2008年05月17日
セキュリティーの話が出たんでついでに。
SLのフィッシング詐欺で実害が報告されているのは、公式サイトでも取り上げられていますが、ここで、最近ホントに耳にする電子証明書についてちょっとわかりやすくお話ししましょう。
なんでそもそも通信が安全ではないんだろう?そう思いますよね?
簡単な話、インターネットで一番目にするのはHTTP。つまりウェブです。
銀行だろうと、オークションサイトだろうと、ウェブメールだろうとそこには必ずウェブページが存在します。HTTPというのは、WEBページを通信するための信号のようなもの。ところがですね、このHTTPを使って送信するHTMLで書かれたウェブは別にブラウザでなくても、普通のワープロソフトでも読むことは可能です。ただの文章に近く、LSLの様にバイトコードに変換されてるわけでもありません。
ブラウザからページのソースを表示すれば、こうした直接ユーザーが書いてる内容以外は、ウェブページに書かれてある内容は丸見えです。
HTMLは立派なプログラム言語ですが、一番問題なのは書いてある内容を解読が容易だということ。これは改ざんもラクに行えることを意味します。それがパスワード入力画面で合っても・・。
例えば銀行のサイトで口座にいくらあるのか確かめたくて、ログインしようとしますよね。トップページから”ログイン”のボタンをクリックして次に開くページが「銀行ではなく第三者が偽装した偽のページ」だったとしても、普通のユーザーがそれを確かめる手段は、そう多くはありません。
今のところFlashで作られたサイト以外で、こうしたコードを隠す手段はありません。(HTML自体を暗号化するソフトも海外にあります。ただし普及してません。)
そこで、そのページやそのサイトを安全ですよと何かで証明できれば・・・そうなるわけです。
それが電子署名や証明書と呼ばれるものです。
具体的な仕組みをわかりやすく解説しますと、次のような事を書かれた紙切れをあなたが友達から渡されたとします。
「13.715.249は2つの数字をかけたものだよ。2つの数字がわかったら、君とは話すよ」
まあ普通わかりませんよね。実はこれは2.389と5.741をかけた合計なんですが、このように答えからではその前の処理を推測することが出来ない状態になってる事を利用し、「それは2.389と5.741だね。ボクは2.389をその問題を作った人から教えてもらったんだぁー^^」これで会話が成立。ヨカッタ。
元の2つの数字のどちらかを会社名と合わせて第三者機関がキチンと管理し、もう一つはユーザーに持ってもらってHTTPと共に一方が、管理されてる証明を相手に送り、2つをかけた数字の答えになっているときだけ「これはA社のウェブページに間違いないよ」と確信できる・・。
こういうのを難しい言葉を使うと公開鍵方式というんですが、上記のようなやり取りを行うシステムこそSSL通信と呼ばれる方法なのです。よくアドレスバーが黄色くなってる例の”アレ”です。
この第三者機関にあたるのがCAという認証局。前回書いたベリサインなどがそうです。
証明書を発行してもらうと、確実に信用できますということでそのウェブページは信頼が置けるということになりますが、その代わり審査基準もまた厳しく、手続きして証明書の発行をもらうには、時間もお金もかかります。
この認証局には階層がありまして、一番エライのがルート認証局といって既にウィンドウズなどのインターネット・エクスプローラーなどのブラウザには既に登録されています。
肝心なのはこの証明書はルート認証局の”子分”でも構わないのですが、絶対条件なのは「ルート認証局が認めた子分の認証局」でないとダメ!!ということ。それ以外は「意味ありません」
嘘つきから「正しいページですよ」といわれて「ああそうですか、それじゃ安心」ってアホですよね。
こうでもしないと、自分の書いたものを証明できないので、「へタスりゃいつでも信用を失うのがインターネット」・・うーん。怖いですねぇ。
リンデンのサイトを見ると、パスワードを入力する画面は必ずSSLになってますが、気がつきませんよね?それはチャンとブラウザに登録されてるルート認証局かその下の子分認証局から証明書を頂いてるからで、逆にそうじゃない場合、つまりいわゆる「ナンチャッテ認証局」の場合、IEでは厳しく警告されます。
「キサマなんぞはシラネー輩だな。てことで見るならそれなりに覚悟しろヨ」といわんばかり^^;
またSSL通信で確立されたページを移動すると「安全なページから去ろうとしています。移動しますか?」という確認の警告がでますので、認証を行う前と認証を行うページをSSLで守れば効率的というわけです。
SSLは暗号化技術だから安心とかいってる”ヌルイ”方がいますが、CAを通さないSSLはなんの意味もありません。(フィッシングサイトじゃないっていう証明は出来ない)今はどうか知りませんが、この「ナンチャッテ認証局」、一時期地方自治体で流行ってたらしく、しかも「国」が推奨してたとか・・・・・。
IT立国ねぇ・・・・・・
なんでそもそも通信が安全ではないんだろう?そう思いますよね?
