アカウント名:
パスワード:
使うから https については関係がないという認識。実験としては興味深いが、これで何かアクションを起こすようなものはあるでしょうか。
>今回観測できたアクセスには文字入力ミスによるものも含まれており、>その多さにも驚いたという。って、ちゃんと書いてあった。
証明書をチェックする人はほとんどいないから問題になるという認識。
その辺面倒だからNTPで実験したというのはあるだろうけど、じゃあ証明書のCN確認したり、証明書のピン留めしてんのか? と言われればしてないでしょ実際理論上はHTTPSでも有効だと思うよ
それだと、理論上でなくて事実上だな
「証明書を使うからhttpsについては関係がない」ってのが、証明書では防げないって意味ならあってるがそういう文脈には読めんな私には、証明書があるから大丈夫、と思ってる様に読める
whndows.comの証明書取って突っ込んどけは、何の問題もなくアクセスできるしね。クロスサイトの制限に引っかかってブラウザで弾かれることのほうが多い気がする。
これはビット化けを狙った話やろビット化けがそう都合よく起こるか?証明書やり取りしてたらエラーになると思うからhttps、っていうかtcpの時点でもう無理(ある意味大丈夫)でしょNTPパケットがUDPだからできるんであって
もちろんtypoの場合は別だけど
UDPでもチェックサムで弾かれると思うんだけど、チェックサムも偶然合ってしまうってこと?
WindowsのNTPクライアントはそんなオプション設定してない(一応指摘)。
これはネットワークに流れる前にPC内のメモリエラーで誤った内容で正常なパケットが作成されるパターンですね。TCP,UDP どちらもチェックサムがあるので、1ビット誤りなら破棄されるので。
過去には JVM のような仮想マシンのセキュリティを突破する方法としてメモリのソフトエラーを利用するという研究がされていて、実際に現象が起きています。https://www.cs.princeton.edu/~appel/papers/memerr.pdf [princeton.edu]
ビット化けはビット化けでもメモリ上の参照先がwhndows.comになるって話実質的に単にwhndows.comにアクセスしてんだから証明書のエラーもTCPのエラーも起こらん
サーバーがちゃんとしたwindows.comの証明書使ってなかったら警告されるだろ
> サーバーがちゃんとしたwindows.comの証明書使ってなかったら警告されるだろだからwindows.comにはアクセスしてねーんだよ他のコメントでもさんざんツッコまれてるだろお前のパソコンはwhndows.comにアクセスしてんのwhndows.comでwindows.comの証明書を使ってたら逆に警告が出るわ、FQDNが違うんだから
都合良く起こる、ではなく大量のエラーパターンの中には都合のいいものもある、って事騙されるやつおらんだろ、って詐欺でも安いコストで大量の人間に届けば成立するのと同じ
>>今回観測できたアクセスには文字入力ミスによるものも含まれており、>>その多さにも驚いたという。>って、ちゃんと書いてあった。
> ビット反転の影響を受けたトラフィックをもっとも多く観測した
全体をちゃんと読んでな
どのタイミングで壊れるかに依るな。
・DNSリゾルバ内でbitflip→不正なウェブサイトととしてブラウザに蹴られる・ブラウザ内でbitflip→ブラウザ内のどのタイミングで起こったかにも依るけど正常なアクセスとして通る場合もありそう・ブラウザに渡す前に壊れ→ブラウザは単なるそこへのアクセスとして扱う。そのドメインに対する正しい証明書まで用意されてたら正常なアクセスと見なされる
アップデートの自動更新機能が付いているようなアプリだと、内蔵ライブラリなりOS標準のコンポーネントに付いてるAPIなりでhttps経由でアップデートをダ
DNSやNTPは今のところセキュアではないので。DoHなどが普及すればまた違うのかもしれんがそれにネットワーク層へ到達する前にメモリ上で化けたらどうにもならん
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
証明書 (スコア:1)
使うから https については関係がないという認識。
実験としては興味深いが、これで何かアクションを起こすようなものはあるでしょうか。
>今回観測できたアクセスには文字入力ミスによるものも含まれており、
>その多さにも驚いたという。
って、ちゃんと書いてあった。
Re:証明書 (スコア:1)
証明書をチェックする人はほとんどいないから問題になるという認識。
Re: (スコア:0)
その辺面倒だからNTPで実験したというのはあるだろうけど、じゃあ証明書のCN確認したり、証明書のピン留めしてんのか? と言われればしてないでしょ実際
理論上はHTTPSでも有効だと思うよ
Re: (スコア:0)
それだと、理論上でなくて事実上だな
Re: (スコア:0)
「証明書を使うからhttpsについては関係がない」ってのが、証明書では防げないって意味ならあってるがそういう文脈には読めんな
私には、証明書があるから大丈夫、と思ってる様に読める
Re: (スコア:0)
whndows.comの証明書取って突っ込んどけは、何の問題もなくアクセスできるしね。
クロスサイトの制限に引っかかってブラウザで弾かれることのほうが多い気がする。
Re: (スコア:0)
これはビット化けを狙った話やろ
ビット化けがそう都合よく起こるか?
