EFF曰く、あなたが思うよりずっと公衆Wi-Fiは安全 44
ストーリー by hylom
ただし暗号化された通信に限る 部門より
ただし暗号化された通信に限る 部門より
headless曰く、
EFFによれば、「安全のために公衆Wi-Fiの使用を避けるべき」というアドバイスはほぼ時代遅れであり、以前ほど多くの人に適用できるものではないという(Deeplinks Blog、Softpedia)。
Webページの多くがHTTP接続だった時代、暗号化されていないWi-Fiネットワークに接続すると通信内容を盗み見られる可能性があった。しかし、2010年にFiresheepが公開されて以来、Web接続の暗号化の重要性が認識されてサイトのHTTPS化が進んだ。EFFは無料でサーバー証明書を発行するLet's Encryptの立ち上げに協力し、無料証明書の取得とインストールを容易にするCertbotを開発している。
その結果、現在米国から閲覧されるWebページの92%がHTTPS接続だという。インドなどHTTPS接続ページの閲覧率が低い(80%)国もあるが、それでも大半のページがHTTPSで保護されている。HTTPSでもメタデータは暗号化されないが、接続先ドメイン名やダウンロードサイズといったものであり、閲覧したページのURLや送受信したメッセージなどが盗み見られることはない。ただし、ソフトウェアに脆弱性があると公衆Wi-Fi接続中に攻撃を受ける可能性もあるため、常にソフトウェアを最新の状態に保つことが重要とのこと。
政府機関が人々を監視する場合はISPのコアルーターなどもっと上流で行われることが多く、暗号化されていない公衆Wi-Fiの盗聴リスクを心配することもない。人生には心配事がたくさんあるが、そのリストから公衆Wi-Fiを消しても問題ないとのことだ。
あなたが思うよりずっと公衆Wi-Fiは危険 (スコア:4, おもしろおかしい)
なぜなら私のような人間がmixiの退会ページに平文のままで送信されるパスワードを目ざとく見つけ出しているからです。
Re:あなたが思うよりずっと公衆Wi-Fiは危険 (スコア:1)
おまわりさんこいつです
Re: (スコア:0)
なるほど、退会するんだからパスワードはもう使われないんだし見えても問題ないでしょっていう理屈か。mixiやってくれるな。
EFFが思うよりきっと一般ユーザの危機意識は低い (スコア:1)
せいぜい、
あなたが思うよりずっと、公衆Wifiは危険だった
くらいのもんじゃないだろうか……
Re:EFFが思うよりきっと一般ユーザの危機意識は低い (スコア:1)
どうなんでしょ
#自宅Wifi使ってなければ怖くない?
Re: (スコア:0)
どっちかというと
「これはプライバシー侵害の可能性があるぞ」でおなじみの危機意識の高いEFFでさえ「それほどでもない」と言ってるレベルだ
と受け取るのがいいんじゃないかな
「安全かどうか」はどうでもいいんだよ (スコア:1)
重要なのは「安心できるどうか」
「安心」さえできれば、誰がどんな情報を盗聴してようがほとんどの人は気にしないし
どんなに「安全」であろうとも「安心」できなければ全く意味がない
Re: (スコア:0)
さすがに書かせてもらうが、強気な情弱か投げやりな愚痴にしか聞こえんぞ。
守秘が多すぎて良心の呵責でも感じたか?
安心がどこから来るのかもう少し考えてから書いてくれ。
#名声のない他人に安全っていわれても信用できないが、名声のあるセキュリティアナリストにいわれればそれなりに妥協する世界ではある
P.S なす術がない妥協=無視してるだけか、無知の場合もある
Re: (スコア:0)
あべこべやん。
怖いのは (スコア:0)
http接続ってより、見ず知らずのローカルネットワークに繋がることなんじゃないだろうか
Re: (スコア:0)
それもあるしDNSサーバーも勝手に指定されるから、名前解決も支配される。
httpsが普及したとはいえ、 httpで偽のGmailなどに接続されて入力すると危険か。
HSTSが重要になりそう。https対応してもHSTS使ってないサイト、まだまだ多そう。
YahooJapanメールもHSTS使ってないようだ。
お、我らがスラドは対応してるではないか。
そして、X-Benderに変なメッセージ仕込んでやがる。
Re: (スコア:0)
そこでDoHですよ。
Re: (スコア:0)
アルカノイド?
