アカウント名:
パスワード:
同様の手法でマルウェア散布を試みるAPも安価に簡単に作れてしまうことになります。これは従来から指摘されてきた野良APの危険性と何ら変わるものではありませんが、野良APの作成とそこへのアクセスを薦めるようなプロジェクトのようですから、APを設置する者と接続する者の両方に対して、危険性に関する啓蒙活動も同時に行っていただけるようお願いいたします。
将来このようなAPの設置が一般化してしまうと、APをクラックして改竄する攻撃や、AP作成時に意図せずマルウェアを混入させてしまう危険性、そして悪意をもってAPを設置する攻撃者の出現などが、十分に考えられるでしょう。
ただし,マルウエアを流したり,パスワードを拾ったりすれば,物理的にどこのPCから電波出してるかが分かり,足がつきます.インターネット上とは違い,そういった点は警察側の取り締まりで解決するようにも思えます.なので,やるまえから現行犯逮捕されるようなばかなことをする人はいないのではと個人的には楽観視してます.盗聴ではなく,ssid見える状態でビーコンを流してますから,場所の特定はかなり容易です.
ですが,おっしゃる通りだれでもが使えると危険なので,ソフトは公開せずに,コンテ
> ちゃんとしたend-to-endのSSL接続をする場合に、既存のアクセスポイントの現物を> 確認しない限り安全かどうか確認できないような脆弱なパターンって、設定不備と> 未知の脆弱性以外にありうるの?
「ちゃんとした」との事なので SSL 証明書を発行してもらうのだと思うのですが、Verisign に証明書を発行してもらう場合、セキュアサーバでも 85,050 円/年(これ 2048bit 化に伴なってなくなるんでしたっけ?)です。# https://storefront.verisign.co.jp/jp/server/SiCart.sf [verisign.co.jp]
いわゆるオレオレ証明書でも物理的な看板にフィンガープリントを書いておいて、接続前に確認すれば良いんじゃないでしょうか。
いや、こういうご当地モノにこそ相応しいソリューションだよそれ。ネット以外の安全な確認手段を、容易に提供できる数少ない例じゃないか。もちろん同じ手段で偽のフィンガープリントばら撒かれる可能性もあるけれど、物理的に証拠が残り得るリスクは相当の抑止力を期待できるだろうし、目に見える形であれば、警察を含む素人衆にも警戒させやすいだろう。
そうやって手に入れたフィンガープリントをどうやって確認するかとか、そんな面倒くさい作業を普通のユーザーがするわけないとかいう意味では、確かにナンセンスだが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
セキュリティに関する啓蒙もお願いします (スコア:4, すばらしい洞察)
同様の手法でマルウェア散布を試みるAPも安価に簡単に作れてしまうことになります。
これは従来から指摘されてきた野良APの危険性と何ら変わるものではありませんが、
野良APの作成とそこへのアクセスを薦めるようなプロジェクトのようですから、
APを設置する者と接続する者の両方に対して、
危険性に関する啓蒙活動も同時に行っていただけるようお願いいたします。
将来このようなAPの設置が一般化してしまうと、APをクラックして改竄する攻撃や、
AP作成時に意図せずマルウェアを混入させてしまう危険性、
そして悪意をもってAPを設置する攻撃者の出現などが、十分に考えられるでしょう。
Re: (スコア:4, 参考になる)
ただし,マルウエアを流したり,パスワードを拾ったりすれば,物理的にどこのPCから電波出してるかが分かり,足がつきます.インターネット上とは違い,そういった点は警察側の取り締まりで解決するようにも思えます.なので,やるまえから現行犯逮捕されるようなばかなことをする人はいないのではと個人的には楽観視してます.盗聴ではなく,ssid見える状態でビーコンを流してますから,場所の特定はかなり容易です.
ですが,おっしゃる通りだれでもが使えると危険なので,ソフトは公開せずに,コンテ
Re: (スコア:-1, 荒らし)
Re: (スコア:3, 参考になる)
Re: (スコア:0)
ちゃんとしたend-to-endのSSL接続をする場合に、既存のアクセスポイントの現物を
確認しない限り安全かどうか確認できないような脆弱なパターンって、設定不備と
未知の脆弱性以外にありうるの?
設定に問題がないSSL接続であれば、相手が正しい通信相手かは検出できるんだから
AP云々って話が出てくる時点でよくわかっていないのでは?
もちろん、暗号化されない通信に関しては現状の公衆無線LAN通信でも信頼性は無いけど、
それは究極にはすべてのインターネットを経由した通信に言える話であって、
無線だから云々という話ではなくなるし。
Re: (スコア:1)
> ちゃんとしたend-to-endのSSL接続をする場合に、既存のアクセスポイントの現物を
> 確認しない限り安全かどうか確認できないような脆弱なパターンって、設定不備と
> 未知の脆弱性以外にありうるの?
「ちゃんとした」との事なので SSL 証明書を発行してもらうのだと思うのですが、
Verisign に証明書を発行してもらう場合、セキュアサーバでも 85,050 円/年(これ 2048bit 化に伴なってなくなるんでしたっけ?)です。
# https://storefront.verisign.co.jp/jp/server/SiCart.sf [verisign.co.jp]
看板にフィンガープリントを書いておく (スコア:1)
いわゆるオレオレ証明書でも物理的な看板にフィンガープリントを書いておいて、接続前に確認すれば良いんじゃないでしょうか。
屍体メモ [windy.cx]
Re: (スコア:0)
いや、こういうご当地モノにこそ相応しいソリューションだよそれ。
ネット以外の安全な確認手段を、容易に提供できる数少ない例じゃないか。
もちろん同じ手段で偽のフィンガープリントばら撒かれる可能性もあるけれど、
物理的に証拠が残り得るリスクは相当の抑止力を期待できるだろうし、
目に見える形であれば、警察を含む素人衆にも警戒させやすいだろう。
そうやって手に入れたフィンガープリントをどうやって確認するかとか、
そんな面倒くさい作業を普通のユーザーがするわけないとかいう意味では、
確かにナンセンスだが。