アカウント名:
パスワード:
よいのでは?
androidって全機種でルート証明書インストール可能なのかな?
昔オレオレ証明書を入れようとしてどうしても成功しなかった記憶があるGingerbread/HoneycombかICSの頃の話だけど。
前回のストーリーで既出のやりとり。
端末側の証明書を更新すれば? (#3868695) | Let's Encrypt証明書を使用しているWebサイト、Android 7.1以前の端末での閲覧に影響か | スラド [srad.jp]
システムのルート証明書ストアとユーザのルート証明書ストアに分かれていて、後者はroot権限なくても自由にインストール可能。ただし、画面ロック「なし」「スワイプ」との両立ができないという訳のわからない仕様。あと起動時に毎回警告が出るようになる。現実的にはGoogle Play開発者サービス側でシステムの証明書を自動更新するしかないと思うし、そうすべきだと思う。
ただし、画面ロック「なし」「スワイプ」との両立ができないという訳のわからない仕様。あと起動時に毎回警告が出るようになる。
ルート証明書をインストールすれば、例えば、自宅内に全ての通信を中継するプロキシサーバ的なものをたてて、大手メールサービスのサーバになりしまして本物と中継することができてしまう。つまりは、息子・娘・配偶者のメール等のやり取りを監視することだってできてしまうのだよ。
ロック無しのスマホだったら勝手に第三者がX.509ルート証明書をインストールできてしまうでしょ。だから、ロック無しのスマホにはそもそも独自のルート証明書をインストールできないようにするのが正解。警告が出るようにするのも、万が一PINの盗み見などで不正にルート証明書を第三者がインストールした場合に知ることができるために必要。
この必要性が理解できないような人は、ルート証明書のインストールなんて危険なことはしない方が良い。偽サイトから偽のルート証明書をインストールしかねない。
ロック無しのスマホだったら勝手に第三者がX.509ルート証明書をインストールできてしまうでしょ。
↑これは真
だから、ロック無しのスマホにはそもそも独自のルート証明書をインストールできないようにするのが正解。
↑これは偽
この叙述トリックをモデレータが見破れずに #3920626 が (スコア:4, 参考になる) となっているのが悲しい。ロック無しのスマホに独自のルート証明書をインストールできないようにしたところで、第三者は勝手にロックを設定して独自のルート証明書をインストールできてしまうので、そもそも対策になっていない。(厳密には、次回ロックされた場合に本来の利用者が解除できず被害の拡大を防げることもあるけど、それについても抜け道があったりするので割愛)第三者が勝手にルート証明書を閲覧したりアンインストールしてしまうことが防げるだけ。そこには何の意味もない。
> 第三者は勝手にロックを設定してそれ、本来の持ち主はどうやってロック解除するんです?勝手にMITM用証明書を追加したところで本人が使えなくなったら警告出てバレる云々以前の問題じゃないか。この揚げ足取りが(スコア:2, 参考になる)になってる方が憂鬱なんだが。
まぁロックされて無いパスワードを回収する手段として、MITMが一番手っ取り早いってアプリもあるかも知れんが……オフライン攻撃困難な癖にTLSの中では生パスワード垂れ流し、ねぇ……?
うわぁ……問題を理解してない教科書テンプレ回答のマジレスきちゃった。継続的な侵害防止のため警告表示は妥当だけど、画面ロックとkeychainが連動する必要は一切ない。この仕様はAndroidが画面ロックのPINをkeychainの暗号化に使い回してる設計の悪さ故の制約。LinuxもMac OSもログインパスワードとkeychainのパスワードは別に設定できる。そもそもkeychainの暗号化は認証情報の漏洩による侵害の拡大を防ぐためのものなので、秘密鍵を含まないルート証明書は暗号化して保存する必要すらない。セキュリティのためと偽って必要のない不便を強いるのは害悪でしかない。
同じコメントを攻撃してる君のお仲間にすら論破されてんだけど君。
???
