(話題、視点、論点)View halloo!!:狐狩りの時の「ほら出たぞー」という掛け声 【Release date:2011年03月29日】







昨今のインターネット上のHTTPS接続の推奨等の動きは悪くないと思うのですが、不安を煽って必要のない閲覧のみのページも巻き込まれていくようです。

私も齢を重ねてまいりました。

寺社仏閣史跡等の訪問レポートを書き溜めているのですが、2022年まで溜まってしまいました。

この際、それまでに死亡すれば別ですが、2022年末をもってサイト閉鎖する決心を致しました。

ありがとうございました。


xHOTZONE Go to xDataBase viewhalloo Tips p2pzigzag p2pzigzag hrkz p2pzigzag Go to Home evtcal reporter2

貴方は大丈夫『不正に発行された偽証明書に注意!』


対処の難しい事例であると思いますが、証明書も役に立たないとなると、問題は根の深いものとなります。

いずれにしろ、様々な手法を考え出すのですが、取り扱いがずさんであると役に立たないということでしょう。

偽証明書に注意!マイクロソフト、更新プログラム公開

2011年3月24日、マイクロソフトは「不正なデジタル証明書により、なりすましが行なわれる」というセキュリティアドバイザリ(2524375)を公開した。米国の認証局コモド(Comodo)が不正なデジタル証明書を発行してしまったというもので、この証明書を受け入れないよう更新プログラムを公開したとしている。

コモドの発表によると、3月23日に侵入を受け、身元を確認せずに証明書を不正に発行してしまったという。マイクロソフトによると、発行してしまったのは、

  1. login.live.com
  2. mail.google.com
  3. www.google.com
  4. login.yahoo.com (証明書3つ)
  5. login.skype.com
  6. addons.mozilla.org
  7. "Global Trustee"

の9つとなる。

「login.live.com」は、Hotmailなどのマイクロソフトのオンラインサービスでログインに使われるドメイン名だ。正規のマイクロソフトのWebサイトでログインする際は、サーバ側が用意する正規の証明書が使われ、Webブラウザからは信頼できるWebサイトと認識される。しかし、フィッシングなどで「login.live.com」を詐称するWebサイトに誘導され、不正発行の「login.live.com」の証明書が使われると、詐称サイトでありながら信頼できるWebサイトと認識されてしまう危険がある。

コモドではこれらの証明書をすでに失効させており、「証明書失効リスト(CRL:Certificate Revocation List)」に登録している。通常、Webブラウザは「オンライン証明書状態プロトコル(OCSP:Online Certificate Status Protocol)」によりCRLの情報を得て、失効した証明書を無効とする。しかし、この情報の伝達には時間がかかるため、マイクロソフトでは証明書を無効化する更新プログラムを作成し、Windows Updateなどによる配布を始めている。冒頭で紹介したセキュリティアドバイザリにある更新プログラムとは、このことだ。

同様の問題はFireFoxでも発生しており、こちらもVer.3.6.16/3.5.18という新バージョンの公開を行なっている。

(2011年03月25日 06時00分更新:TECH.ASCII.jp:http://ascii.jp/elem/000/000/596/596580/)』

結果的に関係ユーザーの手を煩わせることになりそうです。

被害が発生していなければ良いのですが、個人的にはもう使用しなくなったサイトも少なくないので、変にIDやパスワードが漏れると、思わぬ被害に会う事も可能性としては否定できません。

「トロイの木馬」などを送り込まれてPC内の個人情報を抜き取られると更に大きな被害の可能性が否定できません。

ところで、この記事の時点では「FireFox Ver.4.0」はリリースされていなかったのでしょうか、私の記憶はあいまいなのですが、既にバージョンアップしていても関係するのでしょうか。

HPでは2011年03月22日リリースとなっていました。

個人的にはシンプルなデザインは、主流なのでしょうが使いにくくなったと思い旧バージョンのデザインで利用してしまいます。

インターネット上の安全確保には細心の注意を払っていても今回のような事象に全くの無力であるということを再確認しました。