CNET Japan - IEに新たなバグ -- 偽サイトが本物に見える恐れあり
URLを偽装できてしまうバグ。
本物そっくりのECサイトをつくって、カード番号を盗むとか、古典的な詐欺ですな。この前も米Sony Styleが真似されてたとかってのがあったけど。
URLを偽装されても、サーバ証明書は偽装できんだろう。そもそもアドレスバーのURLなんてものを信じるのが当たり前ってのがまずい。カード情報やプロフィールの入力のときには、サーバ証明書を確認すればいい。サーバ証明書を取得していないなら、危ない情報は入力しないことだ。(サーバ証明書まで偽装されたら、どうしようもないけど)
最近は、OEMや提携があちこちで行われているため、そおもそもURLとサイト内容が一致していないことも多かったりする。
サーバ証明書とSSLを同じものと勘違いしている人が多いけれど、SSLがかかっているからといって安心なわけではない。SSLは証明書がなくても自己証明でかけることができるからだ。(警告はでるけれど、それが初心者に理解できるかどうか)
結局のところ重要なのは、どこかにそのサービス、サーバの運営主体を証明してもらえているかどうかのほうが重要なことは言うまでもない。
そして、これからのネットリテラシーとして最低限必要なのは、Webのサービスの利用にあたっては、証明書をきちんと確認する、という習慣じゃないだろうか?