「SSL証明書」を含む日記 RSS

はてなキーワード: SSL証明書とは

2023-01-12

anond:20230112221133

・色んなこと満遍なくやりたい

・やべー案件に何年も磔にされたくない

これが多様なサービスアプリ作ってみたいという話なら高単価SESに行くしかない。

かなりの経験を積んだベテランじゃないと入れない世界出身学部も見られるから相当に厳しいと思う。

フロントバックエンドインフラなどもやってみたいという話なら自社でウェブサービス運用している上場企業正社員で入るのがいいだろう。

ただし正社員ということはリリース日には何が何でもサービスインさせる立場になるということでもある。定時退社の社風であっても進捗上がってないなら稼動上げて対応ということは普通にある。

派遣で入ればそういうことは無い。上場企業ならコンプラ厳しいからね。でも数ヶ月程度、長くて数年のスポットになることがほとんどなので長期的にはどうなんだろうな。

ここでは俺の経験を踏まえて「自社でウェブサービス運用している上場企業正社員で入る」という前提で話す。

アピールすると良いのは使える言語インフラの知見、構築と運用経験

全部が強い必要は無い。どれか一つが強くて他はまあなんとか程度でいい。逆に言うと全くダメですが一つでもあると厳しい。

使える言語では、C#,Javaを大きめな規模のバックエンドとして使ってるとこが多い反面、対応できる人はフリーにも派遣にもたくさんいるのでちょっと弱い。SIer出身コード書いてたなら当然できるよね、というレベル

今ならtypescript(javascript), pythonあたりができてgo あるいは Rust勉強してます、というのがけっこう強い。

分かってると思うが言語が使えるというのは、まっさらPCを与えられて主要なウェブフレームワークセットアップしてローカルホストを立てるとこまでを含む。

JavaならSpringboot+gradle+JUnit、PHPならLaravel、pythonならdjangotypescriptならNode+React+knex、あとJestかDreddも入るかな。

インフラ知識では、クラウドオンプレ両方のメリットデメリットを把握しているとよい。

AWS,Azure,GCP,Oracle Cloudのどれでもいいけど実際に使った経験があるとよい。俺は個人GCP契約してkubernetesVM、LBを使っている。

ネットワーク知識は薄くでも持っていた方がよい。HTTPとかcookieとかセッションとか知りませんCORSって何ですか?レベルでは無理。まあここら辺はウェブサービスを作れば必ずやるので大丈夫だろう。

LetsSSL証明書を作ってopenssl検証してnginx適用してHTTPS化ができるならアピールになる。

dockerはもうそろそろ使えて当然のレベルになってきているので必須。実際ウチではdockerが分からない使えない人は面接へ進めないようになっている。

構築と運用では、予算内に収まるような構築と運用サービスインした後のトラブルシューティング経験があるとよい。

常にコスト意識を持っていることが必要クラウドは油断すると100万程度すぐ飛ぶ。コスト意識が無い人を運用担当として採用することは絶対にない。

トラブルシューティングで重視されるのはベンダー対応よりもエンドユーザー対応の方。

サービスを早急に復旧させること、そのためにどういう仕組みが必要なのか、構築するところから語れる知見があるとよい。もちろんそこにもコスト意識必要

CI/CD、PrometheusやDatadogによる監視アラートについて語れるとよい。

CI/CDを扱うということは当然gradle,maven,yarn,シェルスクリプトは書けて使えてwebpack,minify,Jenkinsコンフィグもできるということである


どうだろう、かなり雑に書いたが雰囲気は伝わると思う。

あ、git使えないは論外。もし使えないなら今すぐ使えるようになるか諦めるかのどちらかで。

2022-12-06

anond:20221206004847

ゲーム業界はどうか知らんけど企業の基盤システムWeb化して最低限できなきゃいけないことがめちゃくちゃ増えてんだよな

ネットワークDBロードバランサやSSL証明書の仕組みと使い方、アプリの設定、ソースコードリーディング

最低でもここら辺は押さえておかないと人材派遣の単価いくらで使われるSEから抜け出せん

ワイは過去の積み上げがあるからまだいいけど4月から入ってくる新人や異業種から転職してくる人はほんま大変だと思うよ

2022-05-05

anond:20220504211823

★★再追記

レンタルサーバは、自由度が低くてストレスになるからやらない。SQLでwith使いたいかMySQL8をって言ってもさくらレンタルサーバじゃ無理なんでしょ? あと同居利用者のせいで高負荷ってのも避けたい。そこを気にしない人はレンタルサーバでいいと思うよ。

