アカウント名:
パスワード:
・エンドツーエンド暗号化ではない ⇒クラウドツーエンド暗号化である、Zoom側を信頼できなければ使えないという話。 課題ではあるが、クラウドアプリのほとんどに当てはまる課題でもある。
・悪意のあるリンクをチャット画面に送信することで接続情報を奪う ⇒\\sample.com\hoge\fuga というハイパーリンクを踏ませて、ドメインにあたる サーバにwindowsの認証情報を送信させる手口のこと。 ハイパーリンクを生成することが脆弱性にあたるとの指摘。 ハイパーリンクがなくてもそもそも知らないサーバにアクセスに行っちゃだめ。
覇権アプリ化が進んできたせいでいろいろ出てきてますけど、冷静に対処してほしいですね。他のアプリにしてもたたけばいろいろあると思うので、ここでしっかり対応できれば逆境がプラスになるでしょう。
Hiromitsu Takagi さんのTwitterをご覧ください。大騒ぎです。https://www.forbes.com/sites/thomasbrewster/2020/04/03/warning-zoom-se... [forbes.com] より1.Zoomはときどき中国サーバで暗号鍵を作成します2.AES 128bit ECB(電子コードブック)モード利用2については、サービスの仕組みを考えればやむを得ない設計なのかもしれないが、1については、言い過ぎかもしれないが、マルウェアではなくマルWEBサービスと評するに値するのではなかろうか。そう言いたくなるほど、セキュリティ上の疑念がある。セキュリティがずさんなのか、当局の管理下にあるのか・・・?いずれにしても、高度なセキュリティを要する場面では使うべきではないかと。プライバシーは暗号化されているので、まあとりあえず大丈夫かなと思いますが。
利用者急増に対応するために実施したサーバ増設の際のジオフェンシングの設定を忘れだそうです。https://www.itmedia.co.jp/news/articles/2004/05/news010.html [itmedia.co.jp]
既に現時点では修正済みだとのこと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
覇権アプリになるための試練 (スコア:0)
・エンドツーエンド暗号化ではない
⇒クラウドツーエンド暗号化である、Zoom側を信頼できなければ使えないという話。
課題ではあるが、クラウドアプリのほとんどに当てはまる課題でもある。
・悪意のあるリンクをチャット画面に送信することで接続情報を奪う
⇒\\sample.com\hoge\fuga というハイパーリンクを踏ませて、ドメインにあたる
サーバにwindowsの認証情報を送信させる手口のこと。
ハイパーリンクを生成することが脆弱性にあたるとの指摘。
ハイパーリンクがなくてもそもそも知らないサーバにアクセスに行っちゃだめ。
覇権アプリ化が進んできたせいでいろいろ出てきてますけど、冷静に対処してほしいですね。
他のアプリにしてもたたけばいろいろあると思うので、ここでしっかり対応できれば
逆境がプラスになるでしょう。
Re:覇権アプリになるための試練 (スコア:0)
Hiromitsu Takagi さんのTwitterをご覧ください。大騒ぎです。
https://www.forbes.com/sites/thomasbrewster/2020/04/03/warning-zoom-se... [forbes.com] より
1.Zoomはときどき中国サーバで暗号鍵を作成します
2.AES 128bit ECB(電子コードブック)モード利用
2については、サービスの仕組みを考えればやむを得ない設計なのかもしれないが、1については、言い過ぎかもしれないが、マルウェアではなくマルWEBサービスと評するに値するのではなかろうか。そう言いたくなるほど、セキュリティ上の疑念がある。セキュリティがずさんなのか、当局の管理下にあるのか・・・?
いずれにしても、高度なセキュリティを要する場面では使うべきではないかと。プライバシーは暗号化されているので、まあとりあえず大丈夫かなと思いますが。
Re: (スコア:0)
利用者急増に対応するために実施したサーバ増設の際のジオフェンシングの設定を忘れだそうです。
https://www.itmedia.co.jp/news/articles/2004/05/news010.html [itmedia.co.jp]
既に現時点では修正済みだとのこと。