードサービス開始時は電子証明書を入れるサービスが無く、約半年遅れのスタートになっている)

https://internet.watch.impress.co.jp/cda/news/2004/01/23/1851.html

から先に法整備してからマイナンバーカードやれって話では?

制度設計的にここまでマイナンバーカードを急速に普及させる気が無かった感がある。

それが給付金申請政府デジタル化といったもので急速に注目が集まり負荷も高まってしまった。

想定時より状況が大きく変わった以上先に法整備しろというのは無理がある。

早急な法改正をすべきであるしそれについては他の項目でも指摘している。

ブコメであったが「青野社長に厳しすぎないか?」という意見だが

サイボウズ社長ならマイナンバーカード電子署名などにも言及してくれると思ったのでそこは残念だったと感じたのでこの文章を書いた。

また「マイナンバーシステム管理項目が、住民記録システム住民票)や戸籍システムかぶっている。いい機会だから統合して効率化しようって話にならなかったの?それとも無駄が好きなの?」

という大雑把すぎる発言に驚いてその批判意味もある。

「青野氏らは戸籍法に着目。同法規定では日本人が外国人結婚した場合、同姓か別姓かを選べることになっているのに、日本人同士の結婚で選べないのは不平等だと訴えた。」

https://www.nikkei.com/article/DGXMZO56062670W0A220C2CR8000/

戸籍法に焦点を合わせて戦っている方が「いい機会だから統合して効率化しよう」というのはいくらなんでも乱暴すぎるだろう。

追記3

リーダ配らないのマジで謎.何のためのカードなのか

最近スマホNFC対応のiPhone8以降、Android機種等)では読み取り可能で、給付金オンライン申請でも既に使用されています

今までのPCカードリーダーとの組み合わせから手間が大幅に削減されました。

お手持ちのマイナンバーカードがの真正性検証してみたい方は「IDリーダー」というアプリ確認出来るので気になる方は試してみてはいかがでしょう。

https://play.google.com/store/apps/details?id=jp.co.osstech.jeidreader

https://apps.apple.com/jp/app/id%E3%83%AA%E3%83%BC%E3%83%80%E3%83%BC/id1480652022

2020-04-23

やっぱり日本郵便クリックポストサイト認証局おかしくて、

TAIWAN-CA」と「GlobalSign nv-sa」が何のタイミングか分からないが切り替わってる感じがする。

問い合わせたら、推奨環境使用しろとの一点張りで、

ちな推奨OSWindows8/10 になっていて、

当方 OSWindows7アクセス

認証局の種類って OS って関係あるの?(なんか言ってることがトンチンカンだが)って思うし、

TAIWAN-CA」と「GlobalSign nv-sa」が何かのタイミングで入れ替わってる挙動が怪しいんだけど、

これってなんなの?

詳しい人いないですか?

TAIWAN-CA」の時だと、それぞれのブラウザ

Chromeアクセスしたら下記エラーが出てブロックされる

この接続ではプライバシー保護されません

clickpost.jp では、悪意のあるユーザーによって、パスワードメッセージクレジット カードなどの情報が盗まれ可能性があります。詳細

NET::ERR_CERT_COMMON_NAME_INVALID

clickpost.jp では通常、暗号化して情報保護しています。今回、Google Chrome から clickpost.jp への接続試行時に、このウェブサイトからいつもとは異なる誤った認証情報が返されました。悪意のあるユーザーが clickpost.jp になりすまそうとしているかWi-Fi ログイン画面で接続が中断された可能性がありますデータのやり取りが行われる前に Google Chrome によって接続が停止されたため、情報は引き続き保護されています

clickpost.jp では HSTS が使用されているため、現在アクセスできません。通常、ネットワーク エラーネットワークへの攻撃一時的ものです。しばらくするとページにアクセスできるようになります

Firefoxからだと

接続中止: 潜在的セキュリティ問題

Firefoxセキュリティ上の潜在的な脅威を検知したため、clickpost.jp への接続を中止しました。このウェブサイトには安全接続必要なためです。

どうすればいいですか?

clickpost.jpHTTP Strict Transport Security (HSTS) と呼ばれるセキュリティポリシーが設定されおり、Firefox安全接続しか通信できません。そのため、このサイト例外に追加することはできません。

