ArtSaltのサイドストーリー

音楽、フリーウェア、WEBサービス、食べものなどに関する日記。トラックバック、コメント歓迎。

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

アドレスバーに鍵マークがありますか?

高木浩光@自宅の日記に、ネットのセキュリティに関する興味深い記事があった。
高木浩光@自宅の日記 - JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり

そこに貼られていた関連リンクの「マイコミジャーナル」から少し引用。アドレスバー偽装はそんなに心配する必要はないんだとか。

ただここで高木氏は「しかし実際のところ、"Phishing"に関する解説にはインチキくさいものが多い」と述べ、その一例としていわゆる「アドレスバーの偽装」問題を取り上げ「既にInternet Explorerの最新版ではアドレスバーの偽装はほとんど行えないように対策がなされているのに、未だに「アドレスバーが偽装される」としておどしをかけるような解説が後を絶たず、一方で真にユーザに注意を呼びかけるべき部分がないがしろにされている」と述べ、【以下省略】

【レポート】セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏 | エンタープライズ | マイコミジャーナル

ブラウザのアドレスバー(ロケーションバー)に表示される鍵マークの問題について。

いわゆるブラウザの「鍵マーク」偽装問題についても、高木氏は「現在はブラウザ側の脆弱性の対策が進んでおり、アドレスバーがきちんと表示されていてURLが確認できる状態になった上で、SSLの鍵マークが表示され、ブラウザがSSL証明書に関する警告画面を出さなければ、いちいち証明書を開かなくても安全性は確認できるのに、未だに「安全性を確認するには証明書を開く必要がある」といった誤った解説が(それもセキュリティに詳しいとされている記者の記事の中で)なされている」と指摘。その上で「キーワードジャーナリズムは、よりユーザにとって手間のかからない対策手法を紹介すべきだし、Webサイトを運営する事業者側も「ここまでは我々の責任だが、これ以上はユーザ側の責任」という分界点を明確にすべき」と参加者に呼びかけた。

【レポート】セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏 | エンタープライズ | マイコミジャーナル

そうか、そうか、セキュリティの専門家でさえSSL証明書の意味をはきちがえている人がいるわけか。

それはそうと、私はものすごくウッカリしていたことに気づいた。
いわゆる「WEBメール」とか「フリーメール」と呼ばれるメールサービスのセキュリティ。

Q1: アドレスの確認を入力の直前にするのはなぜですか?(利用者)

リンクを辿ってページを移動している間に、どこのサイトにいるかが怪しくなる場合があります。特に、SSLによる通信の暗号化が必要な場面ではこのことは重要です。たとえば、利用するサービスのトップページでアドレスを確認し、本物サイトであることを確認したとしましょう。そこからリンクを辿ってログイン画面に辿り着いたとします。そのページは本物サイトでしょうか? そうとは限りません。なぜなら、リンクを辿っている途中のページに https:// ではない http:// のページが1つでもあったなら、そのページが通信路上で改竄されていた可能性を否定できません。いつのまにか違うサイトへジャンプさせられている可能性があります。

ページを移動するたびに見ている画面が https:// であることを確認するというのは、利用者にとって煩雑すぎる作業です。入力欄のあるページで利用者が重要な情報を入力をしようとしたそのときに、アドレスのドメイン名を確認し、https:// であることを確認するという手順が、シンプルかつ合理的です。

産総研 RCIS: 安全なWebサイト利用の鉄則 / よくある質問と答え

ということは、Yahoo!メールとかを使ってるときも、メールメッセージを入力するページがSSLを使って暗号化されてるかどうか確認しなきゃいけないってことか …

で、調べてみた。Yahoo!メール、livedoorメール、gooメール。
どれもこれもログインするときはアドレスが https:// で始まってるのに、メールメッセージを書くページは http:// になっていた。
うーむ、ぬかったわ。

メールメッセージを入力するページを暗号化してくれるWEBメールって、ないのかな。

調べた。
あった。

BIGLOBE Webメール<ウェブリメール>いつでもどこでも快適にメールを!

長文になるので、続きは別のエントリに書く。
ウェブリメールでYahoo!メールをPOPアクセス

2007年04月20日追記

メールメッセージを入力するページを暗号化してくれるWEBメールと言えば、Gmailが有名らしい。
Gmailを使おうかな
Google
WWW ArtSaltのサイドストーリー
Web site (optional)
Comment - Need to type CAPTCHA, an image of distorted Japanese Hiragana or Katakana afterward.
Password - Not allowed to modify your comment later if password not entered.
On secret mode?
 

http://art2006salt.blog60.fc2.com/tb.php/410-3b8baa9c

このブログについて

最近のエントリ

カテゴリー
あわせて読みたいブログ

あわせて読みたい

最近のコメント
Internet Explorer
よりも便利です

Opera 9 - Always secure with Opera Firefoxをダウンロード!!

相互リンク
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。