EV SSL証明書(EV証明書)がどういうものかについて「銀行や有名企業などの特に社会的信用の高い組織しか取得できないもの」と誤解している人がいるようだ。たとえば、マイコミジャーナルのEV SSLの解説記事は、そういう誤解に基づいたものとしか思えない。
もし、オンラインショッピングに不安がある人でも、アドレスバーが緑色になるサイトなら大丈夫。安心して買い物をすることができます。
(略)
おもなWebブラウザのEV SSL対応状況
ブラウザ EV SSL対応状況 Internet Explorer 7 対応。アドレスバーの背景色が緑色に変わり、右端に認証局名が表示される。(略) Firefox 3 対応。アドレスバーの左側一部が緑色に変わり、認証局名が表示される Opera 9.5 対応。アドレスバーの右側一部が緑色に変わり、認証局名が表示される Safari 3.1 非対応。鍵マークのみ表示
もし将来、このSSLが、EV SSLに変更されたらどうなるだろうか。図3にそのときに表示されるはずの画面を空想で描いてみた。
そう、ドブログの運営者は「NTT DATA CORPORATION」なのだ。
ここで思い出したいのが、先月27日の日記に書いた地方銀行のインターネットバンキングの事例だ。
ようこそ www.example.com へ。 <img src="http://ad.doubleclick.com/ad2008070124524434.gif">典型的には、広告業者が提供している広告画像やFlashへの埋め込みリンクがそれに該当する。閲覧者は www.example.com を訪れただけであっても、自動的にWebブラウザが ad.doubleclick.com にもアクセスするようになっており、ad.doubleclick.com 発行のcookieを受け取り、送信することになる。 広告会社は、広告をより効果的に表示させるために、閲覧者ひとりひとりにID番号をふって、cookieとして閲覧者のブラウザに記憶させている。これにより、同じ人が広告を見た回数等をサーバ側でカウントすることができ、同じ人に何度も同じ広告を見せないようにするといった制御ができる。ここまでなら、閲覧者にとっても都合の悪くない話で、ほとんど問題にならない。 ところが、第三者cookieを用いると、さらに踏み込んだ広告制御ができるようになる。たとえば、もしある広告会社がシェアを独占し、どこのWebサイトに行ってもその広告会社の広告が埋め込まれているという状況になると、閲覧者は、どこのWebサイトを訪れても、その広告会社のサーバにアクセスすることになり、そのとき、広告会社が発行したID番号付きのcookieを送信することになるので、広告会社は、各IDの人ごとに、その人が何時何分にどのWebページを閲覧したかをすべて︵その広告会社の広告が出ているすべてのページについて︶把握できる状態になる。広告会社としては、閲覧者の嗜好に合った広告を表示するために、この仕組みを活用することができる。 そのIDが具体的に誰であるのかが判明しなければ、プライバシー上問題ないと主張する人もいるだろう。しかし、何らかの方法で、広告会社がそのIDの人が誰であるかを特定することができれば、過去にさかのぼって、実は誰だったということが全部判明してしまう。 実際に広告会社がそうしたことを行おうとしていたかは定かでないが、そうした懸念から、米国では2000年に、当時大きなシェアを占めつつあった広告会社のDoubleClick社に対して、消費者から集団訴訟を提訴される事態となった。その訴訟は、結局、DoubleClick社が、ネットでの閲覧情報とそれが誰であるかの情報をひも付けない︵消費者の許可がない限り︶ことを約束して、2002年に和解した。 ●米ダブルクリックがプライバシ侵害の集団訴訟で和解, , 日経IT Pro ニュース, 2002年4月1日 和解案の主な内容は以下の通り。 ︵略︶ ・DoubleClick社は、収集した個人情報と以前にWebサイトから取得したクリック・ストリームの情報を照合する際は、インターネット・ユーザーにその旨を明確に通知し、ユーザーの同意を得る。 また、EUでも、そのころからcookieを法律で規制する動きが始まり、現在では、EU加盟各国はcookie規制に関する立法措置が求められている。 ●EU、スパムとcookie規制で最終警告, ITmedia ニュース, 2004年4月2日 欧州委員会は、迷惑メール削減とcookie規制のためのEU法を、自国の法律に組み入れていない加盟国8カ国に、2カ月以内に対応するよう最終警告を出した。 一方、そのころ、技術的な対策もとられるようになった。Microsoft社は、Internet Explorer に、バージョン6から、P3P (Platform for Privacy Preferences)という仕組みを導入した。P3Pは、Webサイト運営者が、cookieをどのように使うかのプライバシポリシーを、ブラウザに対して機械的に自己申告できるようにする仕組みで、Internet Explorer 6 では、P3P宣言のない第三者cookieは、デフォルトで拒否する設定になった︵図2︶。第三者cookieの全部を拒否するのではなしに、P3Pポリシーで区別するようにしたというのは、広告業界の既存のビジネスを妨害することなく、利用者のプライバシーも確保したいという、妥協の産物だったのだろう。
