2005年01月14日(金) これまでの01月14日 編集
■1
広島市曰く「警告は出ますがセキュリティ自体には問題ない」[http://takagi-hiromitsu.jp/diary/20050111.html#p01][セキュリティ]
Tweet
デタラメな証明書を使って運用している話。
よその自治体の事で、自分が使わなければ良いという話ではない。こういうデタラメを放置すると、ネット上にセキュアな社会を作ることがどんどん難しくなる。
背景には作り手側のセキュリティに関する意識の低さと「動けばOK」症候群の影響もあるだろう。
いっそのこと、レジストリを書き換える様な操作をしないと、無茶な証明書を使えない様にしてしまうと良いかも知れない。
いや、そうすると.regファイルを脳天気に配るサイトが急増しそうだ…
□ 高知県 電子申請・届出システム[http://www.pref.kochi.jp/~jyouhou/denshishinsei/]:
こっちもデタラメだ。
証明書がデタラメな上に、アドレスバーは出ない様にしてあるし、ごていねいに右クリックまで禁止してある。
調べてみると、ページの中身はnet-kochi.gr.jpという謎の任意団体
*1
のものになっている。
アクセスバーを隠すのは、運営者側のドメイン以外でサービスを動かす際に、違うドメイン名が表示されるのが嫌だから隠すというケースが多い。
これは堂々と委託関係を示すのが正しい姿だろう。「ウチが正式に委託しているのだから問題ない」という主張は通らなくなってきていると思う。プライバシーポリシーと矛盾しているケースも探せば出てくるかも知れない。
アドレスバーを隠した上に右クリックまで禁止してドメインを隠しているサイトは、明らかにフィッシング詐欺に弱くなる。
オンラインバンキングを行っている銀行にもこのスタイルが見受けられるが、フィッシング詐欺をやりやすくしている様なものである。
キャッシュカードと同じように、銀行には責任がないのだろうか。
*1: 高知県情報ネットワーク協議会という団体のドメインの様だけれども、この団体を高知県の代わりに信用して良いのかどうかを知る術はない。
