パスワードを忘れた? アカウント作成
14104517 story
EFF

EFF曰く、あなたが思うよりずっと公衆Wi-Fiは安全 44

ストーリー by hylom
ただし暗号化された通信に限る 部門より

headless曰く、

EFFによれば、「安全のために公衆Wi-Fiの使用を避けるべき」というアドバイスはほぼ時代遅れであり、以前ほど多くの人に適用できるものではないという(Deeplinks BlogSoftpedia)。

Webページの多くがHTTP接続だった時代、暗号化されていないWi-Fiネットワークに接続すると通信内容を盗み見られる可能性があった。しかし、2010年にFiresheepが公開されて以来、Web接続の暗号化の重要性が認識されてサイトのHTTPS化が進んだ。EFFは無料でサーバー証明書を発行するLet's Encryptの立ち上げに協力し、無料証明書の取得とインストールを容易にするCertbotを開発している。

その結果、現在米国から閲覧されるWebページの92%がHTTPS接続だという。インドなどHTTPS接続ページの閲覧率が低い(80%)国もあるが、それでも大半のページがHTTPSで保護されている。HTTPSでもメタデータは暗号化されないが、接続先ドメイン名やダウンロードサイズといったものであり、閲覧したページのURLや送受信したメッセージなどが盗み見られることはない。ただし、ソフトウェアに脆弱性があると公衆Wi-Fi接続中に攻撃を受ける可能性もあるため、常にソフトウェアを最新の状態に保つことが重要とのこと。

政府機関が人々を監視する場合はISPのコアルーターなどもっと上流で行われることが多く、暗号化されていない公衆Wi-Fiの盗聴リスクを心配することもない。人生には心配事がたくさんあるが、そのリストから公衆Wi-Fiを消しても問題ないとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by monanete (48934) on 2020年02月06日 8時59分 (#3757087)

    なぜなら私のような人間がmixiの退会ページに平文のままで送信されるパスワードを目ざとく見つけ出しているからです。

  • せいぜい、

    あなたが思うよりずっと、公衆Wifiは危険だった

    くらいのもんじゃないだろうか……

  • by Anonymous Coward on 2020年02月06日 19時24分 (#3757497)

    重要なのは「安心できるどうか」
    「安心」さえできれば、誰がどんな情報を盗聴してようがほとんどの人は気にしないし
    どんなに「安全」であろうとも「安心」できなければ全く意味がない

    • by Anonymous Coward

      さすがに書かせてもらうが、強気な情弱か投げやりな愚痴にしか聞こえんぞ。
      守秘が多すぎて良心の呵責でも感じたか?
      安心がどこから来るのかもう少し考えてから書いてくれ。

      #名声のない他人に安全っていわれても信用できないが、名声のあるセキュリティアナリストにいわれればそれなりに妥協する世界ではある
      P.S なす術がない妥協=無視してるだけか、無知の場合もある

    • by Anonymous Coward

      あべこべやん。

  • by Anonymous Coward on 2020年02月06日 8時46分 (#3757082)

    http接続ってより、見ず知らずのローカルネットワークに繋がることなんじゃないだろうか

    • by Anonymous Coward

      それもあるしDNSサーバーも勝手に指定されるから、名前解決も支配される。
      httpsが普及したとはいえ、 httpで偽のGmailなどに接続されて入力すると危険か。
      HSTSが重要になりそう。https対応してもHSTS使ってないサイト、まだまだ多そう。
      YahooJapanメールもHSTS使ってないようだ。

      お、我らがスラドは対応してるではないか。
      そして、X-Benderに変なメッセージ仕込んでやがる。

    • by Anonymous Coward

      HTTPSを使っているなら、見ず知らずのローカルネットワークが悪意のあるところであっても攻撃者が見れるのは目的地のIPアドレスと暗号化されたバイトストリームだけなので、実害はそれほどないよね、ってことだろう。
      え?平文でPOP3を使ってる?・・・ご愁傷様です。

      • by Anonymous Coward

        WANはブロックしててもLAN内からのアクセスは全許可してる人もいたりするし、
        同じネットワーク内に悪意ある人がいるとアレかもです。
        ホスト間通信をブロックする設定にしてるルーターが基本だろうけど、偽のスポットを設置されるとお手上げ。

      • by Anonymous Coward

        フォルダ共有有効なWindowsタブレットをFree WiFiに繋いでも大丈夫でしょうか?
        同一ネットワーク内の別端末から覗かれたりしません?

        • by Anonymous Coward

          ちゃんとネットワーク種別が「プライベート」になっていて、
          かつプライベートネットワークの共有が(既定のまま)オフになっていれば大丈夫。

          ただ、よくわからないままプライベートネットワークの共有をオンにしてる人多そう。(個人の感想です)

          • by Anonymous Coward

            ただの打ち間違いだとは思うけど、プライベートじゃなくて、パブリックな。

            プライベートだけ共有を有効にする(既定値もそうなってる)

        • by Anonymous Coward

          オジイチャン、Windows 8以降は知らないサブネットに繋ぐと「このネットワークは大丈夫ですか?」と聞いてくるんですよ
          早くSandy Bridgeはリサイクルしてくださいね

        • by Anonymous Coward

          Windowsのフォルダ共有も、トランスポート層より上で暗号化している点ではHTTPSと同じ。
          ゲストとAnonymousを無効化していれば問題ないでしょう。

