アカウント名:
パスワード:
同様の手法でマルウェア散布を試みるAPも安価に簡単に作れてしまうことになります。これは従来から指摘されてきた野良APの危険性と何ら変わるものではありませんが、野良APの作成とそこへのアクセスを薦めるようなプロジェクトのようですから、APを設置する者と接続する者の両方に対して、危険性に関する啓蒙活動も同時に行っていただけるようお願いいたします。
将来このようなAPの設置が一般化してしまうと、APをクラックして改竄する攻撃や、AP作成時に意図せずマルウェアを混入させてしまう危険性、そして悪意をもってAPを設置する攻撃者の出現などが、十分に考えられるでしょう。
ただし,マルウエアを流したり,パスワードを拾ったりすれば,物理的にどこのPCから電波出してるかが分かり,足がつきます.インターネット上とは違い,そういった点は警察側の取り締まりで解決するようにも思えます.なので,やるまえから現行犯逮捕されるようなばかなことをする人はいないのではと個人的には楽観視してます.盗聴ではなく,ssid見える状態でビーコンを流してますから,場所の特定はかなり容易です.
ですが,おっしゃる通りだれでもが使えると危険なので,ソフトは公開せずに,コンテ
その場合も、オレオレ証明書を入れるリスクについて充分啓蒙してくださいね。最低でも・誰が何の目的で入れさせようとしている証明書なのか・その証明書は本当にその誰かの証明書に間違いないのかこれらをよく理解しないまま証明書をほいほいインストールするような愚かな習慣を広める輩は、SSL の破壊を招く自覚無きテロリストと呼んでも過言ではありません。
特に後者は非常に誤解され易いので念入りにお願いします。たとえオレオレの提供者が信頼できたとしても、証明書を入手したサイトは本当に「宝さがし」公式サイトに間違いないのか、通信経路で改竄なされていないか。それらを確認しないままインストールするのは、非常に危険なことなのです。
運営側の教育も必要ですね。証明書の期限をイベント終了時までにしておくとか、紛失・盗難とか...。
> 証明書を入手したサイトは本当に「宝さがし」公式サイトに間違いないのか、> 通信経路で改竄なされていないか。それらを確認しないまま証明書を使わないでそれを保証できるとは思えませんし保証できるならそもそも証明書をインストールさせる必要はないのでは。すでに目的は達成されているではありませんか。というかサイトから入手した証明書をインストールさせてはいけません。それだけで十分危険性の認識を麻痺させます。最低でもCD-Rで手渡し。それが不可能な運用範囲じゃないでしょ。
CAの証明書をインストールするという行為に鑑みると、指摘されている2点に加えて、さらに、
・その証明書の発行者の運用水準(セキュリティレベル)は十分か
ということもチェックする必要があります。正当な目的で、真正のCAが発行した証明書であっても、そのCAの運用水準が低ければ、乗っ取られてしまうかもしれません。
サービスの価格だけでなく、中間認証局はCPSを規定し、それにしたがって運用を行い、監査も受けなくてはならないはずです。これには相当なコストかかると思います。
正確に言うならば,「他の目的に使っているデバイスを,信用できない AP に繋いではいけない」ですね.
野良APに接続したときには,平文の通信は全て読み取られると考えるべきです.問題は,利用者の意図に関わらず,センシティブな情報の平文通信が行なわれてしまう場合が多々あることです.例えば,送信待ちフォルダにメールが入っているMUAや,ブラウザでページを開いているウィンドウなどは,オンラインになった時に勝手に通信を始めてしまう場合があります.こういった通信には,私信や,ウェブアプリケーションのセッションIDなどの重要な情報が平文で含まれています.残念ながら,ウェブアプリケーションではログイン画面以外までもが HTTPS で保護されていることは希ですし,投稿用のSMTPサーバも平文通信の場合がまだ多いでしょう.# ウィルスやワームへの対策は,通常の接続の場合と全く同じなので,野良APが危険であることの本質ではありません
逆に言えば,ウィルスやワームなどの脅威への対策をした上で,盗み見られて困る情報が一切入っていない (他の目的には一切使っていない) デバイスを信用できないAPに繋ぐ事には,何ら危険はありません.しかし,これは利用者に受信専用のデバイスを用意しろと言うのと同じことなので,本システムの「気軽に使ってもらう」という趣旨とは決して相容れませんが.
