アカウント名:
パスワード:
Siriはオレオレ証明書を食うっぽい書き方ですね
webブラウザでアクセスするわけでもないしオレオレ証明書自体は問題ないのでは? サーバーの認証をしていないってのは問題ですが…(もしかしたら脱獄して改造してある?)
iPhoneがオレオレ証明書を食うんじゃなくて(ちゃんとサーバ認証してる)、iPhoneにユーザが証明書のインポートできてSiriサーバとのSSL通信時もそれが有効になるという話。Jailbreak不要らしい。
単なるポカなのか、最初からプロトコルのリバースエンジニアリングを防ぐつもりが無いかは分かりません。
分かりませんだあ?そこは「知りません」だろ、Siriだけに
なるほど。じゃぁ攻撃者がターゲットにユーザ証明書を導入させる手段が存在しなければ問題はおきないですね。# 銀行系フィッシングとか‥‥‥? あと某インターネット系のプロジェクトとかユーザ証明書使ってるから合宿地でアレをソレされたりすると危ないかも...
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
オレオレ証明書 (スコア:0)
Siriはオレオレ証明書を食うっぽい書き方ですね
Re:オレオレ証明書 (スコア:1)
webブラウザでアクセスするわけでもないしオレオレ証明書自体は問題ないのでは?
サーバーの認証をしていないってのは問題ですが…(もしかしたら脱獄して改造してある?)
Re:オレオレ証明書 (スコア:1, 参考になる)
iPhoneがオレオレ証明書を食うんじゃなくて(ちゃんとサーバ認証してる)、
iPhoneにユーザが証明書のインポートできてSiriサーバとのSSL通信時もそれが有効になるという話。
Jailbreak不要らしい。
単なるポカなのか、最初からプロトコルのリバースエンジニアリングを防ぐつもりが無いかは分かりません。
Re:オレオレ証明書 (スコア:1)
分かりませんだあ?
そこは「知りません」だろ、Siriだけに
Re: (スコア:0)
なるほど。じゃぁ攻撃者がターゲットにユーザ証明書を導入させる手段が存在しなければ問題はおきないですね。
# 銀行系フィッシングとか‥‥‥? あと某インターネット系のプロジェクトとかユーザ証明書使ってるから合宿地でアレをソレされたりすると危ないかも...