簡単な話、インターネットで一番目にするのはHTTP。つまりウェブです。
銀行だろうと、オークションサイトだろうと、ウェブメールだろうとそこには必ずウェブページが存在します。HTTPというのは、WEBページを通信するための信号のようなもの。ところがですね、このHTTPを使って送信するHTMLで書かれたウェブは別にブラウザでなくても、普通のワープロソフトでも読むことは可能です。ただの文章に近く、LSLの様にバイトコードに変換されてるわけでもありません。
ブラウザからページのソースを表示すれば、こうした直接ユーザーが書いてる内容以外は、ウェブページに書かれてある内容は丸見えです。
HTMLは立派なプログラム言語ですが、一番問題なのは書いてある内容を解読が容易だということ。これは改ざんもラクに行えることを意味します。それがパスワード入力画面で合っても・・。
例えば銀行のサイトで口座にいくらあるのか確かめたくて、ログインしようとしますよね。トップページから”ログイン”のボタンをクリックして次に開くページが「銀行ではなく第三者が偽装した偽のページ」だったとしても、普通のユーザーがそれを確かめる手段は、そう多くはありません。
今のところFlashで作られたサイト以外で、こうしたコードを隠す手段はありません。(HTML自体を暗号化するソフトも海外にあります。ただし普及してません。)
そこで、そのページやそのサイトを安全ですよと何かで証明できれば・・・そうなるわけです。
それが電子署名や証明書と呼ばれるものです。
具体的な仕組みをわかりやすく解説しますと、次のような事を書かれた紙切れをあなたが友達から渡されたとします。
「13.715.249は2つの数字をかけたものだよ。2つの数字がわかったら、君とは話すよ」
まあ普通わかりませんよね。実はこれは2.389と5.741をかけた合計なんですが、このように答えからではその前の処理を推測することが出来ない状態になってる事を利用し、「それは2.389と5.741だね。ボクは2.389をその問題を作った人から教えてもらったんだぁー^^」これで会話が成立。ヨカッタ。
元の2つの数字のどちらかを会社名と合わせて第三者機関がキチンと管理し、もう一つはユーザーに持ってもらってHTTPと共に一方が、管理されてる証明を相手に送り、2つをかけた数字の答えになっているときだけ「これはA社のウェブページに間違いないよ」と確信できる・・。
こういうのを難しい言葉を使うと公開鍵方式というんですが、上記のようなやり取りを行うシステムこそSSL通信と呼ばれる方法なのです。よくアドレスバーが黄色くなってる例の”アレ”です。
この第三者機関にあたるのがCAという認証局。前回書いたベリサインなどがそうです。
証明書を発行してもらうと、確実に信用できますということでそのウェブページは信頼が置けるということになりますが、その代わり審査基準もまた厳しく、手続きして証明書の発行をもらうには、時間もお金もかかります。
この認証局には階層がありまして、一番エライのがルート認証局といって既にウィンドウズなどのインターネット・エクスプローラーなどのブラウザには既に登録されています。
肝心なのはこの証明書はルート認証局の”子分”でも構わないのですが、絶対条件なのは「ルート認証局が認めた子分の認証局」でないとダメ!!ということ。それ以外は「意味ありません」
嘘つきから「正しいページですよ」といわれて「ああそうですか、それじゃ安心」ってアホですよね。
