アカウント名:
パスワード:
使うから https については関係がないという認識。実験としては興味深いが、これで何かアクションを起こすようなものはあるでしょうか。
>今回観測できたアクセスには文字入力ミスによるものも含まれており、>その多さにも驚いたという。って、ちゃんと書いてあった。
「証明書を使うからhttpsについては関係がない」ってのが、証明書では防げないって意味ならあってるがそういう文脈には読めんな私には、証明書があるから大丈夫、と思ってる様に読める
これはビット化けを狙った話やろビット化けがそう都合よく起こるか?証明書やり取りしてたらエラーになると思うからhttps、っていうかtcpの時点でもう無理(ある意味大丈夫)でしょNTPパケットがUDPだからできるんであって
もちろんtypoの場合は別だけど
これはネットワークに流れる前にPC内のメモリエラーで誤った内容で正常なパケットが作成されるパターンですね。TCP,UDP どちらもチェックサムがあるので、1ビット誤りなら破棄されるので。
過去には JVM のような仮想マシンのセキュリティを突破する方法としてメモリのソフトエラーを利用するという研究がされていて、実際に現象が起きています。https://www.cs.princeton.edu/~appel/papers/memerr.pdf [princeton.edu]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
証明書 (スコア:1)
使うから https については関係がないという認識。
実験としては興味深いが、これで何かアクションを起こすようなものはあるでしょうか。
>今回観測できたアクセスには文字入力ミスによるものも含まれており、
>その多さにも驚いたという。
って、ちゃんと書いてあった。
Re: (スコア:0)
「証明書を使うからhttpsについては関係がない」ってのが、証明書では防げないって意味ならあってるがそういう文脈には読めんな
私には、証明書があるから大丈夫、と思ってる様に読める
Re: (スコア:0)
これはビット化けを狙った話やろ
ビット化けがそう都合よく起こるか?
証明書やり取りしてたらエラーになると思うからhttps、っていうかtcpの時点でもう無理(ある意味大丈夫)でしょ
NTPパケットがUDPだからできるんであって
もちろんtypoの場合は別だけど
Re:証明書 (スコア:0)
これはネットワークに流れる前にPC内のメモリエラーで誤った内容で正常なパケットが作成されるパターンですね。
TCP,UDP どちらもチェックサムがあるので、1ビット誤りなら破棄されるので。
過去には JVM のような仮想マシンのセキュリティを突破する方法としてメモリのソフトエラーを
利用するという研究がされていて、実際に現象が起きています。
https://www.cs.princeton.edu/~appel/papers/memerr.pdf [princeton.edu]