パスワードを忘れた? アカウント作成
268053 story
セキュリティ

WiFi 上で他人のログイン情報を盗む Firefox の拡張機能が公開される 35

ストーリー by reo
ご利用は計画的に 部門より

Honey Pod 曰く、

暗号化の不十分な WiFi 上で Twitter や Facebook などのアカウントが容易に乗っ取られ得ることを実証する Firefox の拡張機能「Firesheep」をセキュリティ研究者 Eric Butler 氏が先週末、Toorcon 12 にて公開した (engadget 日本版の記事ITmedia News の記事より) 。

記事中でも指摘されているように、これは従来から放置され続けてきた「SSL のログイン、または、強い暗号を使っていないWebサイト」の問題であり、盗聴するクライアントが何で実装されているかは本質ではないし、警鐘が鳴らされるのも初めてではない。しかし今回の機能拡張とコードの公開を機に、本格的な対策が急務となってしまうことはもはや避けられないだろう。

危険性を抱えたまま放置されていた方が良かったか、混乱と引き換えに対策を強要される方がましなのか、/.J の諸君はどう思われるだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 「ブラウザを動かせるiPhoneが悪い」なんて意見もあったりしてかなりげんなり。

    • by Anonymous Coward
      ブラウザの実装を叩く声をよく見るのも・・・
      そこは問題の本質に無関係だし、ソフト本来の用途では無問題だろうと
    • by Anonymous Coward

      Winnyを動かせるWindowsが悪いなんて意見をスラドで読んだ記憶が

  • Windows XPだと「キーは自動的に提供される」っていうチェックボックスがあったんですが、これってIEEE802.1Xを使っている場合に限って使えた話だったんだろうか?手元にもうXPマシンがないので確認しようがないが。でも確か昔々WEPを使っていた時代にアクセスポイントの管理者からこのチェックボックスを入れろと指示された経験がある。

    Windows 7のノートパソコンで「ワイヤレスネットワークのプロパティ」を見てみると、「セキュリティの種類」と「暗号化の種類」が個別に選択可能で、前者を「認証なし(オープンネットワーク)」後者を「WEP」にすることができるのだが、これに相当するのだろうか?今では殆ど使われることはないのだろうが、あのチェックボックスがなんだったのか今更ながら気になる。

    --
    屍体メモ [windy.cx]
    • マイクロソフトの文書「Windows XP ワイヤレス展開テクノロジとその構成要素の概要」Microsoft Corporation発行 :2002 年 6 月によると、

      このチェック ボックスは、WEP キーが、ネットワーク アダプタやIEEE 802.1X 認証で提供されるキーなどの手動設定以外の方法で提供されるかどうかを指定します。このオプションは既定で有効になっています。この設定を無効にすると、EAP-TLS 認証は実行できず、EAP-MD5 CHAP 認証のみが実行できます。

      --
      屍体メモ [windy.cx]
      親コメント
  • 見なきゃいけないものから目をそらして、
    あたかもそこに存在していないかのように装うのは、
    本来起るべき混乱に備えることもなく、
    ただいつか浸食される日を待つどこかの9条教みたい。

  • by Anonymous Coward on 2010年10月28日 10時19分 (#1848845)

    偽計業務妨害罪でないの?

    • by 90 (35300) on 2010年10月28日 12時53分 (#1848972) 日記

      道具は道具。どう使うかはユーザの自由です。スニッファなしじゃできないお仕事だって沢山ありますよ。それに何より、犯罪が起こった後に対処して何か意味があるんですか? 「泥棒に入られて高価な壺を割られたけど、犯人は捕まったから問題ない」という風にはあんまり考えないと思いますけど。

      親コメント
    • by Anonymous Coward

      日本ではそうかもしれませんね。
      先のヤマトの件もそうでしたが、相手は日本人とは限らないって視点を持っておかれた方が良いかと。

      こんなストーリーも考えられますよね。
      1. 旅行者が
      2. 来日時にアカウントを収集し、
      3. 帰国後にアカウントをクラック

      2 が焦点になるとお考えかもしれませんが、収集のみで司法が動く事は無いと思いますよ。

      • by Anonymous Coward
        > こんなストーリーも考えられますよね。

        ストリートビューは規制しろってことですね。わかります。
  • by Anonymous Coward on 2010年10月28日 10時37分 (#1848858)

    これ、サイトの作りが悪いように書いていますが(実際悪いのですが)、それだけじゃなくて「暗号化の不十分なWiFi」が放置されていることも問題ですよね。某ハード [nintendo.co.jp]なんかの存在もそれに輪をかけているのかもしれませんが。