ロック無しのスマホだったら勝手に第三者がマルウェアをインストールできる。ロック無しのスマホだったら勝手に第三者がプライベートなメッセージを閲覧できる。ロック無しのスマホだったら勝手に第三者がログイン済みのセッションを悪用できる。ロック無しのスマホだったら勝手に第三者がADBから情報を吸い上げることができる。その時点で侵害は完了しているよね。
ロック無しのスマホにはそもそもアプリをインストールできないようにするのが正解?ロック無しのスマホにはそもそもプライベートなメッセージを閲覧ないようにするのが正解?ロック無しのスマホにはそもそもログインできないようにするのが正解?ロック無しのスマホにはそもそもADBを有効化できないようにするのが正解?それはロック無しにした利用者が選ぶべきことで、強制するもんじゃあないんだよ。
一見効果があるように見えて意味のない似非セキュリティ慣行
よくわからんけど、画面ロック「なし」のユーザーの場合、そういうコアな設定変更ができないようになってるの?Androidの場合。でなきゃ証明書ストアだけ押さえてもあまり意味が無いと思うけど。どういうユースケースを想定した設計思想なんだろ。
別の事情でそうなったけどそっちのほうが安全側だしそれで良しとしたのか、このあたり作るときだけちょっと意識高かったのか、はたまた別の理由かは知らんけども。
あっちがザルだからここもザルにすべき、なんてのは頭おかしいと思う。ましてやそれが批判材料に見えるとか……マックを攻撃する奴は居ないからノーガードでも安全とか吐かす林檎信者並みの意見だと思う。
VPNでも同様の挙動になるので、エンプラ向け機能を使うときは画面ロック「なし」「スワイプ」が使えないみたい。
アップデートされていないAndroidでも、Googleなんとかってアプリ(これが開発者サービス?)は定期的にアップデートがかかって、Androidの挙動が変わることもあるようだけど、何で証明書はアップデートできない仕組みなのだろう??
Android7から、ユーザーが後からインストールした証明書は取り扱い方法が変わってる。
それ以前はオレオレ証明書をルート証明書として登録すれば既存のアプリのhttps通信も全部見れたがAndroid7からオレオレ証明書をインストールしても既存のアプリのhttps通信では使われなくなった。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
ユーザーが自分でISRG Root X1をインストールすれば (スコア:0)
よいのでは?
Re:ユーザーが自分でISRG Root X1をインストールすれば (スコア:1)
androidって全機種でルート証明書インストール可能なのかな?
昔オレオレ証明書を入れようとしてどうしても成功しなかった記憶がある
Gingerbread/HoneycombかICSの頃の話だけど。
Re:ユーザーが自分でISRG Root X1をインストールすれば (スコア:1)
前回のストーリーで既出のやりとり。
端末側の証明書を更新すれば? (#3868695) | Let's Encrypt証明書を使用しているWebサイト、Android 7.1以前の端末での閲覧に影響か | スラド [srad.jp]
システムのルート証明書ストアとユーザのルート証明書ストアに分かれていて、後者はroot権限なくても自由にインストール可能。
ただし、画面ロック「なし」「スワイプ」との両立ができないという訳のわからない仕様。あと起動時に毎回警告が出るようになる。
現実的にはGoogle Play開発者サービス側でシステムの証明書を自動更新するしかないと思うし、そうすべきだと思う。
素晴らしい設計だと思うが (スコア:5, 参考になる)
ただし、画面ロック「なし」「スワイプ」との両立ができないという訳のわからない仕様。あと起動時に毎回警告が出るようになる。
ルート証明書をインストールすれば、例えば、自宅内に全ての通信を中継するプロキシサーバ的なものをたてて、大手メールサービスのサーバになりしまして本物と中継することができてしまう。
つまりは、息子・娘・配偶者のメール等のやり取りを監視することだってできてしまうのだよ。
ロック無しのスマホだったら勝手に第三者がX.509ルート証明書をインストールできてしまうでしょ。
だから、ロック無しのスマホにはそもそも独自のルート証明書をインストールできないようにするのが正解。
警告が出るようにするのも、万が一PINの盗み見などで不正にルート証明書を第三者がインストールした場合に知ることができるために必要。
この必要性が理解できないような人は、ルート証明書のインストールなんて危険なことはしない方が良い。
偽サイトから偽のルート証明書をインストールしかねない。
Re:素晴らしい設計だと思うが (スコア:2, 参考になる)
↑これは真
↑これは偽
この叙述トリックをモデレータが見破れずに #3920626 が (スコア:4, 参考になる) となっているのが悲しい。
ロック無しのスマホに独自のルート証明書をインストールできないようにしたところで、第三者は勝手にロックを設定して独自のルート証明書をインストールできてしまうので、そもそも対策になっていない。
(厳密には、次回ロックされた場合に本来の利用者が解除できず被害の拡大を防げることもあるけど、それについても抜け道があったりするので割愛)
第三者が勝手にルート証明書を閲覧したりアンインストールしてしまうことが防げるだけ。そこには何の意味もない。
Re: (スコア:0)
> 第三者は勝手にロックを設定して
それ、本来の持ち主はどうやってロック解除するんです?