1回目 | 2回目 | |
---|---|---|
emb | EM119-72-20-XXX.pool.e-mobile.ne.jp | EM60-254-240-XX.pool.e-mobile.ne.jp |
EMnet プロキシあり | EM117-55-1-236.emobile.ad.jp | EM117-55-1-231.emobile.ad.jp |
EMnet プロキシなし | eM60-254-209-99.emobile.ad.jp | eM60-254-209-99.emobile.ad.jp |
<form action="./" method="POST" utn>
my $url = 'http://www.nttdocomo.co.jp/service/imode/make/content/ip/about/'; my $content = get($url); while ($content =~ m!<FONT COLOR="\#009900"><B>(.*?)</B></FONT>!g) {︵中略︶本当はcronでACLを更新とかやりたいよなぁ・・・ ︵中略︶CPANにアップされたようです。 データを取りにいっているURLは http:// なので、DNSがやられたらイチコロだ。*1 携帯電話会社は、﹁IPアドレス帯域﹂と称するものを早急に https:// ページでも見られるようにするべきである。 そういうことは、ケータイWebで生計を立てている者達が、キャリアに要求するべきことだ。 だが、どうもケータイWebのサイト運営者たちは、どういう遠慮があるのか知らないが、キャリア様には何ひとつ要求できないらしい。﹁IPアドレス帯域﹂の表はHTMLで提供されているわけで、これがXMLでデータ化されるなり、Web APIで提供されるようになれば、業界は皆ハッピーに違いないが、それが実現されていない。WASForumでも愚痴が漏れていたが、小さな声で愚痴をこぼす程度で、誰もキャリア様を批判したりはしない。 こんな状況で事故が起きたら、キャリアに損害賠償請求したらいいと思う。https:// で提供するのが当然なのに、それを怠っていたのが原因と主張することはできるだろう。
(2) iモード対応サイト提供者様のビジネスの発展
お客様の利便性向上により、iモード対応サイト利用率の向上につながります。
*1 SSLを使用していないケータイサイトにおいては、「DNSが原因のリスクは元々あるじゃないか」と言う人がいるかもしれない。しかし、それは、キャリアのゲートウェイが参照するDNSがやられたときの話で、さすがにそれはそれなりに対策がとられていて安全であると思いたいし、仮にそれが起きても、偽サイトに誘導されるだけで、契約者固有IDを用いたなりすましログインをされてしまうわけではない。それと比べて、Webサイト側のDNSがやられて、IPアドレス制限用のIPアドレス帯域を誤って設定してしまったときの危険は、一気に全部抜き出されてしまうという点で深刻である。
*2 NTTドコモの立場からすれば、「iモードIDの目的」に「簡単ログイン」のことを持ち出したのは失敗だったと思う。本来はそれを言うべきでなかった。しかし、iモードIDを導入するにあたり、顧客に告知しなければならないとなると、何の目的の機能か説明しなくてはならなくなる。ここで正直に「広告で行動分析します」「悪質ユーザの排斥に使います」とは言えなかったのだろう。汚いことは見せないようにして、あくまでも「お客様利便性の向上」と美辞を連ねて説明せざるを得ないというのは、営利企業ゆえのしかたのないことなのだろうか。
*3 「解除」という表現が、いかにも契約者固有IDを用いた制御方式を想起させる。
しかし、この(128ビットある)の下位半分の64ビット(インタフェースID)は、私のMACアドレスから機械的に生成されている。(日経ネットワークの記事「シスコ資格:CCNPへの道(BSCI編) IPv6編<第1回> IPv6アドレスを知る」など参照。)
「21f:5bff:fed1:ecbd」は、「02 1f 5b ff fe d1 ec bd」のことで、私のMACアドレスの上位24ビット「00 1f 5b」と下位24ビットの「d1 ec bd」の間に固定の値「ff fe」が挿入され、上から7ビット目が反転されて(00 が 02になっている)生成されている(図3)。
sudo sysctl -w net.inet6.ip6.use_tempaddr=1これを設定して、無線LAN︵Macでは﹁AirMac﹂と呼ばれる︶を一旦﹁切﹂にした後﹁入﹂にすると、一時アドレスが使えるようになる。
sysctl net.inet6.ip6.use_tempaddrMac OS Xで、起動時から﹁use_tempaddr=1﹂の設定となるようにしたいのだが、どうするのがよいだろうか。詳しい方の解説を待ちたい。 設定がよくわからない人には、IPv6を﹁切﹂に設定することをお勧めする。図6のところで﹁切﹂に設定できる。
sudo sysctl -w net.inet6.ip6.temppltime=秒数で、アドレスを変更するタイミングを設定することができるようだ。