    適切に暗号化されてないWiFiを運用することのリスクを周知するのも大切だと思うのですが……。

    • 素性の分からないAPには接続しない、というクライアント(ユーザー)側の啓蒙が優先すると思います。

      他者の穴に不用意に物体を挿入してはいけないよ、ということを大人は本能的、あるいは社会的、経験的に分かっているせいか、屋内外に素性の分からぬハブやスイッチがあったからといって、不用意にケーブル突っ込む人をそれほど頻繁には見かけません。同様にやはり素性の分からぬアクセスポイントには不用意に接続しないのが大人として求められる態度だと思います。

      とはいえご指摘のように子供が使うおもちゃの存在もありますから…いやまぁ子供には穴なんて見せちゃダメなはずなんですが、なにせ彼らは好奇心旺盛ですからねぇ。

      じゃぁアクセスポイントの素性ってどうやって知るんだよ?という問題はやはりIEEE802.1Xを使うくらいのことしか今は思いつきません。

      --
      屍体メモ [windy.cx]
      親コメント
      • そもそもWPA2-PSKで暗号化されていても、事前共有キーを共有している者同士では通信が丸見えですからね。
        やはり本命は802.1Xでしょう。

        親コメント
        • パスフレーズを共有してる者同士でも、鍵を生成するときの情報源にはMACアドレスを含めるしIVも定期的に変更するしリプレイ攻撃に対する体制も考えられているようなので、通常のユニキャスト通信では丸見えってことはないんじゃないでしょうか。マルチキャスト通信やブロードキャスト通信ではユニキャスト通信での鍵とはまた別の鍵であるGTKが使われるようですが、それとてPTKで暗号化されて配布されるそうですので。WPA PSK Crackers: Loose Lips Sink Ships By Lisa Phifer [wi-fiplanet.com]

          --
          屍体メモ [windy.cx]
          親コメント
          • 失礼しました。その通りです。

            PreSharedKeyを共有(公開)していると、キーを知っている悪意のある者に
            なりすましAPを作成され放題なので、APの真正性を別の方法で確認しなければならない
            という問題と混同していました。

            公衆無線LANならWPA(2)-PSKに接続した後にWebブラウザでのユーザ認証が
            あるパターンも割とあると思いますので、そこでHTTPSのSSL証明書を検証すれば大丈夫ですね。

            親コメント
      • by Anonymous Coward
        穴とか挿すとかなんでそんなエロい書きかたしかできないの?
      • by Anonymous Coward
        >素性の分からないAPには接続しない

        これはもちろんそうなんだけど、例えば家庭で誰かがこれを使えば家族のセッションも盗めちゃうわけで。サービス提供者が全HTTPS化するくらいしか解決策はないんじゃないかな。
  • これが (スコア:0, 興味深い)

    by Anonymous Coward on 2010年10月28日 11時48分 (#1848925)

    > 従来から放置され続けてきた「SSL のログイン、または、強い暗号を使っていないWebサイト」の問題
    なら、WiFiで0円デジタルサイネージ [srad.jp]が叩かれたのはおかしくね? 少なくともヤマト運輸 [srad.jp]の事故はサイト側の問題とする立場と一貫性がない。

    • by Anonymous Coward
      しょうがない。議論したいんじゃなくて叩きたいだけなんだから。
    • by Anonymous Coward

      暗号化されていないWi-Fiが悪だと思っちゃったのか
      サイネージサイトの信頼性のために勧められたSSL証明書と
      SSLを使った経路の暗号化をどこか混同しちゃったのか

    • by Anonymous Coward

      なんか混同していないか?

      WiFiで0円デジタルサイネージが叩かれた理由はなんだとおもっている?
      従来から(中略)問題ってのはなんだと思っている?

      それが同じことだと思っているならおまえさんの理解がおかしい

  • by Anonymous Coward on 2010年10月28日 12時55分 (#1848974)

    >「SSL のログイン、または、強い暗号を使っていないWebサイト」の問題
    って書いてるけど「または」って表現だと問題がぼやけちゃうんじゃない?

    これって、認証はhttpsでやってるけど、
    認証後はcookieにセッションID突っ込んでhttpでやってるから、
    sniffingされるとcookie見られてセッションハイジャック完了って事ね。

    Firefoxの拡張機能として実装した以外何の新規性もないし、
    途中経路のハブに物理的に干渉出来るならWiFiも関係しない。
    これまでもsnifferとBOOKMARKLETだけあれば簡単に実現出来てる話。

    今更問題にするのもおかしいし
    ログアウト状態を除いてすべてhttps化しろって話。

    • by mocchino (13752) on 2010年10月28日 13時53分 (#1849026)

      その辺はopen SSOとか使って複数サーバーでのシングルサインオン環境を構築しようとするとキッチリ書いてありますね

      クッキー取られると認証横取りされるからSSL使えって
      またそのためにクッキーにsecure 属性を付けるオプションもあります

      今時暗号化するだけの証明書なら$10/年位(最安値で$27/3年)からあるんだから
      重要なところにはそれなりの有名どころの証明書
      それ以外は安い証明書使って全部overSSLで良いと思うんですけどねぇ
      安いところと高いところを使い分ければ、容易に実現出来る気がします
      保険の問題でできないのかな?

