高木浩光＠自宅の日記 - JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり

■ JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり 一昨年7月のWASフォーラムのイベントで話した以下の件。 セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏, MYCOM PCWEB, 2005年7月12日 誤った解説や必要以上に危機感を煽る報道に不満 （略）アドレスバーがきちんと表示されていてURLが確認できる状態になった上で、SSLの鍵マークが表示され、ブラウザがSSL証明書に関する警告画面を出さなければ、いちいち証明書を開かなくても安全性は確認できるのに、未だに「安全性を確認するには証明書を開く必要がある」といった誤った解説が(それもセキュリティに詳しいとされている記者の記事の中で)なされている」と指摘。その上で「キーワードジャーナリズムは、よりユーザにとって手間のかからない対策手法を紹介すべきだし、

[tsukkee]

自分で「IEは糞だからどうしようもない」て言ってどうすんの？ ちゃんと直したのに？ なんでこんなに馬鹿なの？ 言うべきことは、サポート期限切れのWindowsを使わないでくださいってこと

[webmarksjp]

セキュリティ

[YAA]

>そもそもこういう安全に使いこなせないシールなんて、やめてしまうのがPKIのプロたる会社の社会的責任だと思うが

[ymorimo]

この手の解説もっと期待します

[okgwa]

マイクロソフト「は」

[iouri]

ユーザにいちいち証明書確認させないのは正しい。でも、オレオレ証明書の警告にOKを押してはいけないという前提があってこそだと思う。

[tksmd]

SSL フィッシング等

[NOV1975]

安全であることを確認できない～は酷すぎるな。何を伝えるべきなのかがおざなり。

[suVene]

PC（またはクライアント）が自動かできる事を、目で見て確認て、どれだけアホなんだって話。 っていうか無理。

[wisboot]

書いてる本人が理解してないことを書くとどういうコトになるかの実例集。高木先生お疲れ様です。

[denken]

誰か萌えタカギヒロミチュが翠星石口調でセキュリティに対して根本的に啓蒙するコミックを描かないか

[Seacolor]

いつにもまして痛烈な批判

[Fsiki]

野放しにするより叩かれても指摘される方がマシだとは思う。ってかもう、こういうコンテンツ作ったら高木氏に報告したらよくね？

[PoohKid]

高木さん、ノリノリの巻（こういうの好きですよ）

[codeweb2]

このソースの中から、フォームの送信先に指定されているURLを確認して、本物かどうかを判断することが可能です。←ふいた

[zaikabou]

高木さんって、本当に技術者だよなあ

[tsupo]

しつこく何回も言ってもなかなか変わらない件。

[sampaguita]

タイトルはともかく本文はいたって普通だと思いましたが。いろんな感想があるものですね。

[namnchichi]

家族にも読ませよう。

[Ooh]

糞を連呼したあとこれ“とまあ、このくらい言えば読んでくれるかな……。”　意外とかわいい〆。つうか、罵倒のちデレ〆は使える。

[kazz7]

勢いありすぎ。

[motomachi24]

下品な人だ。正しいことを言ってるのかもしれないが汚くて読む気がしない。/ 読んだ。言ってることはごもっともだが、下品であるという認識に変化はない。

[I11]

たしかに糞だが、嘘を吐いたとは言えない。「嘘つき」と言われると利益にひびくが「糞」と言われても客は減らない。糞でもそれしか信用できなければ客はそれを買うしかない。にしてもベリサインはひどいね。

[hidematu]

ネットもリアルも同じ。"相手"が誰なのかを"確認"してから"話"をすることがだ大事。

[Metaphone]

高木さん糞糞言い杉ワロタ

[SiroKuro]

SSL は通信路の暗号化。その先にあるものの信頼性には無頓着。なんだけどなぁ……

[rna]

ドメイン名を憶えてURLと鍵アイコンをチェックすれば十分という話。ドメイン名と組織の対応がうろ覚えの時、サーバ証明書に書いてある組織名(O)を確認する、ってのはダメなのかな? IEでは確認しづらいけど…

[t_43z]

高木先生がお怒りになるのも無理ないな・・・

[TakahashiMasaki]

(なんかよくわからんが一応

[b-wind]

まぁ確かにユーザーが何を信頼して何を信頼すべきでないかごちゃごちゃになってるよね