あと LB $0.025/h だった。月2000円くらいか

追記

LBは独自ドメイン+自動更新無料SSL証明書のためね。Cloud Storageの無味乾燥ドメインでいいなら、SSL自動かつ無料でほんとに月数円。

-------

もうねめんどくさいんだわ。もちろん以前はそうやってたよ。

PHPだのApacheだのMySQLだのインストールしたり設定ファイル置いたり、

脆弱性対応したり、SSL証明書更新したり、一応落ちてないか無料監視サービス使ったり。

でも仕事ならともかく、趣味からこそこんなことやりたくないじゃん。

なので、コンテンツは Cloud Storage に置く。

Cloud Load Balancing も使う (無料 SSL 証明書のために)。

認証必要なところは Cloud Identity で。

動的部分は Cloud Functions で。

AWS なら S3+ALB+Cognito+Lambda だな。

そうしておけば、放置できる。自前で立てたマシンインスタンスもないから落ちてるかどうかとか気にしなくてもいい。負荷も考えない。クラウド様がよきにはからってくれるさ。たまにクラウド障害あるかもしれないけど、Google なり AWS なりが頑張って直してくれる。

って感じ。

ちなみにこちらは 1日数十アクセスの過疎サイト独自ドメイン+自動SSL証明書にするための Cloud Load Balancing に 4000円くらい払ってる。それがなければ月数円。

2021-10-18

SSL証明書

2021年SSL証明書スタンダードってないの?

鍵長はいつまで2048bitでいいの?2030年ころに3072bitにすればいいわけ

署名アルゴリズム(+ハッシュアルゴリズム)はRSA_SHA256でいいわけ?516もいらない?

2021-10-02

anond:20211002104336

試しに Firefox を使ってみるといいよ。

FirefoxSSL証明書チェーンを正しく解釈できる、世界で唯一無二のブラウザなので、

今回のルートSSL0930問題を完全回避できるはず。

Windowsユーザは、Windowsアップデートだけでも解決するかも。

昨日からいろんなサイトSSL証明書エラーがでてまともに見れなくなった

タイミング的に10月から更新できてねーんだろうけどしっかりしろ

2021-09-19

コロナワクチンの接種証明書電子交付)の仕様がひどかった

表記の件について意見募集が開始された (https://www.digital.go.jp/posts/ckWVVAya) というので仕様(https://cio.go.jp/sites/default/files/uploads/documents/digital/20210917_spec_01.pdf)を見たら、なんか国のお墨付き個人情報の名簿登録補助ツールみたいな上に、証明書としては全然機能不足にしか見えず、がっかりした。


批判だけでもなんなので、自分ならこういうの作るという意見書出しといた。

案にあるような個人情報だけを含む二次元コードでは、

などの理由から有益とは思えないし、電子証明書としての信憑性も非常に疑わしいシステムしかできないように思われる。

この仕組みを活用したい立場としては、「接種者の個人情報」ではなく、「二次元コード提示した人が接種済みであること」が確認できればよいので、

 1. 接種済みの人が、マイナンバーカード申請する

 2. 申請した個人(ないし端末)毎に、APIサーバユニークIDを発行する

 3. システムの接種確認APIに2.のIDを付けたURLQRコードで表示する(IDを種として、ワンタイム識別子をアプリサーバ計算するなどの設計も考えられる)

 4. APIアクセスすると、接種証明情報として、最終接種回数と接種日のみを返す

程度の接種者向けのアプリおよびAPIサーバと、

 1. 接種者が提示したQRコードを読み込む

 2. QRコードURL偽サイトではないことを検証する(HTTPSSSL証明書確認ぐらいでも十分で、政府が発行する公式アプリとすることで信憑性担保する)

という事業者向けのアプリを開発・公開してほしい。

もっと踏み込むと、国として、接種証明として表示した国民個人情報が、民間企業において確度の非常に高い顧客名簿になりかねない、という点については、どのように考えているのかはなはだ不安を感じさせる仕様と言わざるを得ない。