こうでもしないと、自分の書いたものを証明できないので、「へタスりゃいつでも信用を失うのがインターネット」・・うーん。怖いですねぇ。
リンデンのサイトを見ると、パスワードを入力する画面は必ずSSLになってますが、気がつきませんよね?それはチャンとブラウザに登録されてるルート認証局かその下の子分認証局から証明書を頂いてるからで、逆にそうじゃない場合、つまりいわゆる「ナンチャッテ認証局」の場合、IEでは厳しく警告されます。
「キサマなんぞはシラネー輩だな。てことで見るならそれなりに覚悟しろヨ」といわんばかり^^;
またSSL通信で確立されたページを移動すると「安全なページから去ろうとしています。移動しますか?」という確認の警告がでますので、認証を行う前と認証を行うページをSSLで守れば効率的というわけです。
SSLは暗号化技術だから安心とかいってる”ヌルイ”方がいますが、CAを通さないSSLはなんの意味もありません。(フィッシングサイトじゃないっていう証明は出来ない)今はどうか知りませんが、この「ナンチャッテ認証局」、一時期地方自治体で流行ってたらしく、しかも「国」が推奨してたとか・・・・・。
IT立国ねぇ・・・・・・
タグ :技術情報
2008年05月17日
SLでもフィッシング詐欺横行中。
公式ブログの方でアナウンスされてましたが、SLでもやはりフィッシング詐欺が横行しているようです。
手口は単純。例えばキャンプやショッピングなどでグループにはいることを要求されたりしますよね?
で、そこから「L$をもらうにはサイトにアクセス」とかなるわけ。もしくはあなたのアバター宛にメールをIN・ワールドからだします。そこで、サイトにアクセスすると「アバター名とパスワードを入力しなさい」となるわけ。
メールとサイトを介す点ではドイツもコイツも同じ。
私もこのブログで散々ビュワーを変えてINしてますが、唯一どこかの会社の息のかかったビュワーは使いません。(何をどういじってるかわかりませんし。)使うのはほとんどがオープンソースとなってるもので、不正なコードがあれば何時でもリンデンに証拠として提示できるものを使ってます。
フィッシングというのは巧妙で、2重3重の罠がありますので、”騙されていると途中まで気付かない”事が大半。だからハタから見ると「ばかだなぁ・・あんなのに引っかかって・・」とかいわれるわけです。
サイトを使って「登録ちまちゅた。6まんえんくだちゃい」程度の馬鹿クソゲロフィッシングサイトなら、バッファオーバー・フローとかしてROOT奪取しメモリー逝かせたところで、「不正がばれることが怖いので警察には行かない」程度で懲らしめられますが、手が込んでると騙された本人がどういうルートでそうなったかをキチンとトレースできないことが多いのです。
IMで他人にパスワードを教えるとか論外ですが、イン・ワールド内でメールをもらうと、ちょっと鵜呑みにしてしまう傾向は否定できません。わたしは定期的にパスワードの変更をしますので、結構いつも気にしてますが、慣れてくるとちょっとアチコチで色々とありますね~。
日本のSIMだから安心とは言えないと思います。というか日本は「オレオレ詐欺天国」でしょ?
わたしはネットは自己責任の世界だと思ってます。
SSLという暗号技術があって、近頃は自宅の通信でも使ってる人が増えてきました。よくサイトの下にこのようなマークがあるでしょう?