    • by Anonymous Coward

      それよりもhttpだけでなく他のプロトコルだって使うだろ。
      それに上位レイヤで頑張ったところで下位レイヤで何されるかわからんって話もあるし。
      WHOの連中みたいなものいいじゃないか、これ。

  • by Anonymous Coward on 2020年02月06日 8時51分 (#3757083)

    Q:公衆Wi-Fiに接続して新型コロナウイルスに感染しますか?
    A:貴方のスマホがすでに新型コロナウイルスまみれになっていなければ大丈夫です。

  • by Anonymous Coward on 2020年02月06日 9時20分 (#3757097)

    レンタルサーバーのメールが独自ドメインのSSLに対応していないんですよねえ。
    事業者ドメインでつなげば問題は無いんですけど、できればこちらも標準で対応できるようにして欲しい。

    • by Anonymous Coward

      そんなレンタルサーバーはやめてしまえ。

  • by Anonymous Coward on 2020年02月06日 10時06分 (#3757126)

    >現在米国から閲覧されるWebページの92%がHTTPS接続だという。インドなどHTTPS接続ページの閲覧率が低い(80%)国もあるが、

    日本はHTTPSの割合が世界的に見ても低い国であるということを忘れてはならない。
    公衆wifiからだとスマホでアクセスすることが多いと思うけど、
    androidからのアクセスでは、ここで閲覧率が低いとされたインドより日本はもっと低い。

    https://transparencyreport.google.com/https/overview?hl=ja&load_os... [google.com]

  • by Anonymous Coward on 2020年02月06日 10時10分 (#3757128)

    たとえば、飲食店に行き、無料のWiFiを使うとする。
    そのとき、TLSでは接続できない。80経由で、WiFiの利用規約ページに飛ばされる。
    偽APを構築して、そこを乗っ取れば。

    現実問題として、リスクを承知の上で、飯食いながらWUのESD落としたりしてるんだが、
    リスクがないかというと、それは言い過ぎ。

  • by Anonymous Coward on 2020年02月06日 10時57分 (#3757147)

    この件に限らずシステム側で対応されてしまって現時点では大きな脅威ではないものを「脅威」だと煽ってユーザーの利便性を阻害する方向だよね。
    根底には「セキュリティと利便性は相反するもの」ってこれもまた時代遅れな価値観があるのだろうけど、利便性を損なうと「セキュリティ対策してます感」で自己満足にも繋がるからプレゼン的なウケもいいと。

    実際には面倒なことやってると新たな手口の脅威に注意を向ける余裕がなくなるから逆効果だと思うのだけどね。
    「何重にもFW入れたセキュリティの高いNWなので安全です」とか寝ぼけたこと言ってると標的型メール一発で終わるとか。

    • by Anonymous Coward

      権威主義と正常性バイアスが半端に古い情報と結びつくとヤバい
      「パスワード管理ソフトを使うと情報を盗まれる!」とか
      「CPUの脆弱性はインテルがすぐ直す!」とか

      専門家はそれなりに正しいんだけど話が長く感情的には弱くなるし
      しばしば市井での権威が弱くて無視されがちなんだよね
      EFFも元々はUNIXの専門家集団だし

    • by Anonymous Coward

      いうても相反するというのがおかしいだけで、セキュリティを上げれば利便性は下がるというのは真だろ。

      • by Anonymous Coward

        利便性を下げず機密性を担保する仕組みを考えるのがセキュリティ屋の仕事。

        不便な仕組みでやっていいならバカにだって出来る。

        # ネットワークセキュリティを確実にしたい?
        # だったらネットワークに繋がなければいいだろう。

      • by Anonymous Coward

        「利便性を下げればセキュリティが上がる」は偽だろ
        実際にはそのパターンが非常に多いから「利便性を大きく下げなくても(利便性を
        下げることで安全性が高まると思い込んでる他の手法よりも)セキュリティは上げられる」
        というのが成立する

  • by Anonymous Coward on 2020年02月06日 11時01分 (#3757152)

    スマホを落としただけなのに 囚われの殺人鬼 [wikipedia.org]』

    Cパートの主人公。桐野の恋人で元同僚。
    セキュリティ会社に勤務しているが、庶務兼社長秘書のような役割で、プログラミングに関する知識はない。
    ある日、Mが作ったダミーのフリーWi-fiにひっかかったことから個人情報を奪われてしまう。

    2020年公開の映画でもこれ。一般人の認識はまだこのレベル。

    • by Anonymous Coward

      その認識があればマシ、なレベルだと思うんですけどね・・・。
      コンビニやマクドナルドのFreeWiFiだけで接続する電波乞食とか居る世界ですから。

  • by Anonymous Coward on 2020年02月07日 2時31分 (#3757713)

    なので Google play からVPNアプリをインストールして、どこぞの誰かが立てたVPNサーバを経由して安全な通信を行う必要があるよ。

    • by Anonymous Coward

      >どこぞの誰かが立てたVPNサーバを経由して安全

      がどう安全なのかと・・・

      • by Anonymous Coward

        ギャグでいってるんだよ

        • by Anonymous Coward

          ギャグでいってるんだよ

          その的はずれなツッコミも含めて笑う話なのかもよっ!

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...