アカウント名:
パスワード:
うんこボタンは証明書のフィンガープリントだったし交換したので、まだマシなのか
# そもそもサーバとの間であって、アプリとじゃないはずだが
まぁ、現実的なところで、じゃぁ、どうやって暗号鍵をアプリとデバイス間で共有するかという問題はあって、最初のハンドシェークは十分安全な状況で行われると仮定して、そこで交換するぐらいしかないよなぁ。デバイス側にデバイス固有の鍵を書き込んでおいて・・・っていうのもアリではあるけど、大量生産ってことを考えると、シリアルとかの固有番号をファームに書き込むのはいろいろと大変ではあるんだよなぁ。TPMでも乗っけるぐらいの余裕があればいいんだけどさぁ。
耐タンパ性がないなら、出荷時にハンドシェイクが済んでても状況は変わらないんじゃ。
耐タンパまで考えるとなるとさらにハードルが上がるけど、さすがにそこまで要求するといくらになるのですかねぇっていう部分が。
開かない前提なら、「通信経路の暗号化」「認証につかう鍵(パスワード)のハードコード禁止」「ブルートフォース対策」の3つで十分だろうから、ストーリーで暗号化通信とハードコードを検証してるのは合理的だと思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
ハードコード (スコア:1)
うんこボタンは証明書のフィンガープリントだったし交換したので、まだマシなのか
# そもそもサーバとの間であって、アプリとじゃないはずだが
M-FalconSky (暑いか寒い)
Re:ハードコード (スコア:1)
まぁ、現実的なところで、じゃぁ、どうやって暗号鍵をアプリとデバイス間で共有するかという問題はあって、
最初のハンドシェークは十分安全な状況で行われると仮定して、そこで交換するぐらいしかないよなぁ。
デバイス側にデバイス固有の鍵を書き込んでおいて・・・っていうのもアリではあるけど、大量生産ってことを
考えると、シリアルとかの固有番号をファームに書き込むのはいろいろと大変ではあるんだよなぁ。
TPMでも乗っけるぐらいの余裕があればいいんだけどさぁ。
Re: (スコア:0)
耐タンパ性がないなら、出荷時にハンドシェイクが済んでても状況は変わらないんじゃ。
Re: (スコア:0)
耐タンパまで考えるとなるとさらにハードルが上がるけど、さすがにそこまで要求するといくらになるのですかねぇっていう部分が。
Re: (スコア:0)
開かない前提なら、「通信経路の暗号化」「認証につかう鍵(パスワード)のハードコード禁止」「ブルートフォース対策」の3つで十分だろうから、ストーリーで暗号化通信とハードコードを検証してるのは合理的だと思う。