これは以下のサイトが提供してる、暗号通信を保証する証明書発行する以下の会社が提供しています。
日本ベリサイン
http://www.verisign.co.jp/
しかしこの技術も、結局必ずしも安全ではありません。
以下人力検索はてなより抜粋。
http://q.hatena.ne.jp/mobile/1201007218
================================================
SSL通信を使用していてもクレジット番号の入力などの重大な個人情報を求められた際には本当に必要でそれ以外の手段がない場合に限るほうが良いと思います。
SSL通信を使用しているからそのwebサイトで入力した情報は絶対に安全だと言い切ることは出来ないからです、確かにSSLは転送中のデータをほぼ確実に悪意ある第三者から保護します、しかしながら本当のところデータが危険にさらされているのはデータが止まっている時(貴方が情報を入力しているときや企業が貴方のデータを保管しているとき)です。
例えば貴方のパソコンが悪質なキーロガー系の情報流出ウイルスに感染している場合、企業の情報の技術的な管理が甘く情報が悪意ある第三者の手に渡ってしまった場合SSLは貴方の情報を守ってはくれません。
貴方のPCは安全ですか?情報を送る先の企業はデータの管理に関して十分信頼できますか?もう一度良く考えて慎重にデータを入力してください。
===============================================
SSLには「自前で勝手に認証局つくって、証明書を発行したように見せかける」なんちゃって認証局通称”オレオレ証明書”なるものがあります。
以下に詳しいです。
http://blog.koss.jp/diary_200501/1/article_147.html
ここもキチンと警告をしています。
http://mgw.hatena.ne.jp/?http://takagi-hiromitsu.jp/diary/20071125.html#p01
「ん?ええのか?これ?」という気持ちは持ってないといけませんね。^^
手口は単純。例えばキャンプやショッピングなどでグループにはいることを要求されたりしますよね?
で、そこから「L$をもらうにはサイトにアクセス」とかなるわけ。もしくはあなたのアバター宛にメールをIN・ワールドからだします。そこで、サイトにアクセスすると「アバター名とパスワードを入力しなさい」となるわけ。
メールとサイトを介す点ではドイツもコイツも同じ。
私もこのブログで散々ビュワーを変えてINしてますが、唯一どこかの会社の息のかかったビュワーは使いません。(何をどういじってるかわかりませんし。)使うのはほとんどがオープンソースとなってるもので、不正なコードがあれば何時でもリンデンに証拠として提示できるものを使ってます。
フィッシングというのは巧妙で、2重3重の罠がありますので、”騙されていると途中まで気付かない”事が大半。だからハタから見ると「ばかだなぁ・・あんなのに引っかかって・・」とかいわれるわけです。
サイトを使って「登録ちまちゅた。6まんえんくだちゃい」程度の馬鹿クソゲロフィッシングサイトなら、バッファオーバー・フローとかしてROOT奪取しメモリー逝かせたところで、「不正がばれることが怖いので警察には行かない」程度で懲らしめられますが、手が込んでると騙された本人がどういうルートでそうなったかをキチンとトレースできないことが多いのです。
IMで他人にパスワードを教えるとか論外ですが、イン・ワールド内でメールをもらうと、ちょっと鵜呑みにしてしまう傾向は否定できません。わたしは定期的にパスワードの変更をしますので、結構いつも気にしてますが、慣れてくるとちょっとアチコチで色々とありますね~。
日本のSIMだから安心とは言えないと思います。というか日本は「オレオレ詐欺天国」でしょ?
わたしはネットは自己責任の世界だと思ってます。
SSLという暗号技術があって、近頃は自宅の通信でも使ってる人が増えてきました。よくサイトの下にこのようなマークがあるでしょう?
