PayPalがフィッシング対策を強化 23
ストーリー by Acanthopanax
危うきを遠ざける 部門より
危うきを遠ざける 部門より
BBC記事、PC Pro記事等の報道によると、PayPalは「危険なブラウザ」をブロックする方針を打ち出したそうだ。その中にはSafariも含まれるという。これは、フィッシング対策のため、フィッシングサイトをブロックできなかったり、EV SSL証明書に対応していないブラウザを締め出すというPayPalの方針を受けての記事であり、Safariが未だEV SSL証明書に対応していないことが背景にある。
PayPalのフィッシング対策の全体からすると、危険なブラウザのブロックはフィッシング対策のごく一部分である。その全容については、PayPal情報セキュリティのチーフMichael Barrettの書いたブログエントリからリンクされたホワイトペーパー(PDF)に詳細な記述がある。こちらは興味深い文書なので一読してみてはどうだろうか。
[2008-04-22 9:00 JST 追記] 9 to 5 Macによれば、PayPalのスポークスマンは、Safariをブロックする計画はないと述べたとのこと。
EV-SSL対応 (スコア:2, おもしろおかしい)
証明書の発行者のフラグかなにかを見て色かえるだけでしょ?
日本の携帯電話とかもすぐにやったらいいのに。
あ!その前にアドレスバーがないんだった。ムリぽ。
Re:EV-SSL対応 (スコア:1, 興味深い)
Extended Validation certificate identification
によると、OIDが発行元各社によって異なるから、面倒なんでは?
これから発行元も増えるだろうし。
あと、誤解されがちだけれど、ホワイトペーパーにもある通り、
EV-SSLはあくまでフィッシング対策の「一つ」に過ぎない。
申請プロセスが強化された、ってだけの話なので、EV-SSLを使っていてフィッシングに遭って、
「EV-SSLであれば大丈夫だと思っていた [srad.jp]」なんてこと言わないようにね。
それにしても、このホワイトペーパー、素晴らしい出来だ。
さすが向こうはリスクマネジメントとかがよく解かっているな。
Re:EV-SSL対応 (スコア:1, 興味深い)
それとも、サーバー側のSSL証明書に新たに異なった証明レベルの証明書が必要になるというような仕組みなのでしょうか?
Re:EV-SSL対応 (スコア:2, 参考になる)
- CAと、SSLサイトの証明書を普通のSSLと同様に確認する
- CA各社毎に独自のOIDを確認する
- 確認が通ったら、従来のSSLについている会社名を表示する
- 更に、CAやSSLサイトのアイコンや日本語での会社名なども表示する
となっていて、FireFoxの拡張の中にはアイコンつきのCA(この拡張では数社のみ)の証明書なども格納されています。よって、EV-SSLに対応するには、
- SSLの証明書をいままでより吟味する
- サーバー側のSSL証明書やCAの証明書に会社所在地の言語(日本語など)での会社名や住所、アイコンなどの拡張情報が含まれているので、それを表示する
の二つは最低限必要になるとおもわれます。当然、各社が使っているOIDを勝手にopenssl.confの[ new_oids ]でつけるようなオレオレ証明書に対抗するためにはちゃんと証明書を吟味する必要がありますし、ユーザに会社の実在を証明するための会社の住所などを表示するインタフェースを追加しなければなりません。
CA各社に対応するとなると結構面倒そうですが、従来の「信頼されたroot CAの配付」にアイコン情報がついている程度、といえば楽かもしれません。 携帯電話やPDAのようにroot CAを追加・変更しにくいシステムでは面倒そうですね。
Re:EV-SSL対応 (スコア:1, 興味深い)
つまりSSLを運用しているサイト側ですることは無く、あくまでもブラウザ側のみの話ということですね。
Re:EV-SSL対応 (スコア:1, 参考になる)
厳しい審査を通った企業の証明書がEV SSL証明書としてEV SSL用CAに紐づけられる。
ただ、それだけです。
ブラウザ側での調べ方なんてどれも同じです。ブラウザ側はEV SSL対応のCAに紐付いていればEV SSLの表示(名前と緑色)をし、普通のSSL用CAに紐付いていればそのようなSSLの表示をするだけで、半オレオレ証明的な(ジオトラストのような)ザル審査証明書を締め出すことが目的。
日本人に英語の証明書見せられても何のことかわかりませんから日本語でも表示するんでしょう。
CA→企業証明書→サイト証明書 にしてくれた方がどの企業のサーバなのかはわかりやすいと思うんですが、そういう方向には変わっていきませんかね。
SafariというかWebKitをいじってる人ですが (スコア:2, すばらしい洞察)
EV SSL実装に向かう良い圧力になると思われます。
先日の crack大会のMacBook Air(というかLeopard)の軟弱さを
減らすためにも、こういう前向きになれる圧力はじゃんじゃん
いただきたいものです。
Re: (スコア:0)
すべてはiTunes Music Storeで買えるようになるんだよ。
ってあたりじゃないの?
