パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

WiFiで0円デジタルサイネージ」記事へのコメント

  • 同様の手法でマルウェア散布を試みるAPも安価に簡単に作れてしまうことになります。
    これは従来から指摘されてきた野良APの危険性と何ら変わるものではありませんが、
    野良APの作成とそこへのアクセスを薦めるようなプロジェクトのようですから、
    APを設置する者と接続する者の両方に対して、
    危険性に関する啓蒙活動も同時に行っていただけるようお願いいたします。

    将来このようなAPの設置が一般化してしまうと、APをクラックして改竄する攻撃や、
    AP作成時に意図せずマルウェアを混入させてしまう危険性、
    そして悪意をもってAPを設置する攻撃者の出現などが、十分に考えられるでしょう。

    • Re: (スコア:4, 参考になる)

      はい,そういう輩がいつかは出るだろうと予測してます.

      ただし,マルウエアを流したり,パスワードを拾ったりすれば,物理的にどこのPCから電波出してるかが分かり,足がつきます.インターネット上とは違い,そういった点は警察側の取り締まりで解決するようにも思えます.なので,やるまえから現行犯逮捕されるようなばかなことをする人はいないのではと個人的には楽観視してます.盗聴ではなく,ssid見える状態でビーコンを流してますから,場所の特定はかなり容易です.

      ですが,おっしゃる通りだれでもが使えると危険なので,ソフトは公開せずに,コンテ

      • 悪意のある仕掛を施したノートPCを持ち込まれたら判定は無理では?

        名刺サイズのCPUボードとUSB無線アダプタの組み合わせでも可能ですから、
        鞄やザックの中に仕掛をいれて持ち込まれた日には……

        # 将来は裏でAPを開設するマルウェアが出たりして。
        --
        notice : I ignore an anonymous contribution.
        • 確かにそうなのですが、そこまでいえば、既存のAPにシールドするか電源落とすかして、そばに電波出してるpc置いてたら、同じことですね。こういう問題は確かにあります。wifiを宣伝に使うというのはwifineも含めてすでにやっていることですので、現状ですでに啓蒙の必要性はあり、nttもその責任を負っている筈です。ですので、この現象が進んで行くのであれば、啓蒙はしなければならないと思います。ただ、落とし所は難しいです。良いアドバイスがあれば教えて下さい。 和田俊和
          • SSIDもMACアドレスも変更できるし騙れるものですから、そちらで防ぐのは難しいと思います。
            短期間ですぐに対応できる方法としては、各サーバに第三者署名付きサーバ証明書を入れるくらいしか思いつきません。
            WiFi☆宝さがし [wifi-tanabe.com]のサイトに認証機関の証明書(ヲレヲレ)を置き、参加者には最初に、この証明書をブラウザにインストールしてもらいます。
            各サイトにはコレで署名したサーバ証明書をいれます。これなら、さほど費用をかけずにサーバの身元を証明できます。
            ユーザも通常のWeb
            --
            notice : I ignore an anonymous contribution.
            • コメントありがとうございました。啓蒙の話から、sslの話まで丁寧なコメントいただきありがとうございました。うちの学生も、同様のことをいっており、その準備は始めようと考えておりましたが、具体的なことが分かり、大変助かりました。検討してみます。
              和田俊和
              親コメント
              • by Anonymous Coward on 2010年10月18日 0時01分 (#1842319)

                その場合も、オレオレ証明書を入れるリスクについて充分啓蒙してくださいね。
                最低でも
                ・誰が何の目的で入れさせようとしている証明書なのか
                ・その証明書は本当にその誰かの証明書に間違いないのか
                これらをよく理解しないまま証明書をほいほいインストールするような愚かな習慣を広める輩は、
                SSL の破壊を招く自覚無きテロリストと呼んでも過言ではありません。

                特に後者は非常に誤解され易いので念入りにお願いします。
                たとえオレオレの提供者が信頼できたとしても、
                証明書を入手したサイトは本当に「宝さがし」公式サイトに間違いないのか、
                通信経路で改竄なされていないか。それらを確認しないままインストールするのは、非常に危険なことなのです。

                親コメント
              • 了解しました。おっしゃる事はよく分かります。
                口頭での説明ではむずかしいので、可能な限り一般の人にも分かるwifi接続のセキュリティに関する冊子を作って配布するようにします。丁寧なコメント感謝しております。
                和田俊和
                親コメント
              • 運営側の教育も必要ですね。
                証明書の期限をイベント終了時までにしておくとか、紛失・盗難とか...。

                親コメント
              • >証明書をほいほいインストールするような愚かな習慣を広める
                それ考えると、セコムやグローバルサインといったテスト用SSLサーバ証明書を発行してくれる業者に協賛を依頼するしかないと思うのですが……
                ・ヲレヲレ認証局にルート認証局が署名するというサービスがありますが(中間認証局として認めてもらうサービス)、いくら掛かるんでしょうね?
                --
                notice : I ignore an anonymous contribution.
                親コメント
              • by Anonymous Coward

                > 証明書を入手したサイトは本当に「宝さがし」公式サイトに間違いないのか、
                > 通信経路で改竄なされていないか。それらを確認しないまま
                証明書を使わないでそれを保証できるとは思えませんし保証できるならそもそも証明書をインストールさせる必要はないのでは。すでに目的は達成されているではありませんか。
                というかサイトから入手した証明書をインストールさせてはいけません。それだけで十分危険性の認識を麻痺させます。
                最低でもCD-Rで手渡し。それが不可能な運用範囲じゃないでしょ。

              • by Anonymous Coward
                すなわち安全はタダでは手に入らないということです
              • CAの証明書をインストールするという行為に鑑みると、
                指摘されている2点に加えて、さらに、

                ・その証明書の発行者の運用水準(セキュリティレベル)は十分か

                ということもチェックする必要があります。
                正当な目的で、真正のCAが発行した証明書であっても、
                そのCAの運用水準が低ければ、乗っ取られてしまうかもしれません。

                親コメント
              • サービスの価格だけでなく、中間認証局はCPSを規定し、
                それにしたがって運用を行い、監査も受けなくてはならないはずです。
                これには相当なコストかかると思います。

                親コメント

アレゲはアレゲを呼ぶ -- ある傍観者

処理中...