この仕様が分かりにくくて、注意書き入れようぜみたいなんが Firefish のイシューに上がってたな

RE: https://misskey.io/notes/9kg2dl4imw

rustc の下流安定版が出るくらいまで、Rust 世に広がってきたんだなあという謎の感動がある

このアカウントは、notestockで公開設定になっていません。

とりあえず昼休憩終わりにして、やることやりにいくか

ところで平日の真っ昼間から TL に投稿が流れてる人は、一体何をしてるんだ...? (僕は無職してます)

まあ、そのために今できることの一つが EV 証明書の啓蒙というのは分からなくはないが、あまりに効果が薄すぎる上に、間違った方向に啓蒙進むと逆にセキュリティの欠陥となりかねないしな

フィッシングサイトを区別する方法を提供して www のユーザを危険から保護するのがゴールで、それに対して効果が薄いと分かってる技術があるならその効果を運用と折り合いつけて高めることを考えるのが本来向くべき方向でそれこそがセキュリティだと個人的には思うんだが、CA/B は現状そっちの方向にあまり向いてない気がするというのが元々の話だった

でも、啓蒙でなんとかなると思ってる人ってセキュリティ界隈の人には結構いる。それはかれらがセキュリティが本業でそこにコストをかける意義を十分承知してるからだけど、他の人がリスクを十分理解しない可能性とそんなの覚えるコストかけるぐらいならリスクを取ることを無視している場合も結構目立つ。でもセキュリティ向上って本来そういう話じゃないよねと個人的に思う

EV は割と規格化されてるし、ちゃんと運用されればフィッシング防ぐ目的にはある程度効果見られるかもしれないが、少なくとも現状の Web 環境でなんらかの効果があるとは思えない。例えば僕は一応怪しいと思ったところは、証明書の issuer と organization 見るようにしてるが、一般的にそれを強要することはかなり難易度が高いと思うし、それにより絶大な効果があるわけでもない (これに関しては複数の調査報告がある)

EVの審査方法が規格化されたのは前進ではあると思うけど、問題なのはそれだけコストかけてなんらフィッシング防止に効果が見られないことで、EV証明書がうんぬん、DV証明書が云々以前に埋めるべきところがあると思うけどな

EV証明書使って今の Web 環境でフィッシングが防げる、防止になんらかの寄与をすると本気で思ってるんだろうか？

EV証明書を使った方がいい議論をしてる人の中に、本当にフィッシングサイトを一般人が見抜くための技術として何が必要かを議論してる人が少数なのが残念で、大体重要なとこに DV 証明書使わない方がいいみたいな議論しか見ないよな

早期型落ちトマホーク配備、きな臭くはあるが、今できることをやるとこうなる感はある

あらあら

また、その補完であるトマホークについても、米側と取得時期を早めるべく交渉しました。その結果、2026 年度及び2027 年度にブロックⅤを取得しつつ、ブロックⅤの一部をブロックⅣに変更することにより、当初予定より１年早く2025 年度からトマホークを取得することとしました。今後米国政府において議会承認の手続きがとられることとなります。