Safariだけじゃなく (スコア:1, すばらしい洞察)
つか (スコア:2, すばらしい洞察)
締め出されるのはSafariだけじゃないような。
Re:つか (スコア:2, 参考になる)
ユーザー数で言ったら、IE6>Safari。
MSはちゃんと選択肢を用意しているんですがね。
Re: (スコア:0, おもしろおかしい)
ウンコ味のカレーとカレー味のウンコは同等ではないでしょ?
オレは排泄物を食べたことないからどんな味なのかわからないけど
それが(恐らく香辛料や食材の組み合わせで味を表現した)カレーであれば
食っても安全と予想されるんだけどな
しかも排泄物を食べる機会はそうそうないと思うので
安全に味を体験できるという意味だと興味深いかもしれないし。
それに対してカレー味のウンコは危険な気がする。
一回目の自分の排泄物ならまだ食べても大丈夫だけど
(一回目の排泄物を食って出来た)二回目以降の排泄物は毒素が濃くなっていて
危険になると聞いたことがある。
他人の排泄物であれば自分の排泄物とは違う大腸菌とかいろいろついていて
一回目でも危険と聞いたこともある。
試したことはないから実際にどうなるのかわからないけどね
(もちろん、好んで試すつもりもないし)
たぶん…(Re:つか) (スコア:1)
俺、ウンコ味のカレーでいいや。
Re: (スコア:0)
どっちも食えないで終了だろ。
Re: (スコア:0)
血ナミダを流しながら「両方頂きます!」と答えた漢・シエル先輩にあやまれ!
参考文献:十七分割最速理論(春風亭工房 他)
な、なんだってー (スコア:0)
それでさっきからシェアウェアの金が払えないのか?
クレカの裏のコードを何回入力しても受け付けてくれないんだよなあ。
#MacBookAir+Leopard10.5.2+Safari3.1.1でやってます。
いや、おそらく使い方がおかしいんだろうけど。
Re:な、なんだってー (スコア:4, すばらしい洞察)
失敗したふりして何度も認証させればハンドルに付いてるパスワードの類をごっそり入手できるわけで、あとは(検閲)。というか、本家がそういう「締め出す」対策してもフィッシングサイトからは締め出されないんだからほぼ無意味だと思う。なので今回の「対策」は少なくとも目先の脅威に対しては対策になってないんじゃなかろうか。
Re:な、なんだってー (スコア:2)
限度額超えたとか、
カード止められたとかでなくて?
Re: (スコア:0)
ユーザー的にも、これから最大勢力になるであろうIE7は、確か対応してたよね?
って事で、ユーザーには大して問題なしに微々たるもんでも良くなるのならアリでしょう。
そして対策は「これ」だけじゃないって書いてあるのに、目先の事を云々しても。
Re:な、なんだってー (スコア:1, 興味深い)
iMac G5 OSX Leopard 10.5.2 Safari 3.1.1 ですが。
もしや、フィッシングされた?
Re:な、なんだってー (スコア:1)
# Safariで出来ましたよ。
# 開発メニューでリクエストのUAヘッダをIE7.0にするだけじゃ駄目なんだろうなぁ...
Best regards, でぃーすけ