Re: (スコア:0)
HTTPSを使っているなら、見ず知らずのローカルネットワークが悪意のあるところであっても攻撃者が見れるのは目的地のIPアドレスと暗号化されたバイトストリームだけなので、実害はそれほどないよね、ってことだろう。
え?平文でPOP3を使ってる?・・・ご愁傷様です。
Re: (スコア:0)
WANはブロックしててもLAN内からのアクセスは全許可してる人もいたりするし、
同じネットワーク内に悪意ある人がいるとアレかもです。
ホスト間通信をブロックする設定にしてるルーターが基本だろうけど、偽のスポットを設置されるとお手上げ。
Re: (スコア:0)
フォルダ共有有効なWindowsタブレットをFree WiFiに繋いでも大丈夫でしょうか?
同一ネットワーク内の別端末から覗かれたりしません?
Re: (スコア:0)
ちゃんとネットワーク種別が「プライベート」になっていて、
かつプライベートネットワークの共有が(既定のまま)オフになっていれば大丈夫。
ただ、よくわからないままプライベートネットワークの共有をオンにしてる人多そう。(個人の感想です)
Re: (スコア:0)
ただの打ち間違いだとは思うけど、プライベートじゃなくて、パブリックな。
プライベートだけ共有を有効にする(既定値もそうなってる)
Re: (スコア:0)
オジイチャン、Windows 8以降は知らないサブネットに繋ぐと「このネットワークは大丈夫ですか?」と聞いてくるんですよ
早くSandy Bridgeはリサイクルしてくださいね
Re: (スコア:0)
Windowsのフォルダ共有も、トランスポート層より上で暗号化している点ではHTTPSと同じ。
ゲストとAnonymousを無効化していれば問題ないでしょう。
Re: (スコア:0)
それよりもhttpだけでなく他のプロトコルだって使うだろ。
それに上位レイヤで頑張ったところで下位レイヤで何されるかわからんって話もあるし。
WHOの連中みたいなものいいじゃないか、これ。
これで安心して使えます(違 (スコア:0)
Q:公衆Wi-Fiに接続して新型コロナウイルスに感染しますか?
A:貴方のスマホがすでに新型コロナウイルスまみれになっていなければ大丈夫です。
Re:これで安心して使えます(違 (スコア:2)
新機種の出ない「洗えるスマホ」がまた復活するのかな
メール (スコア:0)
レンタルサーバーのメールが独自ドメインのSSLに対応していないんですよねえ。
事業者ドメインでつなげば問題は無いんですけど、できればこちらも標準で対応できるようにして欲しい。
Re: (スコア:0)
そんなレンタルサーバーはやめてしまえ。
日本はHTTPSの普及が遅れている (スコア:0)
>現在米国から閲覧されるWebページの92%がHTTPS接続だという。インドなどHTTPS接続ページの閲覧率が低い(80%)国もあるが、
日本はHTTPSの割合が世界的に見ても低い国であるということを忘れてはならない。
公衆wifiからだとスマホでアクセスすることが多いと思うけど、
androidからのアクセスでは、ここで閲覧率が低いとされたインドより日本はもっと低い。
https://transparencyreport.google.com/https/overview?hl=ja&load_os... [google.com]
Re:日本はHTTPSの普及が遅れている (スコア:2)
https://transparencyreport.google.com/safer-email/overview?hl=ja&e... [google.com]
メールサーバー間の暗号化も日本は遅れてんだよね・・・
Re: (スコア:0)
何か問題が置いているのかどうか、の点では何も問題は無い。この記事だって使用率少ないhttps everywareの自慢記事なんだし。
いいえ、80です (スコア:0)
たとえば、飲食店に行き、無料のWiFiを使うとする。
そのとき、TLSでは接続できない。80経由で、WiFiの利用規約ページに飛ばされる。
偽APを構築して、そこを乗っ取れば。
現実問題として、リスクを承知の上で、飯食いながらWUのESD落としたりしてるんだが、
リスクがないかというと、それは言い過ぎ。
Re:いいえ、80です (スコア:1)
そもそも、00000JAPANという災害時の緊急SSIDがありまして [softbank.jp]。
これ、暗号化されてないし、暗号化されてない分偽装してハニーポット構築しやすいですし…。
非常時専用だから仕方ない側面があるとはいえ、もう少し考えられなかったのかという気がします。
Re: (スコア:0)
え、この記事のタイトルくらい読めないの?