これは以下のサイトが提供してる、暗号通信を保証する証明書発行する以下の会社が提供しています。
日本ベリサイン
http://www.verisign.co.jp/
しかしこの技術も、結局必ずしも安全ではありません。
以下人力検索はてなより抜粋。
http://q.hatena.ne.jp/mobile/1201007218
================================================
SSL通信を使用していてもクレジット番号の入力などの重大な個人情報を求められた際には本当に必要でそれ以外の手段がない場合に限るほうが良いと思います。
SSL通信を使用しているからそのwebサイトで入力した情報は絶対に安全だと言い切ることは出来ないからです、確かにSSLは転送中のデータをほぼ確実に悪意ある第三者から保護します、しかしながら本当のところデータが危険にさらされているのはデータが止まっている時(貴方が情報を入力しているときや企業が貴方のデータを保管しているとき)です。
例えば貴方のパソコンが悪質なキーロガー系の情報流出ウイルスに感染している場合、企業の情報の技術的な管理が甘く情報が悪意ある第三者の手に渡ってしまった場合SSLは貴方の情報を守ってはくれません。
貴方のPCは安全ですか?情報を送る先の企業はデータの管理に関して十分信頼できますか?もう一度良く考えて慎重にデータを入力してください。
===============================================
SSLには「自前で勝手に認証局つくって、証明書を発行したように見せかける」なんちゃって認証局通称”オレオレ証明書”なるものがあります。
以下に詳しいです。
http://blog.koss.jp/diary_200501/1/article_147.html
ここもキチンと警告をしています。
http://mgw.hatena.ne.jp/?http://takagi-hiromitsu.jp/diary/20071125.html#p01
「ん?ええのか?これ?」という気持ちは持ってないといけませんね。^^
2008年05月17日
さて今回の再起動は無事終了したそうです。
まあ、大した混乱もなくサーバーの再起動は完了したようでなにより。
色々とサイト巡回をしていると、海外には日本以上になんというか面白いものを考える人がいるもので、
たとえば以下のサイトは、既に出来上がった3Dテクスチャーをパッケージングして、アバターやシェイプ、ファニチャーなどをセットでネット販売というユニークなことをしています。
http://www.turbosquid.com/
世の中にはホント色々な商売がありますねぇ。^^
で、またまたまたビュワーのお話し。^^;恐縮デース^^;;;
今回はDale's SL viewerというもの。
http://sl.daleglass.net/
ボイスチャットに特化したビュワーなんですが、面白いのはリンデンのビュワーを少しいじったものってのが多い中で、このビュワーは1.18をベースにしながら、インストーラー、そして数々の.xmlファイルをいじくりまくった私製ビュワーです。ただ既存の正式ビュワーのフォルダの中に追加でインストールするようで、しかもキチンとアンインストーラーもつけてくれていますので、安心。
まずログオン画面からして、私製ビュワーであることがよくわかります。
ログオンして最初に感じたのは、今のCandidateRC6がいかに改良を加えられてきたかを実感出来ます。とにかくスゴク動作が重い。^^;それと1.19では削除されてしまったファイルもあるらしく、インストール最中何度も「ファイルがない」といった警告がでました。
まあSLはデーターはすべてリンデンのサーバーにありますから、ビュワーが調子悪くても心配は要らないんですが、当時の1.18ビュワーの出来が余りに悪く、そのため個人的に改良に踏み切ったビュワーということでしょう。
検索は当然ベーター版を所得するわけにもいかないので、以下のように無味乾燥な佇まい^^;
ただ感心したのは、下のボタンにイベントログウィンドウのボタンがあること。これはCandidateにもありませんでしたねぇ。
あと意味がよくわかりませんが、以下のような近所にいる人のアバターをひょっとして表示してんのか?ってなダイヤログを出すボタンもあります。
SLみたいにPCに詳しい人だけではなく、様々な人が参加するこうした取り組みでは、それに使うソフトのインターフェイスはあまり機能が多くても、また少なすぎても使いこなせません。
