アカウント名:
パスワード:
・エンドツーエンド暗号化ではない ⇒クラウドツーエンド暗号化である、Zoom側を信頼できなければ使えないという話。 課題ではあるが、クラウドアプリのほとんどに当てはまる課題でもある。
・悪意のあるリンクをチャット画面に送信することで接続情報を奪う ⇒\\sample.com\hoge\fuga というハイパーリンクを踏ませて、ドメインにあたる サーバにwindowsの認証情報を送信させる手口のこと。 ハイパーリンクを生成することが脆弱性にあたるとの指摘。 ハイパーリンクがなくてもそもそも知らないサーバにアクセスに行っちゃだめ。
覇権アプリ化が進んできたせいでいろいろ出てきてますけど、冷静に対処してほしいですね。他のアプリにしてもたたけばいろいろあると思うので、ここでしっかり対応できれば逆境がプラスになるでしょう。
指摘の中にはその辺も含めて「言いがかり」に近い部分もあるんですが、それらも含めてhttps://www.itmedia.co.jp/news/articles/2004/03/news066.html [itmedia.co.jp]謝罪と新機能の開発を全て止めての修正を約束し、既に幾つかは修正済みとのことなので、頑張って欲しいですね。#しかし昨年末で約1000万ユーザーから3月時点で2億にまで増加って、インフラ担当的には悪夢としか言いようがない……。
大ヒットしてサーバーの利用料がものすごいことになってしまったらしいCookie Clickerを思い出してしまった
自動化が進んでないと血反吐が出ますね。進んでても大変だけど。スケールが違いすぎてアーキテクチャレベルで死ぬ可能性もあるし。
この手のチャットアプリでエンドツーエンド暗号化って言ったら運営に盗聴されないことを意味してるから。詐称していることが問題なわけで実装されていないことが問題じゃないんだよね。
なんでもかんでもTLS化してる時代にクライアント-サーバー間だけ暗号化してエンドツーエンド暗号化とか言って特徴になるとか思ってる時点でセキュリティリテラシが無い企業と言って良い。
それが、Zoomはビデオチャットアプリでもテレビ電話アプリでもないんだよなあ……。
これシリコンバレー企業だったらテヘペロだったけど開発拠点が中国だったのが炎上に輪をかけたね。
セキュリティ専門家が機械的に批判するのは良いけど競合他社の嫉妬かな?と思った
創業者は確かに中国系にルーツがある方ですが、シスコ&WebExからのスピンオフなので最初から今現在に至るまでサンノゼに拠点を持つシリコンバレー企業ですよ。
>競合他社の嫉妬かな?それもあるだろうけど、セキュリティ企業の「名を上げる」ためって動機も見える。というか、Zoom側にまともなセキュリティ専門家がいないんじゃないか(いても発言権が弱い)とも思える。もっとも考えられる動機は単に「僕と契約してよ」ってことでしょう。
Hiromitsu Takagi さんのTwitterをご覧ください。大騒ぎです。 https://www.forbes.com/sites/thomasbrewster/2020/04/03/warning-zoom-se... [forbes.com] より1.Zoomはときどき中国サーバで暗号鍵を作成します2.AES 128bit ECB(電子コードブック)モード利用2については、サービスの仕組みを考えればやむを得ない設計なのかもしれないが、1については、言い過ぎかもしれないが、マルウェアではなくマルWEBサービスと評するに値するの
利用者急増に対応するために実施したサーバ増設の際のジオフェンシングの設定を忘れだそうです。https://www.itmedia.co.jp/news/articles/2004/05/news010.html [itmedia.co.jp]
既に現時点では修正済みだとのこと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
覇権アプリになるための試練 (スコア:0)
・エンドツーエンド暗号化ではない
⇒クラウドツーエンド暗号化である、Zoom側を信頼できなければ使えないという話。
課題ではあるが、クラウドアプリのほとんどに当てはまる課題でもある。
・悪意のあるリンクをチャット画面に送信することで接続情報を奪う
⇒\\sample.com\hoge\fuga というハイパーリンクを踏ませて、ドメインにあたる
サーバにwindowsの認証情報を送信させる手口のこと。
ハイパーリンクを生成することが脆弱性にあたるとの指摘。
ハイパーリンクがなくてもそもそも知らないサーバにアクセスに行っちゃだめ。
覇権アプリ化が進んできたせいでいろいろ出てきてますけど、冷静に対処してほしいですね。
他のアプリにしてもたたけばいろいろあると思うので、ここでしっかり対応できれば
逆境がプラスになるでしょう。
Re:覇権アプリになるための試練 (スコア:1)
指摘の中にはその辺も含めて「言いがかり」に近い部分もあるんですが、それらも含めて
https://www.itmedia.co.jp/news/articles/2004/03/news066.html [itmedia.co.jp]
謝罪と新機能の開発を全て止めての修正を約束し、既に幾つかは修正済みとのことなので、頑張って欲しいですね。
#しかし昨年末で約1000万ユーザーから3月時点で2億にまで増加って、インフラ担当的には悪夢としか言いようがない……。
Re: (スコア:0)
大ヒットしてサーバーの利用料がものすごいことになってしまったらしい
Cookie Clickerを思い出してしまった
Re: (スコア:0)
自動化が進んでないと血反吐が出ますね。進んでても大変だけど。スケールが違いすぎてアーキテクチャレベルで死ぬ可能性もあるし。
Re:覇権アプリになるための試練 (スコア:1)
Re: (スコア:0)
この手のチャットアプリでエンドツーエンド暗号化って言ったら運営に盗聴されないことを意味してるから。
詐称していることが問題なわけで実装されていないことが問題じゃないんだよね。
なんでもかんでもTLS化してる時代にクライアント-サーバー間だけ暗号化してエンドツーエンド暗号化とか言って特徴になるとか思ってる時点でセキュリティリテラシが無い企業と言って良い。
Re: (スコア:0)
それが、Zoomはビデオチャットアプリでもテレビ電話アプリでもないんだよなあ……。
Re: (スコア:0)
これシリコンバレー企業だったらテヘペロだったけど
開発拠点が中国だったのが炎上に輪をかけたね。
セキュリティ専門家が機械的に批判するのは良いけど
競合他社の嫉妬かな?と思った
Re: (スコア:0)
創業者は確かに中国系にルーツがある方ですが、シスコ&WebExからのスピンオフなので最初から今現在に至るまでサンノゼに拠点を持つシリコンバレー企業ですよ。
Re: (スコア:0)
>競合他社の嫉妬かな?
それもあるだろうけど、セキュリティ企業の「名を上げる」ためって動機も見える。
というか、Zoom側にまともなセキュリティ専門家がいないんじゃないか(いても発言権が弱い)とも思える。
もっとも考えられる動機は単に「僕と契約してよ」ってことでしょう。
Re: (スコア:0)
Hiromitsu Takagi さんのTwitterをご覧ください。大騒ぎです。
https://www.forbes.com/sites/thomasbrewster/2020/04/03/warning-zoom-se... [forbes.com] より
1.Zoomはときどき中国サーバで暗号鍵を作成します
2.AES 128bit ECB(電子コードブック)モード利用
2については、サービスの仕組みを考えればやむを得ない設計なのかもしれないが、1については、言い過ぎかもしれないが、マルウェアではなくマルWEBサービスと評するに値するの
Re: (スコア:0)
利用者急増に対応するために実施したサーバ増設の際のジオフェンシングの設定を忘れだそうです。
https://www.itmedia.co.jp/news/articles/2004/05/news010.html [itmedia.co.jp]
既に現時点では修正済みだとのこと。