FirefoxやMozillaなどにアドレス・バーや証明書の表示を偽装される脆弱性???

久しぶりにITネタ。

今日のITProに「FirefoxやMozillaなどにアドレス・バーや証明書の表示を偽装される脆弱性」という記事が出た。

とてもセンセーショナルな記事だが、内容をよく読むと、単に国際化ドメイン名で、全角半角を混ぜると、人間の見た目には他のドメインに見えるサイトにアクセスさせることが可能であると、そういうことだ。

例を見てみよう。https://www.pаypal.com/だが、これは、正当にpаypal.comというドメインを取ったものだ。サイトの証明書もpаypal.comでとっているので、ちゃんと機能する。まったく正当に動いているのだ。何もハッキングでもなんでもない。このことはあることを意味している。すなわち、URLと証明書の組み合わせでサイトの正当性を証明しようということはまったく無意味だということだ。なぜならば、証明書は、そのURLの持ち主が存在するということしか意味していないからだ。

しかし、なんですな。これを「脆弱性」として喧伝するITProは、本当にこの内容が分かっているんだろうか???

コメントを残す

メールアドレスが公開されることはありません。

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください