2005-01-25 [長年日記]
■オレオレ証明書
高木浩光@自宅の日記 - PKIよくある勘違い(1)「オレオレ証明書でもSSLは正常に機能する」, 不当表示防止法で取り締まれないか, 「バークシャー州長崎県」..
TLSとSSLの微妙な違いは
に詳しい。
ここをちゃんと読めれば、TLS/SSL通信はなりすましを防ぐというプロトコル層と暗号通信をするというプロトコル層の2つに分かれていることが判るはずだ。
高木さんはオレオレ証明書クイズを「設問が悪い」とバッサリ斬り捨てているが、これには違和感があった。
なんでだろうと考えていたが「オレオレ証明書クイズは回答者に、TLS/SSL通信にはなりすましを防ぐという面と暗号通信を行うという2つの側面がある、という知識を暗黙に求めている。だから設問が悪い」と補うと自分的にはしっくりくる。
PKIという面では、なりすましを防ぐという部分は必須だ。それを踏まえないで「暗号化は有効である」という設問/回答は確かに無意味だ。特に、https=暗号化通信と思っている向きには害でしかない。
ところでオレオレ証明書がまかり通っている世界が確実にある。イントラネットだ。
イントラネットとはいえ、個人情報(給与照会とか)が平文で流れているのは気持ちが悪い。じゃあhttpsで、とか思うと認証局はどうするの? というところにぶち当たる。
なりすましには目をつぶってオレオレ証明書に流れるのは目に見えている。そういう「いつも警告がでてしまう」状況に慣れてしまうと、高木さんの日記でとんちんかんな回答をする職員の様になってしまうなぁ、と思った。
高木さんの1/14の日記をもう少し早く読んでいれば、はてなのこの質問
(http://www.hatena.ne.jp/1105942178)に高木さんの日記を回答してやったのに! と悔やまれるが後の祭り……。
■FireFoxは偽造URLに警告を出してくれる
この記事を読むと、ユーザ名を含んだ形のURL(フィッシングでよく利用される)をクリックしたときに警告する仕組みが、FireFoxに搭載されているとある。
これだけでもフィッシングに引っかかる確率は減ると思う。
FireFox本体に機能がある様だ。例えば
http://signin.ebay.com@10.50.180.82/
というURLにアクセスすると、10.50.180.82 につなぐけど本当にあなたが行きたいサイトですか?
という感じのダイアログが出た。
すでにインストール済みのextensionが出しているのかどうかはよく判らない。
追記:同じextinsionを入れているはずの自宅FireFoxでは警告が出なかった。どこかに設定があるらしい……。
追記:この警告の意味は「アクセスしようとしているサイト(上だと10.50.180.82)はベーシック認証を要求してこないけど、URLはベーシック認証のユーザ名を渡そうとしているぞ。偽造されたURLじゃないのか?」という内容だった。
こんなextensionもある。つないでいる先のドメインをツールバーに出してくれる。
邪魔なのでちょっと試してすぐアンインストールしたけど。
■Linuxでのディスクパーティションのサイズ
カーネル2.2.x.xまで2GBという制限があった(らしい)。
正確な情報(改善されたバージョンとか改善後の制限とか)はまだ不明。
調査続行する気はなし。またそのうち……。