勝手にMITM用証明書を追加したところで本人が使えなくなったら
警告出てバレる云々以前の問題じゃないか。
この揚げ足取りが(スコア:2, 参考になる)になってる方が憂鬱なんだが。
まぁロックされて無いパスワードを回収する手段として、
MITMが一番手っ取り早いってアプリもあるかも知れんが……
オフライン攻撃困難な癖にTLSの中では生パスワード垂れ流し、ねぇ……?
Re:素晴らしい設計だと思うが (スコア:1)
うわぁ……問題を理解してない教科書テンプレ回答のマジレスきちゃった。
継続的な侵害防止のため警告表示は妥当だけど、画面ロックとkeychainが連動する必要は一切ない。
この仕様はAndroidが画面ロックのPINをkeychainの暗号化に使い回してる設計の悪さ故の制約。
LinuxもMac OSもログインパスワードとkeychainのパスワードは別に設定できる。
そもそもkeychainの暗号化は認証情報の漏洩による侵害の拡大を防ぐためのものなので、秘密鍵を含まないルート証明書は暗号化して保存する必要すらない。
セキュリティのためと偽って必要のない不便を強いるのは害悪でしかない。
Re: (スコア:0)
同じコメントを攻撃してる君のお仲間にすら論破されてんだけど君。
Re: (スコア:0)
???
Re: (スコア:0)
ロック無しのスマホだったら勝手に第三者がマルウェアをインストールできる。
ロック無しのスマホだったら勝手に第三者がプライベートなメッセージを閲覧できる。
ロック無しのスマホだったら勝手に第三者がログイン済みのセッションを悪用できる。
ロック無しのスマホだったら勝手に第三者がADBから情報を吸い上げることができる。
その時点で侵害は完了しているよね。
ロック無しのスマホにはそもそもアプリをインストールできないようにするのが正解?
ロック無しのスマホにはそもそもプライベートなメッセージを閲覧ないようにするのが正解?
ロック無しのスマホにはそもそもログインできないようにするのが正解?
ロック無しのスマホにはそもそもADBを有効化できないようにするのが正解?
それはロック無しにした利用者が選ぶべきことで、強制するもんじゃあないんだよ。
Re: (スコア:0)
一見効果があるように見えて意味のない似非セキュリティ慣行
Re: (スコア:0)
よくわからんけど、画面ロック「なし」のユーザーの場合、そういうコアな設定変更ができないようになってるの?Androidの場合。
でなきゃ証明書ストアだけ押さえてもあまり意味が無いと思うけど。
どういうユースケースを想定した設計思想なんだろ。
Re: (スコア:0)
別の事情でそうなったけどそっちのほうが安全側だしそれで良しとしたのか、
このあたり作るときだけちょっと意識高かったのか、はたまた別の理由かは知らんけども。
あっちがザルだからここもザルにすべき、なんてのは頭おかしいと思う。
ましてやそれが批判材料に見えるとか……
マックを攻撃する奴は居ないからノーガードでも安全とか吐かす林檎信者並みの意見だと思う。
Re: (スコア:0)
VPNでも同様の挙動になるので、エンプラ向け機能を使うときは画面ロック「なし」「スワイプ」が使えないみたい。
Re: (スコア:0)
アップデートされていないAndroidでも、Googleなんとかってアプリ(これが開発者サービス?)は定期的にアップデートがかかって、Androidの挙動が変わることもあるようだけど、何で証明書はアップデートできない仕組みなのだろう??
Re: (スコア:0)
Android7から、ユーザーが後からインストールした証明書は取り扱い方法が変わってる。
それ以前はオレオレ証明書をルート証明書として登録すれば既存のアプリのhttps通信も全部見れたが
Android7からオレオレ証明書をインストールしても既存のアプリのhttps通信では使われなくなった。