# MACアドレスで出席云々については,どうせ授業の出席確認なんてその程度のものだから,好きにしたらいいんじゃないかという感じ.
wifineって「信頼性の確認できているSSID」だと思いますけどね。偽APを立てられた場合の対策も含めて運用しているのだと思うのですが・・・ってHPにはそういった記述が見当たりませんね。どうなんだろ?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
セキュリティに関する啓蒙もお願いします (スコア:4, すばらしい洞察)
同様の手法でマルウェア散布を試みるAPも安価に簡単に作れてしまうことになります。
これは従来から指摘されてきた野良APの危険性と何ら変わるものではありませんが、
野良APの作成とそこへのアクセスを薦めるようなプロジェクトのようですから、
APを設置する者と接続する者の両方に対して、
危険性に関する啓蒙活動も同時に行っていただけるようお願いいたします。
将来このようなAPの設置が一般化してしまうと、APをクラックして改竄する攻撃や、
AP作成時に意図せずマルウェアを混入させてしまう危険性、
そして悪意をもってAPを設置する攻撃者の出現などが、十分に考えられるでしょう。
Re: (スコア:4, 参考になる)
ただし,マルウエアを流したり,パスワードを拾ったりすれば,物理的にどこのPCから電波出してるかが分かり,足がつきます.インターネット上とは違い,そういった点は警察側の取り締まりで解決するようにも思えます.なので,やるまえから現行犯逮捕されるようなばかなことをする人はいないのではと個人的には楽観視してます.盗聴ではなく,ssid見える状態でビーコンを流してますから,場所の特定はかなり容易です.
ですが,おっしゃる通りだれでもが使えると危険なので,ソフトは公開せずに,コンテ
Re: (スコア:1)
名刺サイズのCPUボードとUSB無線アダプタの組み合わせでも可能ですから、
鞄やザックの中に仕掛をいれて持ち込まれた日には……
# 将来は裏でAPを開設するマルウェアが出たりして。
notice : I ignore an anonymous contribution.
Re:セキュリティに関する啓蒙もお願いします (スコア:1)
Re:セキュリティに関する啓蒙もお願いします (スコア:1)
短期間ですぐに対応できる方法としては、各サーバに第三者署名付きサーバ証明書を入れるくらいしか思いつきません。
WiFi☆宝さがし [wifi-tanabe.com]のサイトに認証機関の証明書(ヲレヲレ)を置き、参加者には最初に、この証明書をブラウザにインストールしてもらいます。
各サイトにはコレで署名したサーバ証明書をいれます。これなら、さほど費用をかけずにサーバの身元を証明できます。
ユーザも通常のWebブラウズと同じ手順でサーバの正当性を確認できます。
問題点:
携帯機器の場合、機種によっては使えないかもしれません。
(ベリサインの証明書なら、ほぼ全ての携帯機器に対応していますが予算的・期間的に厳しいと思います)
・セコムとか巻き込めば有効期限の短い証明書を安値で発行してもらえるかもしれません:交渉が難しいと思いますが。
テスト証明書と同等の扱いなら、うまく交渉すれば、もしかすると……
notice : I ignore an anonymous contribution.
Re:セキュリティに関する啓蒙もお願いします (スコア:2, 興味深い)
和田俊和
Re:セキュリティに関する啓蒙もお願いします (スコア:2, 興味深い)
その場合も、オレオレ証明書を入れるリスクについて充分啓蒙してくださいね。
最低でも
・誰が何の目的で入れさせようとしている証明書なのか
・その証明書は本当にその誰かの証明書に間違いないのか
これらをよく理解しないまま証明書をほいほいインストールするような愚かな習慣を広める輩は、
SSL の破壊を招く自覚無きテロリストと呼んでも過言ではありません。
特に後者は非常に誤解され易いので念入りにお願いします。
たとえオレオレの提供者が信頼できたとしても、
証明書を入手したサイトは本当に「宝さがし」公式サイトに間違いないのか、
通信経路で改竄なされていないか。それらを確認しないままインストールするのは、非常に危険なことなのです。
Re:セキュリティに関する啓蒙もお願いします (スコア:1)
口頭での説明ではむずかしいので、可能な限り一般の人にも分かるwifi接続のセキュリティに関する冊子を作って配布するようにします。丁寧なコメント感謝しております。
和田俊和
Re:セキュリティに関する啓蒙もお願いします (スコア:1)
運営側の教育も必要ですね。
証明書の期限をイベント終了時までにしておくとか、紛失・盗難とか...。
Re:セキュリティに関する啓蒙もお願いします (スコア:1)
それ考えると、セコムやグローバルサインといったテスト用SSLサーバ証明書を発行してくれる業者に協賛を依頼するしかないと思うのですが……
・ヲレヲレ認証局にルート認証局が署名するというサービスがありますが(中間認証局として認めてもらうサービス)、いくら掛かるんでしょうね?
notice : I ignore an anonymous contribution.