証明書やり取りしてたらエラーになると思うからhttps、っていうかtcpの時点でもう無理(ある意味大丈夫)でしょ
NTPパケットがUDPだからできるんであって
もちろんtypoの場合は別だけど
Re: (スコア:0)
UDPでもチェックサムで弾かれると思うんだけど、チェックサムも偶然合ってしまうってこと?
Re:証明書 (スコア:1)
Re: (スコア:0)
WindowsのNTPクライアントはそんなオプション設定してない(一応指摘)。
Re: (スコア:0)
これはネットワークに流れる前にPC内のメモリエラーで誤った内容で正常なパケットが作成されるパターンですね。
TCP,UDP どちらもチェックサムがあるので、1ビット誤りなら破棄されるので。
過去には JVM のような仮想マシンのセキュリティを突破する方法としてメモリのソフトエラーを
利用するという研究がされていて、実際に現象が起きています。
https://www.cs.princeton.edu/~appel/papers/memerr.pdf [princeton.edu]
Re: (スコア:0)
ビット化けはビット化けでもメモリ上の参照先がwhndows.comになるって話
実質的に単にwhndows.comにアクセスしてんだから証明書のエラーもTCPのエラーも起こらん
Re: (スコア:0)
サーバーがちゃんとしたwindows.comの証明書使ってなかったら警告されるだろ
Re: (スコア:0)
> サーバーがちゃんとしたwindows.comの証明書使ってなかったら警告されるだろ
だからwindows.comにはアクセスしてねーんだよ
他のコメントでもさんざんツッコまれてるだろ
お前のパソコンはwhndows.comにアクセスしてんの
whndows.comでwindows.comの証明書を使ってたら逆に警告が出るわ、FQDNが違うんだから
Re: (スコア:0)
都合良く起こる、ではなく大量のエラーパターンの中には都合のいいものもある、って事
騙されるやつおらんだろ、って詐欺でも安いコストで大量の人間に届けば成立するのと同じ
Re: (スコア:0)
>>今回観測できたアクセスには文字入力ミスによるものも含まれており、
>>その多さにも驚いたという。
>って、ちゃんと書いてあった。
> ビット反転の影響を受けたトラフィックをもっとも多く観測した
全体をちゃんと読んでな
Re: (スコア:0)
どのタイミングで壊れるかに依るな。
・DNSリゾルバ内でbitflip→不正なウェブサイトととしてブラウザに蹴られる
・ブラウザ内でbitflip→ブラウザ内のどのタイミングで起こったかにも依るけど正常なアクセスとして通る場合もありそう
・ブラウザに渡す前に壊れ→ブラウザは単なるそこへのアクセスとして扱う。そのドメインに対する正しい証明書まで用意されてたら正常なアクセスと見なされる
アップデートの自動更新機能が付いているようなアプリだと、
内蔵ライブラリなりOS標準のコンポーネントに付いてるAPIなりでhttps経由でアップデートをダ
Re: (スコア:0)
DNSやNTPは今のところセキュアではないので。DoHなどが普及すればまた違うのかもしれんが
それにネットワーク層へ到達する前にメモリ上で化けたらどうにもならん