« 個人情報保護法 頭の体操 | Main | 安全なIT大国実現へ 研究室飛び出し政策提言 »

2004.12.16

3年前の高木さんの論文を今再び読んでみる

 皆さん、こんにちは。丸山満彦です。高木さんのブログが更新されています(12月15日)。ソニー銀行がフィッシング対策と思われる理由により入力画面にアドレスバーとステータスバーが表示されるようになっていたと報告しています。こういう動きが加速されていくとよいですね。ところで、高木さんの有名なクロスサイトスクリプティングの論文へリンクが張っています。久しぶりに読んでみることにしました・・・

 
 私がクロスサイトスクリプティングの問題を初めて知り、その時に勉強をした論文です(実は、この問題は2000年にCERT/CCから警告が出されているとこの論文では指摘している)。私は公認会計士というのが本職(のはず)で技術や法律についてはあまり深い知識がないので、いつも皆さんの論文や、ウェブ、本により勉強をさせてもらっています。それまで、クロスサイトスクリプティングの脆弱性など思いもよらなかったので、なるほどと関心したものです。

 この論文では、

1)開発技術者の問題として、
 ①クロスサイトスクリプティングの問題
を取り上げているが、それ以外にも重要な問題がある。

2)ユーザ・運営者の問題として取り上げてられている
 ②ルート証明書インストール強要問題
 ③なりすましに無警戒な銀行のログイン画面

である。
③はフィッシング詐欺につながる問題で、今、話題となっている。
今の流れからいうと、解決のスピードも上がっていきそうですね。

②については、まだあまり言われていないですね。証明書の問題はまだまだ認識されていないように思えますね。
1)SSLがあるからいいってものではない
2)証明書が本当に信頼できるのか
3)どこまで確認して証明書を発行しているのか
など、これから考えないといけない課題があると思います。

もう3年経っていた……。懐かしい。

まぁ、ぼちぼちですね。

|

« 個人情報保護法 頭の体操 | Main | 安全なIT大国実現へ 研究室飛び出し政策提言 »

Comments

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/2285825

Listed below are links to weblogs that reference 3年前の高木さんの論文を今再び読んでみる:

» いつ対応したんだ? [Soukaku's Hena-Choko Blog]
高木浩光@自宅の日記 - ソニー銀行がアドレスバーとステータスバーを出すようになっていた 他の金融機関がどうなっているか、今一度全部調べてみるとよいかもしれな... [Read More]

Tracked on 2004.12.16 at 19:39

« 個人情報保護法 頭の体操 | Main | 安全なIT大国実現へ 研究室飛び出し政策提言 »