この問題ウェブサイトに原因があり、あなたにできることはありません。ウェブサイト管理者問題を報告するのもよいでしょう。

ウェブサイト証明書同一性証明します。clickpost.jp無効証明書使用しているため、Firefox はこのサイトを信頼しません。この証明書は次のドメイン名にの有効です: spay.com.tw, mp.spay.com.tw, mypay.tw, gw.mypay.tw, 39buy.co, biz.spay.com.tw, corp.spay.com.tw, qrcode.39buy.com.tw, query.onecardpass.com, zeapi.mypay.tw, zepay.mypay.tw, no.onecardpass.com, mgt.onecardpass.com

エラーコード: SSL_ERROR_BAD_CERT_DOMAIN

証明書確認

自分だけ???

追記

ちなみに推奨環境スマホからでもエラーが出たのでやっぱ向こうがおかしかったんでしょ!ぷんぷん!

4/23 付けでエラー出てたという、アナウンスクリックポストサイトでもされてました。

2019-05-31

https://anond.hatelabo.jpSSLアマゾン認証局によるもの

証明書を見ると

Amazon Root CA 1

の下に

Amazon

があり、その下に

anond.hatelabo.jp

となっていることに今気づいた。

Amazon 傘下だったのか・・・

2014-08-16

出会い系を2週間やってわかったこと

セフレが欲しい!」 とおもって出会い系サイトを5つ、合計で17000円くらい課金して、アポをとりつけて会ってみたらデブスがでてきて、何もしないのに2万円+ホテル代とられるという体験をしたので、レポートをここにまとめる。

自分スペック

動機

金は無いけどエッチはしたい。そうだ、セフレを作ればいいじゃん。でもそんな艶っぽい出会いなんて無い。ナンパとかコミュ症だから無理。

そうだ 出会い系 やろう。

登録してみた出会い系サイト

登録

心理的障壁が2つあります

出会い系を利用しようとおもった時点で、電話番号認証は諦めてしましょう。電話番号を登録して、ボタンを押すと電話番号の認証局電話をかけて認証する仕組みになっているものが多いです。ラブコレは不要だった。

年齢認証運転免許証など写真を送るか、クレジットカードで少額決済をするかで年齢認証を行います。年齢認証をしないと掲示板メールを見ることができないなど機能制限があります最初から課金するつもりだったのでここはクレジットカードで年齢認証を行いました。

出会い系で何をしたか

出会い系サイトにはおおまかにわけで「掲示板」「プロフィール」「メール」という3つの機能がありますおっさん掲示板に「出会い募集!」とかって書いても全く見向きもされないので、セフレの欲しいおっさんは「掲示板」を検索してまわったり、「プロフィール」を検索してまわったりします。

僕は最初掲示板検索してまわりました。ほとんどのサイトが「アダルト掲示板」と「ピュア掲示板」に分かれていますセフレが欲しいおっさんは当然アダルト掲示板ですね!

アダルト掲示板を見ていると、欲求不満女性がたくさんいますね! 刺激的な文言が飛び交ってます! この掲示板ポストされている内容を見ると、課金して手に入れたポイントを消費します。ちなみに、プロフィールをみても消費します(ハッピーメールは消費しない)。メールを出しても消費します。写真をみても消費します。つまり出会いのためのアクションをするとバリバリポイント消費するんですね。いのちだいじに。

最初はこの掲示板をみて、好みの女の子を探していたんですが、2〜3日みてたらあることに気付きました。

「あれ? おんなじ奴らが、おんなじ内容を毎日ポストしてね?」

しか複数サイトをみてると、さらに気付きました。

「あれ? おんなじ内容を複数サイトに投下してね?」

あー、こういうの業者ですね。メールすると「わたし、こういうサイト初めてで……最初怖いので、安心のために2万円ください。この2万円は次回以降のホテル代に云々」という定型文が返ってきます。(ここ重要です。あとでテストにでます。)

掲示板ダメだと見切りをつけて、プロフ検索に移行しました。

プロフを読んで、お目当ての女性を探します。写真はあったり、なかったり……。でも、人は見た目じゃないです! まだ出会えてもないのに選り好みとかいけません!