Re: (スコア:0)
何のためにhttp://www.msftconnecttest.com/redirectがあるか知らんのやろなぁ
Re: (スコア:0)
キャプティブポータルと偽APの話はそれぞれ別の問題ですね。
キャプティブポータルが侵害された例としては2017年にスターバックスの公衆Wi-Fiで暗号通貨採掘コードが仕込まれていた事件が有名です。
https://nakedsecurity.sophos.com/ja/2018/01/09/coffeeminer-project-let... [sophos.com]
セキュリティ屋の主張は時代遅れなことが多い (スコア:0)
この件に限らずシステム側で対応されてしまって現時点では大きな脅威ではないものを「脅威」だと煽ってユーザーの利便性を阻害する方向だよね。
根底には「セキュリティと利便性は相反するもの」ってこれもまた時代遅れな価値観があるのだろうけど、利便性を損なうと「セキュリティ対策してます感」で自己満足にも繋がるからプレゼン的なウケもいいと。
実際には面倒なことやってると新たな手口の脅威に注意を向ける余裕がなくなるから逆効果だと思うのだけどね。
「何重にもFW入れたセキュリティの高いNWなので安全です」とか寝ぼけたこと言ってると標的型メール一発で終わるとか。
Re: (スコア:0)
権威主義と正常性バイアスが半端に古い情報と結びつくとヤバい
「パスワード管理ソフトを使うと情報を盗まれる!」とか
「CPUの脆弱性はインテルがすぐ直す!」とか
専門家はそれなりに正しいんだけど話が長く感情的には弱くなるし
しばしば市井での権威が弱くて無視されがちなんだよね
EFFも元々はUNIXの専門家集団だし
Re: (スコア:0)
いうても相反するというのがおかしいだけで、セキュリティを上げれば利便性は下がるというのは真だろ。
Re: (スコア:0)
利便性を下げず機密性を担保する仕組みを考えるのがセキュリティ屋の仕事。
不便な仕組みでやっていいならバカにだって出来る。
# ネットワークセキュリティを確実にしたい?
# だったらネットワークに繋がなければいいだろう。
Re: (スコア:0)
「利便性を下げればセキュリティが上がる」は偽だろ
実際にはそのパターンが非常に多いから「利便性を大きく下げなくても(利便性を
下げることで安全性が高まると思い込んでる他の手法よりも)セキュリティは上げられる」
というのが成立する
『スマホを落としただけなのに 囚われの殺人鬼』 (スコア:0)
『スマホを落としただけなのに 囚われの殺人鬼 [wikipedia.org]』
2020年公開の映画でもこれ。一般人の認識はまだこのレベル。
Re: (スコア:0)
その認識があればマシ、なレベルだと思うんですけどね・・・。
コンビニやマクドナルドのFreeWiFiだけで接続する電波乞食とか居る世界ですから。
いや危険でしょ (スコア:0)
なので Google play からVPNアプリをインストールして、どこぞの誰かが立てたVPNサーバを経由して安全な通信を行う必要があるよ。
Re: (スコア:0)
>どこぞの誰かが立てたVPNサーバを経由して安全
がどう安全なのかと・・・
Re: (スコア:0)
ギャグでいってるんだよ
Re: (スコア:0)
ギャグでいってるんだよ
その的はずれなツッコミも含めて笑う話なのかもよっ!