アカウント名:
パスワード:
代替策はどういうのがあるんでしょうか?・MACアドレス・端末固有番号・SIMのシリアル番号詳しくないので漏れや不都合があったらぶら下げてください
代替策はありません。MSISDN(=今回電話番号と表現されているもの)で管理するのは3GPPの規格ですので、やるとしたら「同じことが起きないよう設備増強や冗長性確保を強化する」だけです。
3GPPは関係ない。そっちは別に問題ない。問題なのはIPベースのspモード。それにおけるユーザ、つまりMSISDNとか加入者との紐付け、ようは認証機構のお話。
今回ドコモがなにやらかしたカといえば、認証キーにIPアドレス使ったこと。たしかに詐称は難しいし、ルータやDHCPに相当するような部分を認証機構に組み入れてしっかり管理していれば強い部分もあるけれど、問題なのはキーの範囲が狭くて再利用されること。セッションキーなど認証などのキーは十分に広く、通常使い捨てで、推測困難な物をつかう。普通にある程度の長さのランダムキー使ってれば、メール送れないとか遅延とかで済んでたはず。そういうのをIPアド
>今回ドコモがなにやらかしたカといえば、認証キーにIPアドレス使ったこと。
たとえば将来的な話として3GPPの網から3GPP2の網にセッションを維持しつつハンドオーバーする、もっと言えば公衆WIFI(ただし回線の上流は自社回線のSGWに接続)にセッションを維持しつつハンドオーバーする、という観点が存在することは理解できますか?これはドコモがどうのこうのではなく3GPPの定義における今後の方向性です。
この場合、たとえばMIPv6やDSMIPv4/v6などで付与されるIPアドレスはハンドオーバーしても使いまわしされることになります(そうしないとセッションが維持できません)。
ですの
いや、全然詳しくないけども。IPアドレス死守するのは良いけれど、実際問題死守出来てないし、その書き方だと現状すでに完成されたものでもなさそうだし、現実に電源ON/OFFでIPアドレス変わるし。そんな状況で、さらに接続切れて回収されたIPアドレスが簡単に別機に再割り当てされる状況で、IPアドレスだけで認証しているのは間違いだと思うけど。特に前のコメントでも書いたけど、問題なのはキーの範囲が狭くて再利用されること。だから、セッションキーの様になにかキーをチョロッと付けるか、別のコメントにあるけどIPv6でもっと広い空間を持った物を使うとか。まあ、キー付けるって簡単に言っても、それだけでも確実に負荷上がるわけで、それはそれでネックになりかねないとは思うけれど、セッション死守できなければ殺すのが正しい方法です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
代替策 (スコア:1)
代替策はどういうのがあるんでしょうか?
・MACアドレス
・端末固有番号
・SIMのシリアル番号
詳しくないので漏れや不都合があったらぶら下げてください
Re: (スコア:0)
代替策はありません。
MSISDN(=今回電話番号と表現されているもの)で管理するのは
3GPPの規格ですので、
やるとしたら「同じことが起きないよう設備増強や冗長性確保を強化する」だけです。
Re: (スコア:2)
3GPPは関係ない。そっちは別に問題ない。
問題なのはIPベースのspモード。それにおけるユーザ、つまりMSISDNとか加入者との紐付け、ようは認証機構のお話。
今回ドコモがなにやらかしたカといえば、認証キーにIPアドレス使ったこと。
たしかに詐称は難しいし、ルータやDHCPに相当するような部分を認証機構に組み入れてしっかり管理していれば強い部分もあるけれど、
問題なのはキーの範囲が狭くて再利用されること。
セッションキーなど認証などのキーは十分に広く、通常使い捨てで、推測困難な物をつかう。
普通にある程度の長さのランダムキー使ってれば、メール送れないとか遅延とかで済んでたはず。
そういうのをIPアド
Re: (スコア:0)
>今回ドコモがなにやらかしたカといえば、認証キーにIPアドレス使ったこと。
たとえば将来的な話として
3GPPの網から3GPP2の網にセッションを維持しつつハンドオーバーする、
もっと言えば公衆WIFI(ただし回線の上流は自社回線のSGWに接続)にセッションを維持しつつハンドオーバーする、
という観点が存在することは理解できますか?
これはドコモがどうのこうのではなく3GPPの定義における今後の方向性です。
この場合、たとえばMIPv6やDSMIPv4/v6などで付与されるIPアドレスは
ハンドオーバーしても使いまわしされることになります
(そうしないとセッションが維持できません)。
ですの
Re:代替策 (スコア:1)
いや、全然詳しくないけども。
IPアドレス死守するのは良いけれど、実際問題死守出来てないし、その書き方だと現状すでに完成されたものでもなさそうだし、現実に電源ON/OFFでIPアドレス変わるし。
そんな状況で、さらに接続切れて回収されたIPアドレスが簡単に別機に再割り当てされる状況で、IPアドレスだけで認証しているのは間違いだと思うけど。
特に前のコメントでも書いたけど、問題なのはキーの範囲が狭くて再利用されること。
だから、セッションキーの様になにかキーをチョロッと付けるか、別のコメントにあるけどIPv6でもっと広い空間を持った物を使うとか。
まあ、キー付けるって簡単に言っても、それだけでも確実に負荷上がるわけで、それはそれでネックになりかねないとは思うけれど、
セッション死守できなければ殺すのが正しい方法です。