(ここまで)

いま読み返していて単純に「IDを種」にするだけではダメなことに気づいた。申請時にワンタイムトークン計算用の秘密の種を共有しておいて、個人(端末)の識別IDとワンタイムトークンAPIに渡すようにする、とかが必要だった。

国民個人情報を、わざわざマイナンバーカード使って本人性を保証した上で自動読み取り可能な形でスマホの画面に表示するだけのアプリって、どこぞのeKYCの対極ネタとしては面白い面白くない)。

2020-08-09

家に使ってないパソコンHDDがたくさんあったので

1台のPCで4つのサービスを稼働していたところを

4台のPCに一つずつ稼働させることにした。

【よかったこと】

IISというWindowsサーバー建てるフレームワークみたいのを使って初めてWindowsサーバーを建てる経験を得られた。

  Windowsサーバーを立てるのは規約違反だった気がしたが最近Windowsに元々サーバーを建てる機能付属してるし別にいいのだろう。

Windows10ドライバ認識能力のすごさを知ることができた。

  Linuxだとファンが回らない、何も映らないけどWindowsだと普通に動くなどした。

Windowsサーバーを建てるのはムズイという知見を得た。

  ・信じられないくらい遅い

    CPU使用率が低いままで全く変わらず、にもかかわらず簡単ウェブページの表示に10秒とか待たされて使い物にならなかった。Xubuntuに変えたら1秒以内に表示された。

  ・操作Linux全然違う。

    httpsリダイレクトされるのをやめさせようとしたり、SSL証明書を設定しようとしたがどうやってもできなくてWindowsを使うこと自体を辞めた。

・一つのPCで一つのサービスが動いているので気分がいい。

・家に余ってたHDDを全部繋げて1.5TBのクラウドサーバーを作ることができた。

  複数HDDを一つのHDDとして扱う技術(LVM)の設定をする体験ができた。1.5TBの使い道はない。不用品処分をするのが目的

XubuntuならMacbookPro(2007年製)にUSBメモリからインストールできることを知った。ただしインストール画面がたまにしか表示されない。

デメリット

・今までは仮想マシンで動かしていたので扱いやすかったのだがそれができなくなった。

  失敗しても5分前の状態に戻すとかできないし、仮想イメージエクスポートとかできない。

電気代を4倍食うようになった。

・ownCloudをアップデートしたらGalleryというプラグインが動かなくなった。

2020-05-14

anond:20200514142921

別に珍しくもない話じゃないかと思うけど、最近もなんかあったの?

