みずほ銀行曰く「安全でない可能性があります。よろしいですか?」と出たら「はい」を選択して進め | スラド セキュリティ
/.J 記事 にもあったように先月末にソフトバンクモバイルのガラケー Web ブラウザで https 接続する際の仕様変更が行われたが、それに伴いみずほ銀行のネットバンキングサービスを提供するガラケーサイトで、6 月 30 日未明からソフトバンクモバイル端末から利用できなくなる不具合が生じていた。その後「現在ご利用可能となっております」という発表が、7 月 5 日に出た (みずほ銀行からの告知) 。 その発表によると、ソフトバンクモバイル端末からアクセスすると「このサイトは安全でない可能性があります。よろしいですか?」というメッセージが表示される可能性があり、それに対して「はい」を選択するよう指示している。「はい」を選択したあと、遷移先の URL を確認して、みずほ銀行のサイトであるかどうかを確認するように求めている。 URL を確認せよというのだが、これを確認したところで何の意味もないこ
Opera mini for iPhoneではオレオレ証明書が警告されない - disり用。
通常、オレオレ証明書が使われているサイトにアクセスするとブラウザは警告を表示します。iPhone版のSafariでも警告が表示されます。たとえばオレオレ証明書が使われているサイトにアクセスすると、以下のように警告が表示されます。 が、Opera miniでアクセスした場合は何も警告が表示されません。ちなみに表示が崩れているように見えるのは、Opera miniの専用サーバが元のコンテンツを携帯デバイス用の軽量コンテンツに変換して返している為です。 Opera miniではhttpsなサイトにアクセスした時には、画面上部のサイトタイトルの右側に鍵マークが表示されるようになっています。よく見るとオレオレ証明書の場合はこの鍵マークが表示されていないことが分かります。したがってURLがhttpsであるにも関わらず鍵マークが表示されていない場合はオレオレ証明書だと判断することができます。 ですが、現
Firefox 3のSSL対応方針、どう思う? (スラッシュドット・ジャパン) - TenForward
本家記事は読んでないので,日本語の紹介とコメントだけを読んだ感想です.私には何が問題なのかイマイチ分からないのですが,それが日本語の方だけ読んでいるから,だったらスミマセン. Firefox 3では、自己署名されたSSL証明書や承認されていないベンダー(新興のものや非営利のベンダーなど)によって署名されたSSL証明書を使用しているサイトに接続しようとすると、警告が発せられる。この警告が発せられない状態にするには、サイトはFirefox認証のベンダーに有料の証明書を発行してもらう必要がある。 http://slashdot.jp/security/article.pl?sid=08/08/06/0237247 元々 Firefox 2 であろうが,1 であろうが,発せられてましたよね.多分,あの「エラー画面としか思えない」画面が,とてもこれ以上先に進もうと思えない厳しい言葉で警告される,事を
Firefox 3のSSL対応方針、どう思う? | スラド セキュリティ
本家記事で、Firefox 3のSSL対応方針や認証や暗号化のあり方について議論が起こっている。 Firefox 3では、自己署名されたSSL証明書や承認されていないベンダー(新興のものや非営利のベンダーなど)によって署名されたSSL証明書を使用しているサイトに接続しようとすると、警告が発せられる。この警告が発せられない状態にするには、サイトはFirefox認証のベンダーに有料の証明書を発行してもらう必要がある。 本家タレコミ人のChandon Seldon氏は、「この仕様があるがためにSSL証明書にお金をかけざるを得ないサイトが発生したり、SSL認証無しへの変更を強いられるサイトもあるだろう」と自身のブログに綴っている。氏は、「自己署名SSLのサイトがEV SSLと同じ扱いをされるべきとまでは言わないが、だからといって全く暗号化されていないサイトへの接続時よりも『安全でない』といった印象
【「エンジニア生活」・技術人 Vol.14】複雑なセキュリティを簡単にどこにでも——サイバートラスト・渡辺弘幸氏 | RBB TODAY
