タグ

vulnerabilityとev sslに関するkgbuのブックマーク (1)

  • 高木浩光@自宅の日記 - EV SSL導入に伴い生じ得る特有の脆弱性

    ANSER WEBというASPサービスでインターネットバンキングを提供している金融機関が、EV証明書を導入した理由は、「NTT DATA CORPORATION」という社会的信頼の高い企業による運営であるという表示によって、利用者に物サイトであることの確認手段を提供したことにあるのだから、これらの金融機関は、利用者が「NTT DATA CORPORATION」という名称さえ見てくれればいいことを前提としている。 しかし、もし、図3のように、ドブログのようなサイトでまで緑色で「NTT DATA CORPORATION」と表示されるような世の中になってしまったら、どうなのだろうか。 まず、少なくとも、EV証明書導入サイトがやってはいけないことがある。 もし、ドブログのユーザコンテンツ(つまりブログ)のページが、https:// でも表示できるようになっていたらどうか。どこの馬の骨ともわからな

    kgbu
    kgbu 2008/07/07
    信頼できる「会社の名前」を表示しようというのがEV SSLの狙いらしい。その際、その会社が外部から取り込んだデータを表示する際にEV SSLを使うのは避けるべきだという話らしい。
  • 1