オレオレ詐欺的なヤツはソーシャルハックだからオンライン化するしないってのは関係ないけど

公式オンライン化しちゃう区別のつきにくい模倣ってのはどうしても取り締まりきれないよね。

最近Google様も「お前らどうせSSL証明書の内容なんかそんなに見ねーだろ?」って表示を分かりづらくさせる方向だし

独自エンジンブラウザってFirefoxしかねぇけどアンチ広告姿勢のせいで企業サポートどんどん得られにくくなるだろうし

ネットを取り巻く環境が「自分はそういう詐欺に引っかからない」って自信を持ちづらくなってきてるんだよなぁ。

2020-04-25

金融機関ネット手続き安全に使いやすくなったのか知りたい

anond:20200417193708

銀行など金融機関ネット手続きは、認証手続など

以前は信頼できなかった。

今は信頼性いか知りたい。とても知りたい。




使い勝手も悪かった。

WindowsのみIEのみ、

IEバージョンアップしたら2世代前の版でないと非対応

こんなの付き合えないか個人では利用した事ない。


安全性のために堅固な造りなのだろうが、

個人で導入するには面倒と安全性に対する不安が大きかった。




IEバージョンダウンはどうしたのか、よく覚えていない。

利用していない遠方の金融機関


「「最新バージョンで利用して下さい」のような警告が出たら、

OKキャンセル も押さずに 右上の Xボタンクリックして下さい」


と案内があると(警告無視推奨)、

はてな あたりで話題になっていたような覚えがある。


新版なのに旧版扱い。

急場しのぎには仕方ないのだろうが、1年以上対応そのまま。




SSL証明書有効期限が切れてる

オレオレ証明書問題」もあった。


ワンタイムパスワード2段階認証など、

安全性維持の様々な対応策があるが、

以前の体験や見聞により、金融機関ネット利用手続きには不安が大きい。




令和 2020 年代に入り、悪い病も流行し、ネットで済むなら利用したい。

しかし怖い。

金融機関には少額でも自分には大事財産から

信頼できないシステムを使いたくない。

https://anond.hatelabo.jp/20200417230216

https://anond.hatelabo.jp/20200425154329

2020-01-07

これはむずかしい。SSL証明書有効期限が切れます

 ↓

プログラム側で有効期限の確認無効化しろ

 ↓

さぁ、どう反論する?

 

もし証明書が盗まれていたら

管理者はお前だ。お前が盗まれ場合に備えて、おれが手続きするのか?など

 

この証明書が盗まれ場合に、お前ではなく、俺のかし責任のほうが強いと主張した根拠は?

これどう答えたらいい?

 

これは難しい そりゃおれくびになるかもな。

2019-08-26

セックスしないと出れない部屋に閉じ込められて10年たった

Wifi環境完備とはいえiPhone3GSだと流石につらくなってきた。

遅さは我慢できるとして、SSL証明書関係エラーが出るサイトが増えてきた。

どんどん重くなるサイトが増えてくなか、増田は相変わらず軽くて良い。

2019-06-18

anond:20190618232031

わかりやすく言うとお前のPCが、お前の証明書を発行しているか

SSL証明書って知ってるだろ?そこにお前の年齢と住所が書かれている

2019-02-01



彼氏軽自動車だった」のパロディなので、このツイート自体が「馬鹿たこと言ってる」ってネタではあるんだが、エンジニア諸氏のマジ怒りを買っているようだ

2018-12-11

anond:20181211194254

SSL証明書更新には必ずウェブサーバ再起動か reload 処理が必要だよ。

運用的には、そのreload を cron で自動でやるか、手動でやるかの違いしかない。

2017-11-13

"SSL証明書"という言い回しが嫌い

SSL証明書無料SSLマネードSSLなどの造語が好きじゃない

一部頑なにSSLという言い回しを好む人がいて、サーバ証明書SSL証明書というせいで、TLS場合は?とかよく分からない疑問を生み出すし

TLSじゃないのか?みたいな混乱を生み出すし

無料じゃないSSLとかあるのか?と思う。

HTTPS対応も、SSL対応とか言うし、もうめちゃくちゃだなって思う

2016-12-16

短縮URLって元ページの所有者にとって害悪だと思うけど

金払ってドメインとってSSL証明書も付けてかっこいいURL作ってんのに

bitlyでフックされて、アク解されて、こんな有用コンテンツ知ってるオレカッコイイされて、奴のフォロワーが増えて、

鯖代、CDN代、証明書代、その他コンテンツ配信コストは全部こっち持ち?

あーなんか違う。無断リンクは全て悪だわw

2015-11-25

Webサービスを常時SSL化しようとして諦めた話

弊社の新規事業Webサービスを作っていて、セキュリティトレンドの常時SSLってやつをやってみようと思った。

世のWebサービスを見てみるとやっている所が何故かほとんどなく、mixiニコニコなどの大手もやってないようだ。ニコニコURLを試しにhttpsにしてみたら繋がらず、mixihttpリダイレクトされる。

うちは新規から最初からhttps化することで特にデメリットはないと判断、安いSSL証明書を買ってhttphttpsリダイレクトするようにした。技術的な難所はまったくないので問題なく実装完了し、これで安心度がちょっと上がったと思っていたのだが…。

