アカウント名:
パスワード:
「セキュリティの懸念」っていうけれど「遺伝子組み換え野菜への懸念」程度のモヤッっとしたものでは? なんとなく危ないんちがうか?程度で実際的な被害があるのか明確になってません。
>暗号化されていないWi-Fiネットワークのセキュリティを懸念」
ここに注目して話をするのですが、IPレイヤでの個別の通信の暗号化が進んでいるので何が危ないのかな? と。
昔、第一に心配したのはSMBによる共有ですが、それは非Windowsでは関係がない上、今は暗号化されたSMB3.11ですよね。さらにいうと最近の人って SMB共有って使ってる人いるんでしょうか・・。
>オンラインバン
以下セキュリティ被害の出る一例Unicodeによる悪意あるURL目視判断阻止行為は、実際にここでやるとまずいと思うのでそこは説明文記載にしておきます
・あなたはコーヒーショップやバーガーショップで 「暗号化なし」や「WEP」で動作しているAPに接続してmacbookでどや顔しています
・あなたのWEP暗号化は周囲の悪意あるものから1分程度ですでに破られています(暗号化なしなら最初から丸見え)
・あなたはamazon.co.jpを見ようと思い、http://から始まるURLを表示するようブラウザに指示しました
・あなたが操作した結果発生するDNS名前解決要求に、悪意あるものは本来のDNSサーバより先に悪意あるサイトのIPを返しました
・あなたのブラウザは、悪意あるものが示したIPに接続します。ここで悪意あるページ上のスクリプトにより、ブラウザは「amazon.co.jp」ではなく悪意ある(Unicodeを駆使し目視ではまったく判別がつかない)「amazon.co.jp」を表示し、すぐさま「https://から始まる、悪意あるamazon.co.jpのログインページ」を表示します
ここで、「悪意あるamazon.co.jp」が表示するログインページの内容は、「本物のamazon.co.jpのログイン画面と全く同じ画面」です
・「悪意あるamazon.co.jp」には正式な「悪意あるamazon.co.jpとしてのSSL証明書」が存在するため、ブラウザはこのサイトが正当なサイトだとお墨付きを与えて表示します
・この状態で「amazon.co.jp」のユーザ名/パスワードを入力したら即アウト!!
上記は仮にamazon.co.jpを例にしましたが、現実にはhttp://のURLを持つすべてのサイトで上記のような影響を受けうる可能性がありますhttp:/// [http]から始まる www.google.co.jp などのURLを使った場合には検索条件が盗聴されるうえに検索結果のすべてが汚染されて表示される可能性もあります
悪意ある行為を受け始めた時点での回避策:
もっとも最初のブラウザからのアクセスにおいて、必ずhttpではなくhttpsのURLを開く(絶対死守)。さらにhttpsのページからhttpのページへのリダイレクトは警告するブラウザ設定とし(絶対死守)、この警告を絶対に軽視せず警告が出た時点で悪意ある行為にさらされていると判断し速やかに切断する(絶対死守)
ブラウザ以外のアプリすべてにおいて、上記のような動作をしないアプリがないかを常に確認し、上記のような動作をしないアプリは一切使わない(絶対死守)
-> で、そんなの理解してる一般人はどのくらいいます?
amazonはPreloaded HSTSに登録されているので例えとして適切ではないな・あなたはamazon.co.jpを見ようと思い、http://から始まるURLを表示するようブラウザに指示しましたこの時点でブラウザがhttps://amazon.co.jpへ自動的にリダイレクトしますというわけで一般人は何も考えなくてもセキュアにamazonを利用できるというわけだ
書いてあることに基本的には同意ですけど、今はHSTSやHSTSプリロードがあるので、
もっとも最初のブラウザからのアクセスにおいて、必ずhttpではなくhttpsのURLを開く(絶対死守)。
は絶対死守でもないでしょう。
一般人なら、アドレスバーにURLを入力するなんて滅多にやらないと思います。ググったり、せいせいブックマークからのアクセスでしょう。グーグルなら、当然HSTSプリロードに入っているし、ブックマークならちゃんとhttpsのURLになっていれば良いわけです。
というわけで、みんなHTTPSに移行して、さらにHSTSなりHSTSプリロードに対応していけば、ウェブについては最低限安全が保たれると言って良いのではないでしょうか。
ブラウザは「amazon.co.jp」ではなく悪意ある(Unicodeを駆使し目視ではまったく判別がつかない)「amazon.co.jp」を表示し、
今時のウェブブラウザでは、Unicodeの微妙な記号を使うとPunycodeをデコードせずxy--で始まる生の表記になるようです。詳しい人間ならアドレスバーで見分けられると思います。
> というわけで、みんなHTTPSに移行して、さらにHSTSなりHSTSプリロードに対応していけば、> ウェブについては最低限安全が保たれると言って良いのではないでしょうか。> 詳しい人間ならアドレスバーで見分けられると思います。
現在の一般人向けのセキュリティの話において、自論に都合のいい未来での話をされてもまた繰り返しになりますが「公衆WIFIを喜んで使う一般人のレベル」で話をしないと意味がないと思いますよ
たしかに、「みんなHTTPSに移行して~」は(来るかどうか分からない)未来の話です。でも、Amazonみたいな、パスワードなどで機密情報を扱い、一般人が使うほど知名度があるサービスなら、もうみんなHTTPSに移行していて、ある程度は現在でも通用する話だと思ったのですが、甘く考え過ぎでしたでしょうか?