Re: (スコア:0)
> 証明書を入手したサイトは本当に「宝さがし」公式サイトに間違いないのか、
> 通信経路で改竄なされていないか。それらを確認しないまま
証明書を使わないでそれを保証できるとは思えませんし保証できるならそもそも証明書をインストールさせる必要はないのでは。すでに目的は達成されているではありませんか。
というかサイトから入手した証明書をインストールさせてはいけません。それだけで十分危険性の認識を麻痺させます。
最低でもCD-Rで手渡し。それが不可能な運用範囲じゃないでしょ。
Re: (スコア:0)
Re:セキュリティに関する啓蒙もお願いします (スコア:1)
CAの証明書をインストールするという行為に鑑みると、
指摘されている2点に加えて、さらに、
・その証明書の発行者の運用水準(セキュリティレベル)は十分か
ということもチェックする必要があります。
正当な目的で、真正のCAが発行した証明書であっても、
そのCAの運用水準が低ければ、乗っ取られてしまうかもしれません。
Re:セキュリティに関する啓蒙もお願いします (スコア:1)
サービスの価格だけでなく、中間認証局はCPSを規定し、
それにしたがって運用を行い、監査も受けなくてはならないはずです。
これには相当なコストかかると思います。
Re:セキュリティに関する啓蒙もお願いします (スコア:2, 興味深い)
正確に言うならば,「他の目的に使っているデバイスを,信用できない AP に繋いではいけない」ですね.
野良APに接続したときには,平文の通信は全て読み取られると考えるべきです.
問題は,利用者の意図に関わらず,センシティブな情報の平文通信が行なわれてしまう場合が多々あることです.
例えば,送信待ちフォルダにメールが入っているMUAや,ブラウザでページを開いているウィンドウなどは,オンラインになった時に勝手に通信を始めてしまう場合があります.
こういった通信には,私信や,ウェブアプリケーションのセッションIDなどの重要な情報が平文で含まれています.
残念ながら,ウェブアプリケーションではログイン画面以外までもが HTTPS で保護されていることは希ですし,投稿用のSMTPサーバも平文通信の場合がまだ多いでしょう.
# ウィルスやワームへの対策は,通常の接続の場合と全く同じなので,野良APが危険であることの本質ではありません
逆に言えば,ウィルスやワームなどの脅威への対策をした上で,盗み見られて困る情報が一切入っていない (他の目的には一切使っていない) デバイスを信用できないAPに繋ぐ事には,何ら危険はありません.
しかし,これは利用者に受信専用のデバイスを用意しろと言うのと同じことなので,本システムの「気軽に使ってもらう」という趣旨とは決して相容れませんが.
# MACアドレスで出席云々については,どうせ授業の出席確認なんてその程度のものだから,好きにしたらいいんじゃないかという感じ.
Re: (スコア:0)
> 野良APに接続したときには,平文の通信は全て読み取られると考えるべきです.
s/全て読み取られる/全て盗み見られ,改変され,偽ホストと通信しているかも知れない/
Re: (スコア:0, フレームのもと)
Re: (スコア:0, すばらしい洞察)
NTTは営利目的でやっているので、市民が反対しろと主張してもやめない営業の自由がある。
しかし、曲がりなりにも大学で教育に携わる者が、
「ばかなことをする人はいないのでは」などとセキュリティの考え方を無視して、
「皆もセキュリティなんか無視しよう」と言わんばかりに、
危険な行為を人々に勧めるようなことをするのは、ワケが違う。
教育者の自覚があるなら、セキュリティ教育とは何かについて考えてみよ。
Re: (スコア:0)
wifineって「信頼性の確認できているSSID」だと思いますけどね。
偽APを立てられた場合の対策も含めて運用しているのだと思うのですが・・・
ってHPにはそういった記述が見当たりませんね。
どうなんだろ?