取締役 平社員 ブログ (ベータ版)

パソコン ( PC ) を安全に使えるような何かごとを徒然と書いてみたいと思います。  

 -無責管理

   当ページ記事により不具合、問題が発生した場合でも責任をもちません。


   情報セキュリティ系勉強会ポータルサイト  

  セキュリティ・キャンプ  (セキュリティ・キャンプ実施協議会)   Firefox ブラウザ無料ダウンロード 



ブラウザの正しい使い方 〜 (引用記事) Cyber Security Awareness tip #23 Using Browsers, SSL, Domain Names

コンピュータ


※ 元記事ではサーバサイドの話も出てますが、この引用ではクライアントサイドに注目します。


The SANS™ Institute Internet Storm Center http://isc.sans.org/diary.html?storyid=3534



> Cyber Security Awareness tip #23 Using Browsers, SSL, Domain Names
(中略)
> Conditions where I trust a webserver:

>

> - I type in the address ( no autocomplete!)

> - I'm using an appropriate browser, like Firefox with NoScript.

>   (or, if I have to, IE - with every security flag that doesn't break the website turned on)

> - I've probably used this website before.  (no kissing on a first date!)

> - They don't ask me for information (at least not info I hadn't expected)


ホームページを信頼する場合の条件:

ホームページアドレスは手入力。(自動補完は使わない!)
適切なブラウザを使う。例えば、 Firefox Add-on NoScriptNoScript を入れた Firefox )。
(もしくは、必要によっては、セキュリティ設定を全て施した IE )
以前使ったことのあるホープホームページだけ使う。(初めてのデートでキスしちゃだめ!)
いらんことを尋ねてこないとこを使う。(少なくとも予期してなかった質問はバツ)




> Things that would make me suspicious or mistrusting:

>

> - pop ups, pop-unders, redirection or unexpected /unexplained  script

>   (especially script errors)

> - is the website a non .org/.com ?

> - a hidden or vaguely written privacy policy

> - expired or invalid SSL certificates

> - self-issued SSL certificates


疑わしい、もしくは、信用を落とす諸々:

ポップアップウィンドウ、ポップアップ警告メッセージ、別ホームページへの自動ジャンプ、予期しない/説明無しのスクリプト
(特にそのエラー)
.org/.com 以外のホームページか? ※ 日本なら co.jp/go.jp はほぼ信用して良いが、汎用ドメインや ne.jp/or.jp は×ってところか?
見つけにくい、もしくは、はっきりと説明されていないプライバシーポリシー。
期限切れ、もしくは、不正な SSL サーバ証明書
オレオレ証明書


--- 引用(と翻訳のようなもの) ここまで ---


2番目の .org/.com ドメインの話には、続く Update3 の後半でつっこみが入ってますね。

曰く「.org 、.edu に .com はすっかり有名だが、.biz や .info ってどうよ?」 (w


Update4 は、どうやら EV SSL とかquickSSLのお話のようです。
ICANN のような全世界的影響力のある組織が、SSL の世界に必要だとか何とかも。


ウィキペディア http://ja.wikipedia.org/wiki/ICANN
> ICANN (The Internet Corporation for Assigned Names and Numbers,アイキャン)


ところで、「オレオレ証明書」の対訳は "self-issued SSL certificates" になるようです。self-signed ではないのですね。正式な和訳は「自己署名証明書」ですが。

「オレオレ」のもうちょっと洒落の効いた英訳はどうなるのでしょうかね? このあたりはミッキーさんに聞いてみたいところです。(w


ところで、「自己署名証明書」をキーワードに検索をかける↓と 某お役所がトップまたは 2位 あたりにくるのはどうしたわけでしょうか? 何か間違っているような気がします。

ヤフー http://search.yahoo.co.jp/search?p=%BC%AB%B8%CA%BD%F0%CC%BE%BE%DA%CC%C0%BD%F1&fr=top&tid=top&ei=euc-jp&search.x=0&search.y=0

グーグル http://www.google.co.jp/search?hl=ja&q=%E8%87%AA%E5%B7%B1%E7%BD%B2%E5%90%8D%E8%A8%BC%E6%98%8E%E6%9B%B8&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=

マイクロソフト http://search.live.com/results.aspx?q=%E8%87%AA%E5%B7%B1%E7%BD%B2%E5%90%8D%E8%A8%BC%E6%98%8E%E6%9B%B8&go=%E6%A4%9C%E7%B4%A2&mkt=ja-jp&scope=&FORM=LIVSOP

※ Live Serach は、スポンサードリンクが上位 2位で、4位に某お役所です。が、2番目に来てるのが「自己署名の危険性 - jp.globalsign.com」ですのでまあ許しですかね。でも、リンク切れ。(w jp.globalsign.com をアドレス欄に入力してアクセスすればOKかな?


と云うことで、上の件とか 初音ミクの一件以来、平社員の中でマイクロソフト検索エンジンの存在感が増しているこの頃です。



(参考)

高木浩光@自宅の日記 http://takagi-hiromitsu.jp/diary/

このあたりのフィッシング詐欺対策等の他に安全施策に関する一連のエントリがあります。参考になります。


いじょうです。

    • -

暴れん坊本屋さん(3)


本読みました。


アマゾン http://www.amazon.co.jp/dp/4403670288/
> 暴れん坊本屋さん(3) (コミック) 久世 番子 (著)


本屋さんと出版社の裏事情を描く、書店員兼漫画家の作品。本好きとしてはなかなか苦笑えます。これをアマゾンで買ってる時点で読む資格なし、とか言わないでください。カバー裏劇場付。


画像はアマゾンさんのもの(amazon.co.jp へのリンク)です。


(図1)

暴れん坊本屋さん(3) (コミック)
暴れん坊本屋さん(3) (コミック)。


いじょうです。

    • -