PCとインターネットの歴史は、新たな犯罪とそれに対するセキュリティ対策の歴史でもある。インターネットの普及とともに、データの盗聴やなりすまし、フィッシング詐欺など、次々と新たなサイバー犯罪が生まれてきた。こうした犯罪に対する対策は、いまや企業にとっての必須項目だ。SSLサーバ証明書やクライアント証明書など、セキュリティを専門に扱う企業も数多くある。 サイバートラストもそうしたセキュリティプロバイダの1つだ。インターネット黎明期の1995年に創業し、すでに10年以上セキュリティを扱っている。主力サービスとして、SSLサーバ証明書であるSureServer for SSL/SureServer EVや、認証局システムのASPサービスであるマネージドPKI(MPKI)を提供している。サイバートラストの技術本部プロフェッショナルサービス部SIグループグループリーダーの渡辺弘幸氏が手がけているのはサ
高木浩光@自宅の日記 - オレオレ警告を無視させている大学
■ PKIよくある勘違い(10)「正規の証明書でやっているので警告が出たとしてもそれは安全だ」 「サーバをオレオレ証明書で運用するのはケシカランことだ」という認識が普及してくると、こんどは逆に、こんな説明が流行するようになるのかもしれない。今のところ「よくある」という状況ではなく、稀にしかないようだが、こんな事例があった。 「セキュリティの警告」画面が表示される場合があります。 実際にログインしてご利用いただくサーバの証明書には問題はなく、セキュリティ上の心配はございません。「はい」をクリックしてご利用をお続けください。 このサイトは、実際のところ「Cybertrust Japan Public CA」発行の正規の証明書が正しく設定されているようだ。正しいサーバ証明書で運用されているのだから、利用者のブラウザ上でオレオレ警告が現れたなら、それはまさに盗聴されているときだ。それなのに、「はい
高木浩光@自宅の日記 - オレオレ警告の無視が危険なこれだけの理由
警告を無視して先に進むと、その瞬間、HTTPのリクエストが cookie付きで送信される。 もし通信路上に盗聴者がいた場合*2、そのcookieは盗聴される。セッションIDが格納されているcookieが盗聴されれば、攻撃者によってそのセッションがハイジャックされてしまう。 「重要な情報さえ入れなければいいのだから」という認識で、オレオレ警告を無視して先を見に行ってしまうと、ログイン中のセッションをハイジャックされることになる。 今見ているのとは別のサイトへアクセスしようとしているのかもしれない さすがに、銀行を利用している最中でオレオレ警告が出たときに、興味本位で先に進む人はいないかもしれないが、銀行を利用した後、ログアウトしないで、別のサイトへ行ってしまった場合はどうだろうか。通常、銀行は数十分程度で強制ログアウトさせる作りになっているはずだが、その数十分の間に、通信路上の盗聴者により、
高木浩光@自宅の日記 - こんな銀行は嫌だ
■ こんな銀行は嫌だ 「こんな銀行は嫌だ――オレオレ証明書で問題ありませんと言う銀行」……そんな冗談のような話がとうとう現実になってしまった。しかも、Microsoftが対抗策を施した IE 7 に対してさえ言ってのけるという。 この原因は、地方銀行のベンダー丸投げ体質と、劣悪ベンダーが排除されないという組織の構造的欠陥にあると推察する。 【ぶぎんビジネス情報サイト】アクセス時に表示される警告メッセージについて ぶぎんビジネス情報サイトでは、サイトURL(https://www.bugin.cns-jp.com/)ではなく、ベースドメイン(https://www.cns-jp.com/)でSSLサーバ証明書を取得しております。このため、本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心してぶぎんビジネス情報サイトを
高木浩光@自宅の日記 - 役所のPKIの出鱈目ぶりも末期的 佐賀県警察本部の場合