つづく。

続き。

サービスではユーザーYouTubeなどの動画を貼り付ける機能重要なのだが、テストしてみるとニコニコ動画の埋め込みが動作しなくなっていた。調べてみるとニコ動の埋め込みコードhttpなせいで、さら最近ブラウザhttpsページの中にhttpコンテンツがあると、警告も出さずまったく表示しない仕様になっているようだ。

何か解決方法はないかと調べてみると逆に、同じ理由https対応広告アフィリエイトも貼れないことが判明。広告モデル無料サービスなのでこれは致命的。

というわけで当初の予定とはまったく反対の、httpshttpリダイレクトする羽目になるという笑えるオチになってしまった(httpsで見られると広告なくなっちゃうため)。それでmixiニコニコ対応してなかったのか…。

事前にろくに調査もせず先端を行こうとしたが時代がついてきていなかったという話。

2015-08-07

一体なんだよこの記事

http://webbingstudio.com/weblog/cms/entry-773.html

知ってか知らずかちょっとこの記事ひどいので、突っ込む。

共用SSL証明書が当たり前?

小規模の商用サイトでは、フォーム暗号化する際には、共有SSLを利用するのが当たり前となっています独自ドメインSSL証明書を取得すると、フォームを通して得られる収益よりも、維持費の方がはるかに高くなってしまうからです。

とこの記事では書かれていますが、一体どこで「当たり前」なんでしょうか?

SSL証明書の取得費用は、サーバーホスティングによって額がまちまちなのは確かですけれども、

安く独自SSL証明書を取得して利用できるサーバーホスティングは山ほどあります

WEB制作者として「自分が良く知っているだけ」のサーバーレンタルクライアント押し付けはいませんか?

また、小規模商用サイトにしても、仮に年額35,000円のSSL証明書をつけ、かつ、月額3,000円のサーバーを借りていたとすると

月額でいえば6,000円くらいの負担ですが、

いくら小規模とはいえ、広報活動の中核をなすWEBサイトであるならば、

月額6,000円をペイできないとすると、

ちょっと商用サイトとしては破綻しているように感じます

(というか、効果測定をしていないだけ?)

改ざん認識

共用SSLリスクに関して言えば、この記事引用している、高木浩光氏の書かれている通りではあります

cookieを取得できてしまうという点においては。ですね。

で、その部分の帰結が、完全におかしい。

cookieが取得できてしまう結果として、一番最初に狙われるのは、管理画面へのログイン

いわゆるセッションハイジャックです。

ログイン状態を乗っ取られた時点で、どんなCMSでも、WEBサイト改ざんは可能です。

なぜか。

CMSは「コンテンツマネージメント」する仕組みで、

そのコンテンツは多くの場合MySQL代表されるDBに保存してあります

したがって、ファイル改ざんなどを行わずとも、WEBサイトの内容は書き換えることが可能なのです。

WEBアプリケーションの仕組みに明るくない方が読むと

「なるほど」と思ってしまうかもしれないので、

早々に訂正していただきたい。

また、この記事にある a-blog cmsというCMSについてはよく知りませんが、

多くのモダンCMSでは、ほとんどの管理画面ログインにおいて、

セッションハイジャックに対する防衛は行われていますので、

cookieの取得が、即WEBページの改ざんに繋がるような書き方も、

CMS利用者に対して、誤解を広げる結果になりそうですので、

ここも早々に訂正していただきたい。

CMSを過信していないか?