よさ気な子を見つけて、メールします。そして返事をもらったり、もらわなかったり。

まり、軽くまとめると、掲示板プロフィール検索で好みの子を見つけて、メールを出す。 これを繰り返しました。

サイト毎のレビュー

ラブコレクション
Jメール
PCMAX
ハッピーメール
クワクメール
YYC

実際会ってみた

思い出してください。たいていの場合安心のために」とか言って、2万を請求されると言いました。安心のためなら会社名刺2枚もらったほうが全然安心だと思うんだけどな……。とは言え、若い女の子と2万で本番と割り切ると、ソープと比べたら格安ですね。(罠

そうおもって、何人かとアポをとってみました。

最初はワクワクメールで知り合った女の子(写真なし)とアポをとったのですが、写真無しです。地雷怖い。。。そう思いながらいろいろ探していると、YYC写真ありの美少女がいるじゃないですか。その人とアポ摂って乗り換え。ただし、その娘はホテル代別3万と言っています写真ありで1.5〜2で収めたい……。そう思って探していると、YYCで突然メールを受信。みてみると、Hカップとかって書いてあるじゃないですか。写真みても、これなら全然あり! そう思って、最終的にHさんとアポ。待ち合わせの場所にいったのでした……。

*まものがあらわれた

なんということでしょう! うすうすそんな気はしていましたら、なんか写真全然違うモンスターが現れたのです。会う直前にこっちの詳細な服装を靴の色まで教えていたので、完全に回りこまれています。まぁ、いいや。風俗出会った魔物(なぞの40がらみのBBA)よりマシです。でっかいおっぱいもんで「高い授業料だったぜ……ふっ」くらいで勘弁しておいてやろうと思いました。そのときは。

口数も少なく、ホテルに入ります。こっちが支払いを済ませて、ホテルの部屋にはいると「忘れるから先に約束の2万ちょうだい」と言われます。まぁ、言われるがままに2万を差しします。

すると魔物さん

今日はやばくない人かどうか見るだけだからエッチは次にあったときね!」

とか言いやがりました。

エッチは次あったとき????? なにを言っているんだお前は、貴様につぎなどねーだろタコが。いや、魔物が。もう、この時点でやる気はなくしました。ごねて2万取り戻そうかと思う気力も無いです。なんかあって、怖いお兄さんとか出てきたら怖いし。もう、なんというか、お前は何を言ってんだという言葉が頭を回り続けます

「なんか質問は?」とか「次の約束は?」とかよくわからない外国かどこかの言葉魔物が話しかけてくるのですが、何言ってるのかわかりません。魔物語ですしね。

結局、魔物は2万+ホテル代を俺に出させて、ホテルの部屋でタバコ一本吸っただけで出て行きました。

いや、なんか、あの状況になると、人間、なにも、できないんですね。いや、まじで……。

気を紛らわすために、その場でデリヘル呼んで、「今起こったことをありのままに話すぜ」とデリヘル嬢に話して、キャッキャウフフしてホテルを出ました。デリヘル嬢に払った金額19000円。最初からデリヘル呼べばよかった……。

結論

高い授業料を払ったけど、長い人生、何事も経験だよね。だよね。だよね。'`,、('∀`) '`,、

るるもちゃんかわいいです。

2014-06-13

UFJ推奨のセキュリティソフトが信頼できないんだけどこれどうすれば

MUFJのオンラインバンキングを申し込んでみたのだがそこでセキュリティソフトを推奨された。

 こいつだ。http://www.trusteer.com/ja/products/trusteer-rapport-for-online-banking-ja

残難ながらこれのダウンロードリンクhttpsでは提供されていない。賢明な諸兄はご存知の通りhttps提供されていないソフトは信頼しないことが大原則だ。

ファイルhttps提供されない場合https提供されているMD5情報などを元にファイル正当性を確認する必要がある。

何と言っても、オンラインバンキング専用セキュリティソフトだ。最大限の注意を払う必要がある。

問題がある場合は私の全財産がどこかに送られてしまう。

さて、困惑した私は会社サポートチャットに問い合わせをすることにした。

"https提供されていないソフトウェアをどうやって信頼すればいいのでしょうか?"というのが、はじめの質問である

以下がそのログ抜粋担当者フルネームが表示されていた箇所を「サポート」と伏せている)

サポート: https提供されていないソフトは、インストールの際にソフトウェアデジタル署名をご確認ください。

増田: 私はOSXを使っていますが、

増田: Trusteerエンドポイント保護アンインストール.appを実行する場合インターネットからダウンロードしたソフトですが信頼しますか?というようなことが表示されますよ。

サポート: はいアップルストアから提供品ではないためそのようなメッセージが表示されることもございます

増田: また、OS Xでは署名apple認証したデベロッパーが開発したソフトウェアであることをを証明してもデフォルトでは提供元を表示する機能は無かった様に記憶してます

増田: 実は提供元を保証する様に機能があるのでしょうか?