■ 役所のPKIの出鱈目ぶりも末期的 佐賀県警察本部の場合 この日記が扱うテーマのひとつは、「ひとたび発生した誤り解説は作業員のコピペによって際限なく広がっていく」という現象の社会的危険性(止めることの困難性)についてである。 蔓延する「サイバーパテントデスクのWWWサーバ」, 2007年1月20日の日記 会社のポリシーは会議室で決めてない、現場でコピペしてるんだ, 2006年9月23日の日記 「リンクお断りは普通」と人の心に種を蒔くAC, 2006年9月21日の日記 やってはいけないセキュリティ設定指示 Top 15 (Windows XP SP2編), 2005年9月9日の日記 警察庁の指示がスパイウェア感染を招き金融被害をもたらしている可能性, 2005年7月22日の日記 岡山県と外務省が他人の著作物の知的所有権を主張中, 2005年7月18日の日記 PKIよくある勘違い(9)「『詳
IE7の普及でサーバ証明書失効トラブルが続出するかも? | スラド
高木浩光@自宅の日記にて、IE7の普及でサーバ証明書失効によるトラブルが表面化するというエントリ。IE6までは「サーバー証明書の取り消しを確認する」の設定がデフォルトでオフになっていたものが、IE7ではデフォルトでオンになったとのことで、サーバ証明書が失効したサイトの閲覧ができないという事例が出ていることについての話である。 これによれば、IE7ではサーバ証明書が失効している場合の表示において、閲覧を続行するリンクが用意されていないらしい。 高木氏は、「オレオレ証明書の場合の警告では続行ができるのに、失効証明書の場合は続行を許さないというのには首をかしげる。」と書いているが、失効という状況はいただけないものの、確かにそうかもしれない。
【埋】証明書取得で GeoTrust とやり取り - 門前バリア
■2006/06/24 [あまともに「Myページ」- ウォッチリストが作れるようになりました! あまともに「Myページ」- ウォッチリストが作れるようになりました!] で 「ウォッチリスト」作成機能 を開始して以来、既に20名以上の方が 公開ウォッチリストを作ってくださり、徐々に注目商品も浮かび上がってくる ようになってきました。お試し頂いている方には心よりお礼申し上げます。 みなさまも是非、効率よく商品の価格変動をチェックするために、 あまとも でウォッチリストを作成して頂ければ幸いです。 さて、ウォッチリストを提供するにあたってどうしても必要だったのが ID登録・認証の機能ですが、ここでhttps通信をするにあたり、現在は 自前の証明書を使っています。俗に言う「オレオレ証明書」です 。・゚・(ノД`)・゚・。 目先の話としては「ブラウザがWarningダイアログを出して鬱陶しい」という
コミックダッシュ!
コミックダッシュ!最近のアップデート [2012/08/12] コミックダッシュ! に「画像検索」のリンクを追加しました。 [2011/08/12] コミックダッシュ!で「ISBN(ASIN)インポート機能」の試験提供を開始しました! [2011/04/17] コミックダッシュ!のページを一部「スマートフォン表示」対応しました。 [2010/08/18] 新刊カレンダーからのチェックボックスによる一括操作を追加しました。 [2010/03/23] ツイッター(twitter)連携機能のテストを開始しました。(所有コミック追加) 掲示板書き込み lala-z 運営掲示板 かいじゅう色の島 コミックス版2巻が出ましたが、https://ckwork ... RRRyyy000 運営掲示板 管理人様へ。いつも有り難く利用させて頂いてます。ガンダムの一部の作品だけ(具体 ... yukAco 運営
高木浩光@自宅の日記 - ファーストサーバ社は危険性をちゃんと顧客に伝えているのか
■ ファーストサーバ社は危険性をちゃんと顧客に伝えているのか 2年前の日記で、NHKエンタープライズ21の「RoBoCoN公式サイト」で「問い合わせ」という部分をクリックするとジャンプする https:// のページがオレオレ証明書で運用されていることについて書いた。証明書の発行者は「KSI First Server」と書かれていた。しかしこれがファーストサーバ社により発行されたものかは不明だった。 オレオレ証明書で運用されているこの状況は現在も変わっていない。そこで先月、ファーストサーバ社に以下の問い合わせをした。 Webサイトのデジタル証明書についてお尋ねします。 NHKのロボコン公式サイト http://www.official-robocon.com/top.html にある「問い合わせ」のページ https://www.official-robocon.com/FS-APL/FS
Sylpheed - 軽快で使いやすいオープンソースのメールソフト
