マジか。そこからか?
しかし最近では困ったことに、SSL証明書を実装している偽サイトも発生してきています……。SSL証明書の導入は安全なサイト運営のために必要不可欠なことですが、無条件に信頼してはいけない場合もあります(◎_◎;)
不適切なこと書いて「次回以降」じゃまずいだろ。とってもまずい。
上のサイトは初めて見たけど、このツイートで知った。まったくもってこの通り。
TLS(と現状のPKI)は通信の秘密を守るためのもので、相手が違法サイトでないか保証するためのものじゃないし。
— Kazuho Oku (@kazuho) 2022年7月28日
「違法サイトがHTTPS」というのは、オレオレ詐欺が(通信の秘密が保護される)電話でかかってくるのと同じ話
通信内容に関わらず秘密は保護される必要があるので、現状の仕組みは正しい。違法サイト追放とかやるなら、別の枠組でやってください、と。
— Kazuho Oku (@kazuho) 2022年7月28日
はてブでブックマークしようとしたらオレが最初だったので、ページビューが低そうなので良かったけど。サーバ証明書は今は簡単に取れるので、最初に https:// とか鍵マークとか見ても仕方ない。というか、ブラウザで開いちゃったら手遅れってこともありうる。
記事は2017年。しかも「次回以降」のリンクが無いので遡って探しちゃった。記事の下に関連記事があるけど、そこには次回のリンクが無いし右にもない。ツイート見ると連載終わってたw2年前じゃん。
運営会社も見た。ブログカードで見えると思うけど、認証セキュリティ製品を主要ビジネスとするソフトウェアベンダーらしい。
こんないい加減なものを放置すんなよ。ちなみにその次回は下記と同じようなことをやってる。これについては最後に今のお気持ちを書いた。
そもそもメールやSMSに書かれているリンクを気軽にクリック・タップするなクリック・タップ前に確認しろって話。
まず発信者を確認する。よーく見る。SMSなら割と簡単。リンク付きの大切なお知らせは携帯電話番号からこない。
一般人はSMSにメッセージを投げる方法は携帯電話契約しかないけど、詐欺的ではない組織からのメッセージはSMS送信サービスを使っている。上の例はKDDIだけどSMS送信サービスなら携帯電話番号ではない。
やっかいなのは宅配便関係。身に覚えがない配達物ならまだ警戒するかもしれないけど、なんかそろそろ届くなあって思ってる時はヤバい。でも、なんらかの正規の手段(発送元などとのやりとり、配達物の追跡機能、ポストに入っている不在配達票など)で知ることができる。タップせずに我慢する。
メールの場合、その企業のドメイン以外からメールを送ってくることは無い。
そういう意味ではaguseを使う手段は普通の人はやる必要が無い。まず我慢である。
以前はEV証明書だったらOKだったんだが、今はかつての信頼性が無い。クリックやタップしないというのが肝心。これ3年前だな。
まずは正規の発信者からかどうか、そこからだな。