この筆者さんは、a-blog cmsというCMSを利用されているようだ。

このCMSはどうやら、PHP製ながらPHPソース暗号化しているようだ。

なるほど、それならばファイル改ざんは確かに起きにくい。

が、それはあくまで起きにくいだけの問題

こう言ってはなんですが、攻撃者にしてみれば、a-blog cms攻略するくらいならMovable TypeWordPressを攻めた方が楽というものです。

この記述むちゃくちゃである攻撃者にしてみれば、誰でも手に入れられるCMSであれば、

ファイル構造の解析はそんなに難しい話ではない。

a-blog cms公式サイトを拝見すると、MySQLを利用しているようで、

ともすれば、インストールさえしてしまえば、

ファイル暗号化はなされていようとも、DBの中身の仕様は丸見えだ。

前提条件として「知っている」「知らない」の差はあれど、攻撃に関して「ラク」というのは

どう考えても楽観的に過ぎる考えだ。

安全」の認識

最後に突っ込んでおきたい。というか質問というか。

どうも「SSLで確保される安全領域」について、かなり認識が甘いようだ。

SSLあくまで、TCP/IPネットワークにおいて通信経路を暗号化するための技術だ。

通信する際に、通信先のサーバーが正しく認証されているかどうか?に必要なのはSSL証明書

で、ここに書いたとおり、SSLあくまサーバー利用者通信においての暗号化だ。

この記事に書かれていることは「メールフォームについて」のことのようだが、

サーバーに到達したあとのメールについては安全性をかんがえていますか?

メールは全く暗号化されず平文で送信されるとても脆弱通信手段だ。

いくらSSL通信暗号化しようとも、問い合わせフォームの送信がメールだったとすると…

外部から傍受される危険性が高くなります

とこの記事ではかかれていますが、そもそもHTTPHTTPS通信を傍受するより遥かに

メールを傍受したほうがラクとも考えられるはず。

CMSを使っている方を非難するわけではないが、

CMS機能に甘んじて、こういったベーシック問題に考えが及んでいないとすると、

WEB制作者としては、ちょっと配慮が足らなくはないですか?

とおもう。

P.S SSLということばはもうないよ。

記事に対するつっこみではないですが、

SSLということばは、とても古い言葉です。

便宜上みんな「SSL」といっているだけで、

正しくは「TLS」でっせ。

2014-12-31

1年の締めとして一人ハッカソンした

去年の今頃は「今年こそはすごいWebサービス作るぞ!!!!!!!!!!!」って意気込んでたのに

なんかもう今日が最終日。

ということでこの12月から何か作ろうと考えていて、丁度年末からということで作った。


Amazon購入金額分析

前にAmazonの購入金額合計を出すブックマークレット流行ったけど、それとほぼ同じ。

Amazonの今までの合計金額と、書籍とかPCとかカテゴリごとの合計金額出してグラフにする。

適当Twitter投稿して終わり。


年末だしTwitterで「2014年Kindle購入金額内訳は...でした」とか投稿すれば

みんなつられてアクセスするはず!宣伝しなくても勝手に大ブーム間違いなし!!!!!!!!

最終日に目標達成大勝利!!!!!!!!!


って思ってたけど

投稿してもだれもアクセスしてくれない。待っても待ってもアクセス0。

e?嘘でしょ???って思ったら

EC2セキュリティグループの設定変更忘れてた。

よーし今度こそアクセス過多間違いなし!!!!!


のはずだったけど今度はrobots.txt見に来るクソbotしかアクセスしてくれない。

虚しさ半端ない

というかTwitterURLつぶやくと即効でどこぞやのクローラー巡回してくるんですね。


構成自体クライアントサーバサイド共にjsEC2上でnode.js

D3.jsグラフ画像svgからどうにかしてpngにしないとTwitter投稿出来ないのが微妙に面倒だった

投稿時にクライアント側でbase64canvaspngにしても良かったけど

結局サーバサイドのphantomjsやらせた。

商品カテゴリ取得するためにはProduct Advertising API使うしかなくて

コレが毎秒1商品しか取得できない厳しい制限付き。

重複なしで600商品購入してたらなら10分かかる。

redis上にキャッシュしておいたりwebsocket適当に進捗伝えたりした。


今回得た経験値としては


あたり。


今年は残念ながら目標不達成だったけど、いい最終日の過ごし方になったと思う。

お疲れ様でした。

2014-06-13

UFJ推奨のセキュリティソフトが信頼できないんだけどこれどうすれば

MUFJのオンラインバンキングを申し込んでみたのだがそこでセキュリティソフトを推奨された。

 こいつだ。http://www.trusteer.com/ja/products/trusteer-rapport-for-online-banking-ja

残難ながらこれのダウンロードリンクhttpsでは提供されていない。賢明な諸兄はご存知の通りhttps提供されていないソフトは信頼しないことが大原則だ。

ファイルhttps提供されない場合https提供されているMD5情報などを元にファイル正当性を確認する必要がある。

何と言っても、オンラインバンキング専用セキュリティソフトだ。最大限の注意を払う必要がある。

問題がある場合は私の全財産がどこかに送られてしまう。

さて、困惑した私は会社サポートチャットに問い合わせをすることにした。

"https提供されていないソフトウェアをどうやって信頼すればいいのでしょうか?"というのが、はじめの質問である

以下がそのログ抜粋担当者フルネームが表示されていた箇所を「サポート」と伏せている)

