パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Webサイトは常時SSLにすべき?」記事へのコメント

  • この記事の中間者攻撃の説明おかしくない?
    っと思ったらFiresheepの部分無くしたらおかしくなかった。
    Firesheep、中間者攻撃と関係ないよね?

    • by Anonymous Coward

      Firesheepはいわゆるセッションハイジャックのツールのようで、セッションハイジャックが中間者攻撃かと言われると微妙な気はしてきますが、ベリサインのたぶん同じ話題を扱ったと思われるページ [verisign.co.jp]には、

      Firesheepなどを使った中間者攻撃の特徴と対策をまとめたホワイトペーパー

      という記述があるので、一応広義の中間者攻撃に入っているようです(?)

      • by Anonymous Coward on 2012年03月30日 20時39分 (#2126922)

        広義のセッションハイジャックは第三者がHTTPの向こう側(XSS)、あるいは手前(トロイ?)にいる場合も含む。それに対して、Firesheepの場合は第三者がwifi経由なんだから、中間者って言って差し支えないと思う。最終的な立ち位置が「中間」ぽくはないけれど、侵入(?)経路を考えるとやっぱりMiddleが突破口なんだから。

        というか、暗号化で防げるのは中間者ってことでいいんじゃないかな。中間者攻撃でないと仮定すると、暗号化したって全く効果がないと思うんだけれど。

        親コメント
        • by shuichi (572) on 2012年03月30日 22時03分 (#2126954) 日記

          Firesheepってパケットアナライザだよね?
          中間者攻撃って

          アリス <-------> マロリー <-------> ボブ

          みたいに、攻撃者が通信を中継する攻撃を言うんだと思ってたんだが、
          こういう攻撃も中間者攻撃に含まれるとは思わなかった・・・

          親コメント
          • by Anonymous Coward on 2012年03月31日 4時37分 (#2127047)
            顧客 <-------> 営業 <-------> 技術
            みたいなもんですか。
            親コメント
            • by Anonymous Coward

              顧客 プロマネ 技術
              に一票。
              #ああっ。回りは敵ばかりだっ。

          • by Anonymous Coward

            戦闘前の索敵を攻撃行為に含むかどうか…みたいな。

          • by Anonymous Coward
            ロマリーと空目した

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...