「詳しい人間ならアドレスバーで見分けられると思います。」と書いたほうはまた別の話で、未来永劫すべての一般人にこの方法を普及させるのは無理だと思っているから、「詳しい人間なら」と前置きしました。
一般人は、HTTPかHTTPSかなんて一切気にしないっつーかそもそもURLなんて見ていない。アマゾンって書いてあるんだからアマゾンなんだろって程度。
マイクロソフトなんちゃら~って偽セキュリティ広告を鵜呑みにしてマルウェアインストールし、「マイクロソフトっていってるんだから偽物のわけがない」と宣うのが一般人ですよ。いやマジで。たとえ理系でも情報系に興味ない人ならその程度。
一般人はWindows 10とかmacOS Sierra以上でEdgeとかSafariを使うでしょ? どっちもHSTSにもcertificate pinningにも対応してるよ。Windows 8とかMac OS X Mavericksのような古いOSを排除するのは管理者の義務だよ。
> Windows 8とかMac OS X Mavericksのような古いOSを排除するのは管理者の義務だよ。
そういうのはさんざんWindows10ネガキャンして移行を阻止しているアンチMSの方々に言ってください
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
何が懸念されるのかな? (スコア:5, すばらしい洞察)
「セキュリティの懸念」っていうけれど「遺伝子組み換え野菜への懸念」程度のモヤッっとしたものでは? なんとなく危ないんちがうか?程度で実際的な被害があるのか明確になってません。
>暗号化されていないWi-Fiネットワークのセキュリティを懸念」
ここに注目して話をするのですが、IPレイヤでの個別の通信の暗号化が進んでいるので何が危ないのかな? と。
昔、第一に心配したのはSMBによる共有ですが、それは非Windowsでは関係がない上、今は暗号化されたSMB3.11ですよね。さらにいうと最近の人って SMB共有って使ってる人いるんでしょうか・・。
>オンラインバン
Re:何が懸念されるのかな? (スコア:2, 参考になる)
以下セキュリティ被害の出る一例
Unicodeによる悪意あるURL目視判断阻止行為は、実際にここでやるとまずいと思うのでそこは説明文記載にしておきます
・あなたはコーヒーショップやバーガーショップで 「暗号化なし」や「WEP」で動作しているAPに接続してmacbookでどや顔しています
・あなたのWEP暗号化は周囲の悪意あるものから1分程度ですでに破られています(暗号化なしなら最初から丸見え)
・あなたはamazon.co.jpを見ようと思い、http://から始まるURLを表示するようブラウザに指示しました
・あなたが操作した結果発生するDNS名前解決要求に、悪意あるものは本来のDNSサーバより先に悪意あるサイトのIPを返しました
・あなたのブラウザは、悪意あるものが示したIPに接続します。ここで悪意あるページ上のスクリプトにより、
ブラウザは「amazon.co.jp」ではなく悪意ある(Unicodeを駆使し目視ではまったく判別がつかない)「amazon.co.jp」を表示し、
すぐさま「https://から始まる、悪意あるamazon.co.jpのログインページ」を表示します
ここで、「悪意あるamazon.co.jp」が表示するログインページの内容は、「本物のamazon.co.jpのログイン画面と全く同じ画面」です
・「悪意あるamazon.co.jp」には正式な「悪意あるamazon.co.jpとしてのSSL証明書」が存在するため、ブラウザはこのサイトが正当なサイトだとお墨付きを与えて表示します
・この状態で「amazon.co.jp」のユーザ名/パスワードを入力したら即アウト!!