      SSL部分のサーバー負荷はロードバランサーとかについてる
      SSLアクセラレータ使えば外だし出来るだろうし

      親コメント
      • Re:誤解を招くなぁ (スコア:3, すばらしい洞察)

        by ksada (4435) on 2010年10月28日 18時35分 (#1849223)

        よくわかっていないSEが頭のいいところ見せたがってるだけだと思う
        「証明書なんて取らなくてもこーすれば安全ですよー」と車輪の再発明
        被害総額が充分に積み上げられるまではこのままでしょう

        親コメント
      • > 安い証明書使って全部overSSLで良いと思う

        name based virtual host 使ってると単純にはSSL化できません。
        SNI が十分広まったらいいんだけど、現状、XPのIE8とかだと非対応…

        IPv4はアドレス枯渇が見えてる現状で、
        このためだけに IP based にするというのも資源の無駄遣いな気がするし…

        親コメント
        • by mocchino (13752) on 2010年10月28日 15時50分 (#1849124)

          その場合はちょっと高くなるけど、安いほうはワイルドカード証明書とって
          使うくらいしか手が無いかなぁ
          1ドメイン13K/年以上になっちゃいますけどね
          subjectAltNameは安いところでは自由に設定できないだろうし

          まぁ1つのIPで全部何とかするんだーって場合には使えませんけど

          親コメント
          • by Anonymous Coward
            SNI [wikipedia.org] っていう手もありますね。
    • by Anonymous Coward

      > 今更問題にするのもおかしいし
      全然問題視してくれないから業を煮やして、誰でも使える
      > Firefoxの拡張機能として実装
      ということをやったんでしょ?

      > 何の新規性もないし
      この件に新規性がないということ自体に注目すべき。

  • ここ(/.j)は大丈夫なの?

    なにせここはアカウントの削除も出来ない [srad.jp]サイトですしね・・・・

  • by Anonymous Coward on 2010年10月28日 20時39分 (#1849286)
    前から不思議なんだけど、なんでコンピュータ系のセキュリティ屋は
    頼みもしないのに俺様が正しい的ドヤ顔でやってくるのがデフォなんでしょうか?

    実生活における脅威度で言えば、玄関の鍵のピッキング脆弱性のほうが
    はるかに上じゃないですか。

    だからといって、鍵屋が第三者の家にいきなり来て勝手に開錠し
    「ほら、あなたのうちはこんなに危険なんですよ」とか自慢げにいいませんよね?
    というか、普通に逮捕されるし、それ。

    求められてない限りは出てこなくていい役割だってのが、なんでわかんないのかなぁ…
    というか、自作自演かもしれない盗聴バスターと同じ人種なのかな?
    • by Anonymous Coward

      >求められてない限りは出てこなくていい役割だってのが、なんでわかんないのかなぁ…
      教科書通りの性善説型思考ですね!
      「問題があっても実際に被害が出ない限り問題にしない」って考え方が全日空機ハイジャック事件を引き起こしたとお考えにならないのでしょうか?

      • by Anonymous Coward
        セキュリティホールが造られているのを目のあたりにしつつ、何も言わせてもらえないだけでなく、責任だけ押し付けられるからだと思います。
      • by Anonymous Coward
        > 「問題があっても実際に被害が出ない限り問題にしない」って考え方が
        > 全日空機ハイジャック事件を引き起こしたとお考えにならないのでしょうか?

        なるほど。その事件を引き起こしたのは、以前から空港のセキュリティホールについて
        (頼まれもしないのに)指摘し続けていた人でしたね。鋭い指摘です。

        つまり、「頼みもしないのに俺様が正しい的ドヤ顔でやってくる」人物は
        聖悪的思考に基づき、潜在的なセキュリティ脅威として問題にするべきという
        意見だと理解しました。

        貴重なご意見ありがとうございます。
    • by Anonymous Coward

      喩えがおかしくない?

      今回のを鍵屋に喩えると、例えば、
      ・鍵を作って一般に販売しているメーカーがあって、
      ・そこの鍵を鍵屋が調べたら簡単に他人のスペアキーを作ることが出来ることがわかって、
      ・メーカーに製品の改善を要求している。
      と、こんな感じじゃない?

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...