パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

WPA2に脆弱性」記事へのコメント

  • 公式の説明が出てきたとたん、以下のような無茶苦茶な話が含まれてて怪しさ爆発してしまいました

    > lthough websites or apps may use HTTPS as an additional layer of protection,
    > we warn that this extra protection can (still) be bypassed in a worrying number of situations.
    >
    > For example, HTTPS was previously bypassed in non-browser software,
    > in Apple's iOS and OS X, in Android apps, in Android apps again,
    > in banking apps,
    > and even in VPN apps.

    なんとWIFI経路を盗聴されるとHTTPSもVPNも全部意味ないと主張する、まさにお前なに言ってんのそんなわけないじゃん状態

    • KRACK Attacks: Breaking WPA2 [krackattacks.com]

      HTTPS was previously bypassed in non-browser software [semanticscholar.org], in Apple's iOS and OS X [imperialviolet.org], in Android apps [arstechnica.com], in Android apps again [arxiv.org], in banking apps [ioactive.com], and even in VPN apps [arstechnica.com].

      ブラウザ以外のソフトウェアにおいて SSL/TLS の証明書を検証していないものがあるとか、そういうケースについて述べられているだけです。VPN の話は、Android向けVPNアプリの大半は信用できない [security.srad.jp] のことを指しています。

      まともな HTTPS 通信 や VPN においては、WPA2 の脆弱性が利用されたケースであっても、通信の安全性は保たれます。

      親コメント
      • by Anonymous Coward

        まぁWiFiだろうが有線だろうがMITMを許した状況全てで共通の話で、
        一般向けの説明にそれをぶっこんで危機感を増幅させるやり方は余り褒められたものじゃないだろう。
        論文の導入部じゃあるまいし、そんなことしてると狼少年みたいな効果が出かねない。

        • by Anonymous Coward

          一般向けの説明だからこそ、短絡的にVPNだ!と判断して危険な行動に走るのを抑制したいのでは?
          元コメントのような慌て者や、英語に疎い人向けにもう少し丁寧に書いて欲しいというのはあるかもしれないですね。

          • by Anonymous Coward

            それは典型的な詐欺師の逃げ口上だ

            セキュリティにおいてはそんなの害悪以外の何者でもない

            • by Anonymous Coward

              災害の度に気象庁の予報を糾弾するような連中が何処の分野にも居るんだよ。
              理解できる奴は黙って読み飛ばしとけ。

              • by Anonymous Coward

                詐欺師が自分が誇大広告してると指摘されたとたんに逆ギレしてる最低の流れだな

                セキュリティにおいて重要なのは必要十分なことを書くことであり、そこにおいて
                「VPNと自分では言ってるがVPNになっていないような例外まで全部VPNとして扱う」ことは許されないんだよ

                これもわからないなら頼むからセキュリティの話に首突っ込まないでくれ

              • by Anonymous Coward

                元のサイトでは全部VPN として扱うことはしてないような.

                元のサイトでは VPN apps ってことで,以前話題になった Android の問題のある VPN アプリのことをあげてるだけですよね.
                それを見てすべての VPN の事だと勘違いしたのは最初の AC だけではないかと.

    • あーそれ文面だけ読むと意味わからんけど「non-browser software」「Apple's iOS」とかが全部リンクになってて、それぞれのアプリの脆弱性を紹介してるのね。
      「通信経路がHTTPSだからって安心すんなよ、使ってるアプリにバグがあるかも知れねーからな」くらいの意味じゃね。

      --
      # mishimaは本田透先生を熱烈に応援しています
      親コメント
    • by Anonymous Coward

      んーっと、英語が得意ではないんだが、
      ここ [arstechnica.com]とGoogle翻訳を活用してみたところ

      「HTTPS」に関しては、HTTPへのダウングレードを強制させるという攻撃ができるようになるため
      中身を読み取ることができるから、注意してねって書いてる気がする。
      VPNもoverHTTPSのもので、この場合はVPN自体が張れなくなるのかな?

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...