上記は仮にamazon.co.jpを例にしましたが、現実にはhttp://のURLを持つすべてのサイトで上記のような影響を受けうる可能性があります
http:/// [http]から始まる www.google.co.jp などのURLを使った場合には検索条件が盗聴されるうえに検索結果のすべてが汚染されて表示される可能性もあります
悪意ある行為を受け始めた時点での回避策:
もっとも最初のブラウザからのアクセスにおいて、必ずhttpではなくhttpsのURLを開く(絶対死守)。さらにhttpsのページからhttpのページへのリダイレクトは警告するブラウザ設定とし(絶対死守)、この警告を絶対に軽視せず警告が出た時点で悪意ある行為にさらされていると判断し速やかに切断する(絶対死守)
ブラウザ以外のアプリすべてにおいて、上記のような動作をしないアプリがないかを常に確認し、上記のような動作をしないアプリは一切使わない(絶対死守)
-> で、そんなの理解してる一般人はどのくらいいます?
Re:何が懸念されるのかな? (スコア:4, すばらしい洞察)
amazonはPreloaded HSTSに登録されているので例えとして適切ではないな
・あなたはamazon.co.jpを見ようと思い、http://から始まるURLを表示するようブラウザに指示しました
この時点でブラウザがhttps://amazon.co.jpへ自動的にリダイレクトします
というわけで一般人は何も考えなくてもセキュアにamazonを利用できるというわけだ
Re:何が懸念されるのかな? (スコア:1)
書いてあることに基本的には同意ですけど、今はHSTSやHSTSプリロードがあるので、
もっとも最初のブラウザからのアクセスにおいて、必ずhttpではなくhttpsのURLを開く(絶対死守)。
は絶対死守でもないでしょう。
一般人なら、アドレスバーにURLを入力するなんて滅多にやらないと思います。ググったり、せいせいブックマークからのアクセスでしょう。グーグルなら、当然HSTSプリロードに入っているし、ブックマークならちゃんとhttpsのURLになっていれば良いわけです。
というわけで、みんなHTTPSに移行して、さらにHSTSなりHSTSプリロードに対応していけば、ウェブについては最低限安全が保たれると言って良いのではないでしょうか。
ブラウザは「amazon.co.jp」ではなく悪意ある(Unicodeを駆使し目視ではまったく判別がつかない)「amazon.co.jp」を表示し、
今時のウェブブラウザでは、Unicodeの微妙な記号を使うとPunycodeをデコードせずxy--で始まる生の表記になるようです。詳しい人間ならアドレスバーで見分けられると思います。
Re: (スコア:0)
> というわけで、みんなHTTPSに移行して、さらにHSTSなりHSTSプリロードに対応していけば、
> ウェブについては最低限安全が保たれると言って良いのではないでしょうか。
> 詳しい人間ならアドレスバーで見分けられると思います。
現在の一般人向けのセキュリティの話において、自論に都合のいい未来での話をされても
また繰り返しになりますが
「公衆WIFIを喜んで使う一般人のレベル」で話をしないと意味がないと思いますよ
Re: (スコア:0)
たしかに、「みんなHTTPSに移行して~」は(来るかどうか分からない)未来の話です。でも、Amazonみたいな、パスワードなどで機密情報を扱い、一般人が使うほど知名度があるサービスなら、もうみんなHTTPSに移行していて、ある程度は現在でも通用する話だと思ったのですが、甘く考え過ぎでしたでしょうか?
「詳しい人間ならアドレスバーで見分けられると思います。」と書いたほうはまた別の話で、未来永劫すべての一般人にこの方法を普及させるのは無理だと思っているから、「詳しい人間なら」と前置きしました。
Re:何が懸念されるのかな? (スコア:2, すばらしい洞察)
一般人は、HTTPかHTTPSかなんて一切気にしないっつーかそもそもURLなんて見ていない。
アマゾンって書いてあるんだからアマゾンなんだろって程度。
マイクロソフトなんちゃら~って偽セキュリティ広告を鵜呑みにしてマルウェアインストールし、
「マイクロソフトっていってるんだから偽物のわけがない」
と宣うのが一般人ですよ。いやマジで。
たとえ理系でも情報系に興味ない人ならその程度。
Re: (スコア:0)
一般人はWindows 10とかmacOS Sierra以上でEdgeとかSafariを使うでしょ? どっちもHSTSにもcertificate pinningにも対応してるよ。
Windows 8とかMac OS X Mavericksのような古いOSを排除するのは管理者の義務だよ。
Re: (スコア:0)
> Windows 8とかMac OS X Mavericksのような古いOSを排除するのは管理者の義務だよ。
そういうのはさんざんWindows10ネガキャンして移行を阻止しているアンチMSの方々に言ってください