そう考えるとこうしたソフトウェアは以下にチームワークが大切で、繰り返し試験をし、ユーザーからのフィードバックが重要なんだなと思いました。
リンデンが優れていると感じるのは、どこからでもバグ報告やサポートをうけたり、あるいはブログで発言する機会や、場合によってはスタッフとイン・ワールドで会ったりと、とにかくサービスが一方方向ではないということ。窓口が極めて多いのが特徴です。
いいも悪いもひっくるめて、ユーザーからの意見には、少なくともどこかのクローズドOS/ソフトメーカーよりは耳をかします。
なんか来週にはRC7がでるとか、一部で噂されていますが、まあ一応デマとしてみた方が良いかも^^;
(情報あげてる人が、バグ報告の中の意見を元に書いてたしなぁ・・。)リンデンはRC4を出した時点で6週間ほど後になって、正式版をリリースするだろうって確かアナウンスしてたし。
遅ければ7月頃になるかも知れないし。
でもまあCandidateはまだバグが上がってるし、もう一度バージョンアップするのは確実。
RC6は結構よくなったと思うなぁ・・^^。
色々とサイト巡回をしていると、海外には日本以上になんというか面白いものを考える人がいるもので、
たとえば以下のサイトは、既に出来上がった3Dテクスチャーをパッケージングして、アバターやシェイプ、ファニチャーなどをセットでネット販売というユニークなことをしています。
http://www.turbosquid.com/
世の中にはホント色々な商売がありますねぇ。^^
で、またまたまたビュワーのお話し。^^;恐縮デース^^;;;
今回はDale's SL viewerというもの。
http://sl.daleglass.net/
ボイスチャットに特化したビュワーなんですが、面白いのはリンデンのビュワーを少しいじったものってのが多い中で、このビュワーは1.18をベースにしながら、インストーラー、そして数々の.xmlファイルをいじくりまくった私製ビュワーです。ただ既存の正式ビュワーのフォルダの中に追加でインストールするようで、しかもキチンとアンインストーラーもつけてくれていますので、安心。
まずログオン画面からして、私製ビュワーであることがよくわかります。
ログオンして最初に感じたのは、今のCandidateRC6がいかに改良を加えられてきたかを実感出来ます。とにかくスゴク動作が重い。^^;それと1.19では削除されてしまったファイルもあるらしく、インストール最中何度も「ファイルがない」といった警告がでました。
まあSLはデーターはすべてリンデンのサーバーにありますから、ビュワーが調子悪くても心配は要らないんですが、当時の1.18ビュワーの出来が余りに悪く、そのため個人的に改良に踏み切ったビュワーということでしょう。
検索は当然ベーター版を所得するわけにもいかないので、以下のように無味乾燥な佇まい^^;
ただ感心したのは、下のボタンにイベントログウィンドウのボタンがあること。これはCandidateにもありませんでしたねぇ。
あと意味がよくわかりませんが、以下のような近所にいる人のアバターをひょっとして表示してんのか?ってなダイヤログを出すボタンもあります。
SLみたいにPCに詳しい人だけではなく、様々な人が参加するこうした取り組みでは、それに使うソフトのインターフェイスはあまり機能が多くても、また少なすぎても使いこなせません。
そう考えるとこうしたソフトウェアは以下にチームワークが大切で、繰り返し試験をし、ユーザーからのフィードバックが重要なんだなと思いました。
リンデンが優れていると感じるのは、どこからでもバグ報告やサポートをうけたり、あるいはブログで発言する機会や、場合によってはスタッフとイン・ワールドで会ったりと、とにかくサービスが一方方向ではないということ。窓口が極めて多いのが特徴です。
いいも悪いもひっくるめて、ユーザーからの意見には、少なくともどこかのクローズドOS/ソフトメーカーよりは耳をかします。
なんか来週にはRC7がでるとか、一部で噂されていますが、まあ一応デマとしてみた方が良いかも^^;
(情報あげてる人が、バグ報告の中の意見を元に書いてたしなぁ・・。)リンデンはRC4を出した時点で6週間ほど後になって、正式版をリリースするだろうって確かアナウンスしてたし。
遅ければ7月頃になるかも知れないし。
でもまあCandidateはまだバグが上がってるし、もう一度バージョンアップするのは確実。
RC6は結構よくなったと思うなぁ・・^^。