サポート: ルート証明が正しければ正しい提供元としてTrusteerが表示されますので、ご確認いただけますでしょうか。

増田: えーと、それはどのようにすればいいのでしょうか?

サポート: 申し訳ございませんが、この内容はRapportのサポート範囲外となりますので、お答えできかねますインターネット等でお調べいただけますでしょうか。

サポート: 正規のソフトウェアである事をご確認いただくための情報としては、組織に「Trusteer LTD」が表示されていることとなります

増田: ではもう一点

増田: https接続先が偽物というのはどのような場合でしょうか? 考えられるのは 1.接続先の秘密鍵漏れている場合 2.接続もと(ブラウザなど)が信頼できない認証局を信頼している 3.サイトがハックされている などのケースが考えられますがどのようなケースを想定していますか?

サポート: サイト自体ハッキングもしくは、ファーミングされたケースを想定しております

サポート: ファーミングされた場合偽者SSL証明書を利用することでhttps接続となりますが、接続先は偽者、となります

増田: 私がrapport.pkgをinstallしようとする際にはpasswordを求められるまでの間にアプリケーション提供元や署名の表示などは行われませんでしたが、これは問題ないとお考えですか?

増田: おそらくwindowsだと提供もと証明などがでてくるのでしょうけど。

サポート: 署名の表示は、お客様操作によって表示されるものですので、Mac仕様となります

増田: なるほど、比較的容易な攻撃方法であるDNSポイゾニングなどで間違った接続先に接続した場合OSXユーザー能動的に確認する以外に自衛手段はないということでよろしいでしょうか?

サポート: はい。Rapportを導入していない状況ですので、お客様ご自身の自衛手段となります

増田: 今後httpsでの提供する計画はありますか?

サポート: 予定につきましてはお応え出来かねますが、ご要望として担当部署に伝えることは可能でございます

増田: OSXユーザーがRapportインストーする際にそのような自衛手段を案内することはRapportのサポート範囲外ですか?

サポート: 申し訳ございませんが、そうなります。ただデジタル署名情報でしたら先ほどご案内した通りでございますので、デジタル署名をご確認ください。

サポート: また、デジタル署名をご確認いただくことで、ソフトウェア自体改竄が加えられていないこともご確認いただけますので、http/httpsに関わらず確かな方法となります

増田: その確認方法自分で調べないといけないということですか?

サポート: 申し訳ございませんが、ご自身でお調べしていただくようお願い申し上げます

増田: わかりました、ありがとうございます。 予算さえあれば私でも御社セキュリティソフトの偽物を容易に配布できることをよく理解しました。

サポート: こちらこそお問合せありがとうございました。

サポート: お客様への回答は以上となりますが、他に何かご不明な点などはございますでしょうか。

増田: いえ、ありがとうございます

サポート: Trusteer・カスタマーサポートチャットサポートをご利用いただきありがとうございます

ちなみに私は.pkgや.appの署名を確認する方法を見つけることは出来なかった。

2010-02-09

困った

とあるクローズド期間限定サイトで、会員にルート証明書インストールをさせているんだが、これが見事にオレオレ証明書だった。

もちろん、証明ポリシーもないし認証局運用規程もない。

インストール時にセキュリティの警告が出ても無視して下さいときたもんだ。

運用事務局に連絡しても暖簾に腕押し、ヌカに釘状態。

こういう場合、一体どうしたらいいんだろうか?

JPCERT/CCに連絡したら「個別システム運用ポリシーには対応しません」だって…。

このサイト、少なくとも3100人位参加してる筈なんだけどね…。

産総研も受け付けてくれないだろうしなぁ。

高木先生に個人的に通報すれば良いのか?

でも、個人に情報流して「情報漏洩だ」とか「営業妨害だ」とか言われたらたまらんし…。

気づいた自分だけ守れれば、見知らぬ3000人は見捨てるべきなんだろうか?

 
ログイン ユーザー登録
ようこそ ゲスト さん