アカウント名:
パスワード:
台数で言っても、公衆wifiの利用度から言っても、この脆弱性の主なターゲットはスマホでは。そのスマホで対応スケジュールすら確定していない段階で、「対応が進む」という見出しを付けてしまうのはどうかね。
それほど利用しやすい脆弱性ではなさそうなのでそんなに心配はしていないが、そのうち高度な攻撃コードが生まれないとも限らない。
ここにきて絶滅確定コースに乗ったWindowsPhoneが息を吹き返すのか?!な~んてね
ゲーム機もそれなりにありそう
特に生産終了したPS3と3DSは対応されるのか
皆思ってると思うけど、WPA2も結構古びてきてるよね。WPA3とか作らなくていいの?4Gの次はどうとか、TLS1.3はどうするとかAESの次の暗号規格の話とかは時々聞くけど、WPA2の次の規格どうするって話進んでるのだろうか。WPA2に行き着くまでに紆余曲折ありすぎてもう規格を作るのがいやになったのだろうか。
> 台数で言っても、公衆wifiの利用度から言っても、この脆弱性の主なターゲットはスマホでは。
今回の攻撃は実際に攻撃を成立させるためには攻撃者側に相当な努力と運とリスクが必要で、その上で成立してもHTTPSやVPNの通信はまた別という内容です
そこまでやって狙うものが一般的なスマホというのはさすがに割に合わなさすぎます特に公衆WIFI利用などを想定してベースの実装そのものにおいてHTTPS化やVPN化が(100%ではないにせよ)進んでいるスマホは、前述した理由からなおさら狙う意味が薄くなっています
実際に狙われるのは軍事や大企業、研究所などの、半据え置きのWIFI機器でしょう
この点で、(MSを除けば)広いオフィスをカバーするためや公衆WIFI機器としてのWIFIリピータのベンダーが最初に対応しはじめたのは理にかなっていますそこが攻撃されやすいうえ、攻撃されるとリピータに収容されたクライアント全体に影響がおよぶからです
公衆Wifiが脆弱性持ちのクライアントをREJECTできるならいいけど、区別つけることが不可能なら脆弱な端末が存在する限り将来にわたって成りすまし接続されるリスクが残る
互換性のないよりセキュアなプロトコルを作って、10年ぐらいかけて移行しないと危険かもしれない
> 公衆Wifiが脆弱性持ちのクライアントをREJECTできるならいいけど、区別つけることが不可能なら> 脆弱な端末が存在する限り将来にわたって成りすまし接続されるリスクが残る
残りません
発見者のサイトでもさんざん明言されていますが、HTTPSでもVPNでもその他セキュリティ用プロトコルでも、WPA/WPA2とは別のレイヤーに存在するセキュリティ用プロトコルは今回の攻撃の影響の範囲外です
なのでWIFIパスワードなどは漏洩しませんし、公衆WIFIでよく行われているレイヤ7認証もHTTPSなどが正しく適用されていれば破られません偽APにつないでしまっているクライアントは、(
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
主戦場はスマホじゃないだろうか (スコア:0)
台数で言っても、公衆wifiの利用度から言っても、この脆弱性の主なターゲットはスマホでは。
そのスマホで対応スケジュールすら確定していない段階で、「対応が進む」という見出しを付けてしまうのはどうかね。
それほど利用しやすい脆弱性ではなさそうなのでそんなに心配はしていないが、そのうち高度な攻撃コードが生まれないとも限らない。
Re:主戦場はスマホじゃないだろうか (スコア:2)
ここにきて絶滅確定コースに乗ったWindowsPhoneが息を吹き返すのか?!
な~んてね
Re:主戦場はスマホじゃないだろうか (スコア:1)
ゲーム機もそれなりにありそう
特に生産終了したPS3と3DSは対応されるのか
Re: (スコア:0)
皆思ってると思うけど、WPA2も結構古びてきてるよね。WPA3とか作らなくていいの?4Gの次はどうとか、TLS1.3はどうするとかAESの次の暗号規格の話とかは時々聞くけど、WPA2の次の規格どうするって話進んでるのだろうか。WPA2に行き着くまでに紆余曲折ありすぎてもう規格を作るのがいやになったのだろうか。
Re: (スコア:0)
> 台数で言っても、公衆wifiの利用度から言っても、この脆弱性の主なターゲットはスマホでは。
今回の攻撃は
実際に攻撃を成立させるためには攻撃者側に相当な努力と運とリスクが必要で、
その上で成立してもHTTPSやVPNの通信はまた別という内容です
そこまでやって狙うものが一般的なスマホというのはさすがに割に合わなさすぎます
特に公衆WIFI利用などを想定して
ベースの実装そのものにおいてHTTPS化やVPN化が(100%ではないにせよ)進んでいるスマホは、
前述した理由からなおさら狙う意味が薄くなっています
実際に狙われるのは軍事や大企業、研究所などの、半据え置きのWIFI機器でしょう
この点で、(MSを除けば)
広いオフィスをカバーするためや公衆WIFI機器としてのWIFIリピータのベンダーが最初に対応しはじめたのは理にかなっています
そこが攻撃されやすいうえ、攻撃されるとリピータに収容されたクライアント全体に影響がおよぶからです
Re: (スコア:0)
公衆Wifiが脆弱性持ちのクライアントをREJECTできるならいいけど、区別つけることが不可能なら
脆弱な端末が存在する限り将来にわたって成りすまし接続されるリスクが残る
互換性のないよりセキュアなプロトコルを作って、10年ぐらいかけて移行しないと危険かもしれない
Re: (スコア:0)
> 公衆Wifiが脆弱性持ちのクライアントをREJECTできるならいいけど、区別つけることが不可能なら
> 脆弱な端末が存在する限り将来にわたって成りすまし接続されるリスクが残る
残りません
発見者のサイトでもさんざん明言されていますが、
HTTPSでもVPNでもその他セキュリティ用プロトコルでも、
WPA/WPA2とは別のレイヤーに存在するセキュリティ用プロトコルは今回の攻撃の影響の範囲外です
なのでWIFIパスワードなどは漏洩しませんし、公衆WIFIでよく行われているレイヤ7認証も
HTTPSなどが正しく適用されていれば破られません
偽APにつないでしまっているクライアントは、(