はてなキーワード: SSLとは
>数学っていうのは、難しい問題を等値な易しい問題に置き換える技術だと思う。
>新しい言葉を上手に定義して、新しい視点を作り出す。
>すると、あら不思議、難問が「どこかで見たことの在る問題」に!
いまどきは数式処理ソフトがさくさくっと式を変形してくれるので、手計算に向いた
数学の手法ってのはけっこう無意味だったりしますね(学ぶこと、その意味を考える
ことには意味があるかもしれないけど)。
>数学技術の発達に伴って、複雑なモデルが解けるようになっていく。
でも三体問題はどうあがいても数値計算するしかないし、組み合わせ最適化は
P=NPが証明されない限り厳密解を求めるには総当たりするしかない。しかも
そのへんはけっこう昔から難しいとわかっていたことでもある。
>(暗号技術とか情報工学みたいな数学と直結してる奴は別だけど)
逆に理解できてる理系がどれだけいるかという問題があります。
暗号技術は数論の粋で、初年級の代数や解析をやった程度では理解できない筈。
でも ssh で何をやったらやばいか、という程度の話であれば誰でも理解
だったら潰してしまえ。影響ないだろ。
http://anond.hatelabo.jp/20071118231214
SSLが必要ないなら使わなければ良い。
採算があわないなら止めてしまえば良い。
そうする事なく、間違った情報を広めて維持している身勝手さに憤っているのだ。
安全性を犠牲にするほど銀行業務は簡易なのか?
そんなわけないだろ。
勤め先まで知っているのが普通なのか?それは例外だろう。
普通は顔を知っている人が行内に一人いれば良い方。それも営業さんだ。
窓口なんて入れ替わりも多いし、なにより、今時はほとんどがATMですんじゃう世の中なのだから。
そもそもなぜSSLを使う?盗聴対策?
現にフィッシング詐欺が起こっているのにその対策を無効にする様な事を書いてどうするのだ。
普通の人が使うWebサービスの中で、オンラインバンキングは最もクリティカルな部類だろう。
そのサービスがこのていたらくでどうするというのだ。
http://takagi-hiromitsu.jp/diary/20071117.html#p01
なんとなく地銀の内部事情も窺い知れるというもの。
そもそも武銀のネットバンクにどれだけユーザーがついているのか。
異常な入出金なんて人間系ですべてチェックできるレベルなのではないか。
そんなレベルなんじゃないの?
設計が悪いという指摘はごもっとも。
だが、そもそもその手の地銀が自前でシステムを構築してないんじゃないか?
たいしてユーザーがいなそうなサービスだから相乗りさせている可能性は非常に高い。
認証をとってしまうとある銀行の負荷が増えて参照サーバーをちょっと動かしちゃえなんていう離れ業ができなくなる。
逆にいうとそういう離れ業で逃げ道を担保しないと採算が合わないレベルなのではないか?
ドメイン認証をとることに積極的になれない理由も伺いしれる。
いっそ別ドメインで認証をとってしまってSSLは全部そっちとまとめてしまってもいいとは思うが、
銀行のようなところは激しく嫌がるだろう。
アフェリエイトやGoogle Analytics のような外部参照のサービスが利用できなくなる。
YouTubeの動画をはりつけたりするのもSSL警告対象だ。
SSLを通している以上、セキュリティエラーがでるのはもっとも。
セキュリティの理想としてはサイトログインした直後からすべてSSLを通すのが望ましいかもしれない。
だが、ユーザーの利便性、提供者の利便性を考えたらSSLなんて最後の最後だけということになる。
一般ユーザーのどれほどがSSLがなんであるか認識しているだろうか?