サポート: https提供されていないソフトは、インストールの際にソフトウェアデジタル署名をご確認ください。

増田: 私はOSXを使っていますが、

増田: Trusteerエンドポイント保護アンインストール.appを実行する場合インターネットからダウンロードしたソフトですが信頼しますか?というようなことが表示されますよ。

サポート: はいアップルストアから提供品ではないためそのようなメッセージが表示されることもございます

増田: また、OS Xでは署名apple認証したデベロッパーが開発したソフトウェアであることをを証明してもデフォルトでは提供元を表示する機能は無かった様に記憶してます

増田: 実は提供元を保証する様に機能があるのでしょうか?

サポート: ルート証明が正しければ正しい提供元としてTrusteerが表示されますので、ご確認いただけますでしょうか。

増田: えーと、それはどのようにすればいいのでしょうか?

サポート: 申し訳ございませんが、この内容はRapportのサポート範囲外となりますので、お答えできかねますインターネット等でお調べいただけますでしょうか。

サポート: 正規のソフトウェアである事をご確認いただくための情報としては、組織に「Trusteer LTD」が表示されていることとなります

増田: ではもう一点

増田: https接続先が偽物というのはどのような場合でしょうか? 考えられるのは 1.接続先の秘密鍵漏れている場合 2.接続もと(ブラウザなど)が信頼できない認証局を信頼している 3.サイトがハックされている などのケースが考えられますがどのようなケースを想定していますか?

サポート: サイト自体ハッキングもしくは、ファーミングされたケースを想定しております

サポート: ファーミングされた場合偽者SSL証明書を利用することでhttps接続となりますが、接続先は偽者、となります

増田: 私がrapport.pkgをinstallしようとする際にはpasswordを求められるまでの間にアプリケーション提供元や署名の表示などは行われませんでしたが、これは問題ないとお考えですか?

増田: おそらくwindowsだと提供もと証明などがでてくるのでしょうけど。

サポート: 署名の表示は、お客様操作によって表示されるものですので、Mac仕様となります

増田: なるほど、比較的容易な攻撃方法であるDNSポイゾニングなどで間違った接続先に接続した場合OSXユーザー能動的に確認する以外に自衛手段はないということでよろしいでしょうか?

サポート: はい。Rapportを導入していない状況ですので、お客様ご自身の自衛手段となります

増田: 今後httpsでの提供する計画はありますか?

サポート: 予定につきましてはお応え出来かねますが、ご要望として担当部署に伝えることは可能でございます

増田: OSXユーザーがRapportインストーする際にそのような自衛手段を案内することはRapportのサポート範囲外ですか?

サポート: 申し訳ございませんが、そうなります。ただデジタル署名情報でしたら先ほどご案内した通りでございますので、デジタル署名をご確認ください。

サポート: また、デジタル署名をご確認いただくことで、ソフトウェア自体改竄が加えられていないこともご確認いただけますので、http/httpsに関わらず確かな方法となります

増田: その確認方法自分で調べないといけないということですか?

サポート: 申し訳ございませんが、ご自身でお調べしていただくようお願い申し上げます

増田: わかりました、ありがとうございます。 予算さえあれば私でも御社セキュリティソフトの偽物を容易に配布できることをよく理解しました。

サポート: こちらこそお問合せありがとうございました。

サポート: お客様への回答は以上となりますが、他に何かご不明な点などはございますでしょうか。

増田: いえ、ありがとうございます

サポート: Trusteer・カスタマーサポートチャットサポートをご利用いただきありがとうございます

ちなみに私は.pkgや.appの署名を確認する方法を見つけることは出来なかった。

ログイン ユーザー登録
ようこそ ゲスト さん