※ 元記事ではサーバサイドの話も出てますが、この引用ではクライアントサイドに注目します。
The SANS™ Institute Internet Storm Center http://isc.sans.org/diary.html?storyid=3534
> Cyber Security Awareness tip #23 Using Browsers, SSL, Domain Names(中略)
> Conditions where I trust a webserver:
>
> - I type in the address ( no autocomplete!)
> - I'm using an appropriate browser, like Firefox with NoScript.
> (or, if I have to, IE - with every security flag that doesn't break the website turned on)
> - I've probably used this website before. (no kissing on a first date!)
> - They don't ask me for information (at least not info I hadn't expected)
ホームページを信頼する場合の条件:
ホームページアドレスは手入力。(自動補完は使わない!)
適切なブラウザを使う。例えば、 NoScript を入れた Firefox )。
(もしくは、必要によっては、セキュリティ設定を全て施した IE )
以前使ったことのあるホープホームページだけ使う。(初めてのデートでキスしちゃだめ!)
いらんことを尋ねてこないとこを使う。(少なくとも予期してなかった質問はバツ)
> Things that would make me suspicious or mistrusting:
>
> - pop ups, pop-unders, redirection or unexpected /unexplained script
> (especially script errors)
> - is the website a non .org/.com ?
> - a hidden or vaguely written privacy policy
> - expired or invalid SSL certificates
> - self-issued SSL certificates
疑わしい、もしくは、信用を落とす諸々:
ポップアップウィンドウ、ポップアップ警告メッセージ、別ホームページへの自動ジャンプ、予期しない/説明無しのスクリプト。
(特にそのエラー)
.org/.com 以外のホームページか? ※ 日本なら co.jp/go.jp はほぼ信用して良いが、汎用ドメインや ne.jp/or.jp は×ってところか?
見つけにくい、もしくは、はっきりと説明されていないプライバシーポリシー。
期限切れ、もしくは、不正な SSL サーバ証明書。
オレオレ証明書。
--- 引用(と翻訳のようなもの) ここまで ---
2番目の .org/.com ドメインの話には、続く Update3 の後半でつっこみが入ってますね。
曰く「.org 、.edu に .com はすっかり有名だが、.biz や .info ってどうよ?」 (w
Update4 は、どうやら EV SSL とかquickSSLのお話のようです。
ICANN のような全世界的影響力のある組織が、SSL の世界に必要だとか何とかも。
ウィキペディア http://ja.wikipedia.org/wiki/ICANN
> ICANN (The Internet Corporation for Assigned Names and Numbers,アイキャン)
ところで、「オレオレ証明書」の対訳は "self-issued SSL certificates" になるようです。self-signed ではないのですね。正式な和訳は「自己署名証明書」ですが。
「オレオレ」のもうちょっと洒落の効いた英訳はどうなるのでしょうかね? このあたりはミッキーさんに聞いてみたいところです。(w
ところで、「自己署名証明書」をキーワードに検索をかける↓と 某お役所がトップまたは 2位 あたりにくるのはどうしたわけでしょうか? 何か間違っているような気がします。
マイクロソフト http://search.live.com/results.aspx?q=%E8%87%AA%E5%B7%B1%E7%BD%B2%E5%90%8D%E8%A8%BC%E6%98%8E%E6%9B%B8&go=%E6%A4%9C%E7%B4%A2&mkt=ja-jp&scope=&FORM=LIVSOP
※ Live Serach は、スポンサードリンクが上位 2位で、4位に某お役所です。が、2番目に来てるのが「自己署名の危険性 - jp.globalsign.com」ですのでまあ許しですかね。でも、リンク切れ。(w jp.globalsign.com をアドレス欄に入力してアクセスすればOKかな?
と云うことで、上の件とか 初音ミクの一件以来、平社員の中でマイクロソフトの検索エンジンの存在感が増しているこの頃です。
(参考)
高木浩光@自宅の日記 http://takagi-hiromitsu.jp/diary/
このあたりのフィッシング詐欺対策等の他に安全施策に関する一連のエントリがあります。参考になります。
いじょうです。
-
- -