そしておそらく……
セキュリティにずるずるなユーザーというのはひろみちゅなんかが想像もできないぐらいずるずるだ。
IE7なんてもちろん、Win95でネットサーフィンをしているユーザーは実際存在する。
見識の高いところでクラクラするのはいいと思うが、現実はもっと泥臭いとろこでセキュリティ管理をしなきゃならない。
窓口の担当がお孫さんの勤め先まで知っているような地銀相手にご高説をぶったところで、田舎の住民に玄関に鍵をかけないのは危険ですよというようなものかもしれない。
今日からリニューアルされたらしい。ずっと前からここで配信してもらってるMLがあるもんで、見てみたんだけど、個人情報保護がひどい。
何をするにもとりあえずログインが必要、という感じなんだけど、ログイン時に本名・住んでいる都道府県市区町村・性別・生年月日を入力しないと先に進めない。リニューアル以後はそういう方針、というならそれはそれで譲っても構わないんだけど。
それが全部SSL無しのhttpで入力させようとしているのはどういう了見だ。
しかも、freemlのプライバシーステートメントには、
個人情報の入力が必要な全てのページでSecureSocketsLayer(SSL)暗号を使用する事でデータ通信を複雑化し、ハッキング等の悪質なアクセスから守っています。SSL対応ブラウザの使用により、インターネット上で送信する個人情報の機密性を保持することができます。
と書いてあるのだが、その上側には
収集する情報 情報を収集する場所 情報収集の目的 利用者 その他 お名前・ニックネーム・メールアドレス(ID)・現住所 (都道府県)・性別・生年月日 ・パスワード http://www.freeml.com/ep.umzx/grid/User/node/RegisterFront
http:// www.freeml.com/ep.umzx/grid/User/node/JoinFrontメールマガジンの配信/MLコミュの作成/友人・知人等の検索/サービスの提供/サポート freemlおよび本サービスが提携し、認定する企業、当社グループ企業および子会社 本サービスは、オープン型の総合コミュニティサイトです。お友達や知り合いからの紹介はもとより、入力フォームからの登録で紹介者がいなくても参加することが出来ます。
と、堂々とhttp://--って書いてある。
怖くてメールフォームで教える気にもならない。
というかいっそJavaSript許して欲しくない?
ガチガチに固める理由がわからない。
お金絡むからなのかな?
だとしたらSSLまわりをもちっと強化したらいいんじゃないだろうか。
JavaScriptを侮っていないか?AJAXが何をやっているか知っているか?
ぼくはまちちゃん!(Hatena) - 【クリスマス特別企画】mixiの「足あと」をはてなで体験してみようね!!がなにをやった?
別ににコメントを残す先、ブックマークする先はどこでもよいんだぞ。〜.jsがCGIで、動的生成されてても構わないんだぞ。
たとえば www.hatema.jp とかとって、そこにログイン画面作ってフィッシングサイトを作る。
捨てアカとって、JavaScriptつかってリンクがそこへ飛ぶ様にしておくエントリを書く。
別アカ幾つかとって、はまちやの手法でフィッシングサイトへ飛ぶそのエントリをホットエントリ入りさせる。
ホットエントリ入りしている人のエントリにフィッシングサイトへの誘導エントリをSPAMする。
そりゃ、多くは引っかからないかも知れない。でも、数%が引っかかってもそこそこの人が被害に合うだろう。
SSL?気にしない人は気にしない。
そんな人は見捨てればいい?そんなはてなが良いのか、きみは?
というか、今回のようなケースは別にCSRFでなくてもいいような気がする。
というか、はてなってGetとPOSTをあんま区別してないよね。
img src="うんちゃらかんちゃら"とかじゃなくても、別に検索エンジンの検索結果とかのリンクを踏ませるだけで悪いことしようと思ったらいっぱいできちゃいそうだね。
でも、はまちちゃんいいやつ。
釣りバカ日誌だと思ってた。
メバチちゃんとかそのうちできるのかな?
・・・あれ?
なんでマグロなんだろう?
こんばんはこんばんは!軒先だけでも結構です。一晩泊めていただけないでしょうか!
盗賊には注意
というかいっそJavaSript許して欲しくない?
ガチガチに固める理由がわからない。
お金絡むからなのかな?
だとしたらSSLまわりをもちっと強化したらいいんじゃないだろうか。