NEWS 2023/01/13 バグトラックを GitHub に移行しました Sylpheed のバグトラックページを GitHub の Issues に移行しました。 既存の Redmine のページは暫定的に非公開とし、必要なチケットについては移行する予定です。 2022/12/26 Wiki ページを GitHub に移行しました Sylpheed の Wiki ページを GitHub に移行しました。 2022/11/29 リポジトリを GitHub に移行しました Sylpheed の公開リポジトリを GitHub に移行しました。 以前の subversion リポジトリはしばらくの間アクセス可能ですが、更新は行われません。 2022/09/14 Sylpheed 3.8beta1 (開発版) リリース Sylpheed 3.8beta1 をリリースしました。 このリリースでは
東京地方裁判所を騙った架空請求が来た - shckorの日記
東京地方裁判所の民事第二十部から支払命令のメールが来た。 念のために東京地裁の電話番号を独自に調べて連絡を取ったが、裁判官名と書記官名が架空であることと、事件番号が架空である事が確認出来た。 また、当たり前ではあるが、裁判所から電子メールで支払命令が送られる事はないという事も聞いた。 メール文中にある架空(または虚偽)の情報 差出人メールアドレス(ドメイン自体が存在しない) 事件番号 債権者住所(江東区に東陽5丁目はあるが、東陽町5丁目は無い) 債権者電話番号(新宿区高田馬場2丁目にある株式会社のFAX番号らしい) 裁判官名 書記官名 メール文中にある本当の情報 民事訴訟法368条(ただし、条文の内容は違う) 東京東信用金庫 住吉支店 東京地方裁判所 民事第二十部(ただし、破産部なので小額請求は扱っていないとのこと) 東京地方裁判所住所 東京地方裁判所電話番号 東京地方裁判所電子署名フィン
静岡県警察、「オレオレ証明書の警告が出たら電話で確認せよ」? | スラド
jbeef曰く、"静岡県警察サイバー犯罪対策室から「ファーミングに関する注意喚起について」というお知らせが出ている。DNSポイゾニングやhostsファイルの改竄などによって「一般利用者が正しいURLでホームページを閲覧しても偽のホームページに誘導されてしまいます」と注意を促している。そしてその対策として、「「セキュリティの警告」が出るような場合は、偽のサイトである可能性が高いので、「続行しますか」と聞かれたら「いいえ」を選択して処理を中止しましょう。」としている。そこまではよい。しかし……(続く)" 続いてこう書かれている。 (注)独自の認証局で発行されたセキュリティ証明書を利用しているような場合、正規なサイトでも「セキュリティの警告」が出ることがあります。 「セキュリティの警告」が出た原因が偽のサイトであるためか、独自の認証局で発行されたセキュリティ証明書を利用しているためか判断が付かな
高木浩光@自宅の日記 - せっかく購入した証明書をまるで無駄にする新潟県
■ 銀行スパイウェア犯と同じ手法でWindows XP SP2の警告を回避する警察庁電子申請システム 政府が整備を進める電子申請システムにおいて、中央官庁の大半がオレオレ証明書を使用し、オレオレ認証局をWebからダウンロードしてインストールするなどという不用意極まりない習慣を国民に植え付けようとしていたなか、警察庁だけは当初から違う対応をとっていた。 警察庁の電子申請システムはオレオレ証明書を使用しているものの、「警察庁認証局」のルート証明書をCD-ROMで入手しなければならないことになっている(第三種オレオレ証明書)。 警察庁認証局の自己署名証明書(ルート証明書)の入手 インターネットを利用して警察庁へ電子申請をしようとする場合には、通信の安全性を確保するために事前に以下の窓口に問い合わせて警察庁認証局の自己署名証明書(ルート証明書)を入手して下さい。 入手方法はCD-Rの手渡し又は、郵
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://twitter.com/mishiki/status/3106648042
高木浩光@自宅の日記 - 主婦の友社が早速やらかしてくれました
2006年9月28日 | Lucky Lovely Laboratory
