2003年2月7日(金曜日)
セキュリティのリテラシ
やっぱり履歴からパスワードが漏れるという意味がまるで分かっていない模様。「生年月日とかだって漏れるじゃん」なんてのはジョークだと思いますが、本気だとするとそれって「パスワード入力欄の表示を * とかにする必要ないと思いまーす」と言ってるのと同じなんで、かなり深刻です。
- 「セキュリティのリテラシ」にコメントを書く
ダウンロードで残念な思い
ダウンロード:ATOKパワーアップツール ダウンロード・ご使用条件 (www3.justsystem.co.jp)で「同意します」ボタンを押しても全く何も起きずに残念な思いをいたしました。で、ソースを解析して次に進み、ダウンロード画面まで行くと、ダウンロードボタンがあってまたしても嫌な予感が。
※環境や設定状況などにより、「自動設定」ボタンによる導入がご利用 いただけなかった場合
(例)エラーや、クリックしても無反応など
→(b)のダウンロードボタンをご利用ください。
以上、ダウンロード : ATOKパワーアップツール より
あのー、「(b)のダウンロードボタン
」も無反応なんですが……。
サーバ証明書の意義
httpsではないのでってソースをみるとformのactionはhttpsになってるようですが。
以上、RTC担当紅玉杖さんの不定期の部屋 より
いつぞやのオフで sagamiさんにも話しましたが、送信先が HTTPS なら問題ない、と思ってしまうのは罠です。何故かというと、送信前にサーバ証明書を確認することが出来ないからです。
そもそもどうしてサーバ証明書なんてものが必要かというと、DNS Spoofing などによって別途定めるサーバが「成りすまし」を行う可能性があるからです。通信内容が暗号化されていれば経路の途中で盗聴されても問題ありませんが、送信先が偽物だったら全く意味がありません。だからこそ、送信前にサーバが本物かどうか確認してやらないといけません。そのためのサーバ証明書なのです。
つまり、送信対象のホストのサーバ証明書を、送信前に確認できるようになっていなければ意味がありません。フォームを SSL で保護するなら、送信前のフォームが HTTPS であり、そこから同じホストに対して POST するようにしておく必要があります。
※ちなみに、IE のデフォルト状態では POST が別のサーバに送られると警告されるようになっていますが、それはこの辺の事情によります。この警告が有効なら、submit してからヤバいと思ってもまだ間に合うというわけです。
この辺りをまったく理解していないのが某大手の……ってこのへんから先はヤバすぎて書けませんが、ともかくそんなわけですので、びいさんの
と納得してたけど、SSLでフォームを送信する時ってフォーム自体もHTTPSな所にないとダメじゃなかったっけ。
以上、びいさんの日記。 より
に米一俵。
一太郎13&花子13スペシャルパック
一太郎13&花子13スペシャルパック (www.amazon.co.jp)
で、インストール。今回も手動でインストールしたのですが、デスクトップには何故か「Yahoo! BBお申込み」のアイコンが。こんなのインストールした覚えないんですが。しかもこれ、「プログラムの追加と削除」からはアンインストール出来ない感じです。
とりあえずデスクトップから削除しておきましたが、「インストールした覚えがないのにいつの間にか入っている」という挙動は、セキュリティの観点からすると大きなマイナスです。
で、とりあえずユーザ登録。なんか高木さんのスライドで見たことがあるような画面でイロイロと入力して完了。
- 前(古い): 2003年2月6日(Thursday)のえび日記
- 次(新しい): 2003年2月8日(Saturday)のえび日記
