2008年02月20日
Internet Explorer 7の自動更新が始まっています。
http://www.microsoft.com/japan/windows/products/winfamily/ie/au/default.mspx
USのサイトには、自動更新についての記述がない(2月20日現在)ところから推測するに、
マイクロソフトの日本市場への力の入れ具合というのがうかがわれます。
そんなIE7で、セキュリティに関する機能の目玉の一つがEV SSL(Extended Validation SSL)です。
EV SSLは、サービスが開始されて丁度一年くらいになりますが、現段階では普及は今一つのようです。
Netcraftのサーベイによると、SSLを利用しているサイトの0.5%にしかEV SSLが該当していないとか。
EV SSLとSSLの違いは、証明書発行のプロセスにあります。
(技術的には殆ど違い無く、これはEV SSLだという拡張フィールドが追加されているだけです)
EV SSLで検索すると、よく出てくる記述が「アドレスバーが緑色になる」という点です。
これは、ブラウザ側の実装の話であって、本来EV SSLとはあまり関係の無い話なのですが、
マーケティング的に、今までのSSLとは違うのですよと言いたいのでしょう。
また、フィッシング対策になるという記述も見受けられますが、間違っています。
EV SSLで対策できる事は通常のSSLでも十分に対策になりますし、一方で、Webサイトに
クロスサイトスクリプティングの脆弱性が存在する場合には、EV SSLでも対策になりません。
本質は、EV SSLは法人や公共団体などにしか発行することができない点にあります。
つまり「存在を十分に証明する資料」がない場合は、発行プロセスで弾かれるのです。
そうすることで、EV SSLを発行された組織は信用できるということになるのです。
これがどういう事をもたらすかと言うと、
今までのSSLでは取引をする相手に安全確実に情報が届くということが、
EV SSLでは取引をする相手は社会的に信用ができ、その相手に安全確実に情報が届く
ということをユーザが視覚的に確認することができるようになるのです。
ECなど、全く顔が見えない相手と初めて取引を行う場合などには有効ですが、
予め相手が信用できるという点が判かっている場合は、SSLで十分だという事になります。
これからはその点、使い分けがされて行くのではないでしょうか。
"EV SSLの誤解を解く"の詳細へ»
2008年02月18日
最近の話題では、Blu-ray DiskとHD DVDの規格競争が決着か?と騒がれていますね。
私個人としては、映画などはあまり見ない人なのでBDもHD DVDも縁遠いのですが、
業界の合従連衡を見ているとなかなか興味深いものがあります。
しかし、このAudioVisual市場でもBDが勝者とは言いがたいでしょう。
ヘビーユーザ向けニッチ市場はともかく、多数のライトユーザを巻き込むことができるのか?
その点が今後に掛かってくるはずです。
Youtubeやニコニコ動画など、もしくは正規のストリーミングサービスなども、
まだライトユーザを多数巻き込んでいるとも思えません。
そのすき間を普通のDVDが埋めている状況がしばらく続くのでは、と思います。
話は変わって、上記のHD DVDなどもそうなのですが、
私がよくものを考える上で行う事として、「そのものをITに置き換えて考える」ことがあります。
例えば、市場全体を「PC」として考えると、
制作会社などのコンテンツプロバイダはCPUに、
映像などコンテンツそのものはメモリ(バッファ)に、
提供するメディアはストレージに、
という具合です。上手いマッチングが必要ですが、
上手く行くとその後どうなるかを「PC」のオペレーションを通して容易に予想することができます。
物事の相関関係はよりシンプルな方に傾きやすく、ITはそれにうってつけだと思うのです。
エンジニアの方々は、身の回りの色々な事柄や問題をITに置き換えて考えてみましょう。
意外とすんなり解決策が見付かるかもしれません。
"エンジニアならではの考え方"の詳細へ»
2008年02月04日
今週、海の向こうではMicrosoftによるYahooに対する敵対的買収の話で盛り上がっていますが、
当ブログでは、その件は、一定の結果が出るまで様子見にしておきます。
買収が成功する・失敗するにしてもインターネットの勢力図が激変する可能性がありそうです。
勢力図が変わると、未来のテクノロジも変化すると考えられます。どうなるのでしょうね。
さて、先月末の31日に、Yahoo! JAPANがOpenIDに対応しました。
(本家、米Yahooは、ちょっと先に17日に対応)
今回は、その話です。
OpenIDは、SSO(Single Sign-On:シングルサインオン)的な認証をインターネット上で
実施しようとするための仕組み、仕様です。
SSOとは、数年前に流行ったので企業ユーザであれば知っている人も多いかと思いますが、
簡単に説明すれば、「一回のログインで複数のサービスを使うための仕組み」です。
OpenIDはSSO「的」なという所がミソで、実際の所はSSOとは違います。
OpenIDを使う場合、大きく分けて3つの関係があります。
一つが「End user」呼ばれる、OpenIDで認証しようとする人。
二つめが「Consumer」と呼ばれる、OpenIDを利用しているサービス。
三つめが「Identifier Provider(idP)」と呼ばれる、OpenIDの認証データを持つサービス。
今回、Yahooが提供するのは3番目です。
概要については、
「仕様から学ぶOpenIDのキホン(@IT)」がよくまとまっています。
http://www.atmarkit.co.jp/fsecurity/rensai/openid01/openid01.html
確かに、インターネット上でSSOが出来れば便利そうです。
一々サイト毎にIDとパスワードを作る必要がないですし、その管理もする必要がありません。
しかし、OpenIDには問題もあります。
ConsumerとEnd user間の信頼関係が無い
OpenIDで確認できることは、idP上のデータにEnd userのものがあるということだけです。
旧来からの「アカウント登録しに来た人がその後ログインする本人である」
(なぜならパスワードを知っているから)という前提が崩れます。
ConsumerとidP間の信頼関係が無い
OpenIDの仕様では基本的にあらゆるidPをEnd userが指定できます。それが不正なidPであっても。
これは、Consumer側が不正なidPを除外する、もしくは決まったidPのみ使用できる、とすれば
問題ありませんが、そうなると本来OpenIDの「どのサービスでも利用できる」というメリットが
薄れ、ともするとConsumerによって使えるidPが異なる、つまり複数のアカウントが必要、
したがって全然SSO的でない、ということになってしまいます。
idPとEnd userの信頼関係をConsumerが知る方法がない
通常、あるサービス上でアカウントを作成する段階では、入力必須項目などの確認項目があって、
それによってある程度の信頼性を確認することができます。
(たとえば電話番号など。場合によっては、謄本や印鑑、サインが必要な事もありますね。)
その信頼出来るか否か、という情報をConsumerは知る術がありません。
idPが個人情報をConsumerに送る事はできますが、それは認証の後です。
以上から、「認証(本人認証)」としては機能せず、
例えばオンラインバンクのような重要なサービス、
信頼できる人にしか使わせたくないサービスには使えません。
ただし、この点を割り切ってブログやSNSなど、
どうでもいいような(失礼)なサービスには使えそうです。
将来のバージョンでX509(電子証明書)等と連携するような、
信頼に値する仕様になれば、面白くなるかもしれません。
ただ、そうなるとPKIでいいじゃない?ということになりそうですが…(苦笑)
"OpenIDは認証として機能するか?"の詳細へ»
