パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

iOS 8で導入予定となっているMACアドレスのランダム化によって岐路に立たされたベンチャー企業」記事へのコメント

  • MACアドレスによるフィルタリングとか普通にやってるとこ多い気がしますが。

    • by Anonymous Coward on 2014年08月18日 18時09分 (#2658873)

      良い機会なのでやめさせましょう。

      MACアドレスは、ランダムに変えられるぐらいに信用できないので、そのフィルタリングのセキュリティ向上への寄与は極小です。

      MACアドレスフィルタリングによる効果が、社内セキュリティの向上に役立っているのでしたら、
      それは、社内のWiFiセキュリティが全くザルだという事を意味します。
      即刻、まともなポリシーへと転換すべき事態です。

      暗号化などまともなポリシーで運用しているのでしたら、MACアドレスフィルタリングには、追加の向上効果はほぼありませんので棄てましょう。

      親コメント
      • by Anonymous Coward on 2014年08月18日 19時55分 (#2658936)

        カジュアルな不正には有効っす。
        抜け道がある=効果がないとかバカの戯れ言っす。
        そんな論理でOKならヘルメットなんかいらないし、玄関の錠も必要ないことになるっす。
        ほんとバカの戯れ言っす。

        親コメント
      • by Anonymous Coward

        MACアドレスが漏れなければ固定長パスワードと同じレベルのセキュリティーがあると思いますが違いますか?

        • by Anonymous Coward on 2014年08月18日 21時31分 (#2658991)

          MACアドレスは漏れるもの、という前提で設計されています。
          通信時の全てのパケットに、MACアドレスは平文のまま乗っています。

          主な理由はアクセスポイントの処理負荷の低減のためです。
          パケットを受信したAPが、自身が処理すべきパケットかどうかを素早く確認できるようにするため、
          パケットには暗号化されない部分が設けられており、MACアドレスはそこに入っています。
          全体を暗号化すると、APは受信できたあらゆるパケットを復号して中身を確かめなければなくなります。

          いくらなんでもだだ漏れは酷い、ちょっとぐらいなんとかしろよ、という気もしますが、
          仕様は、中途半端なガードは最悪の攻撃者に対して無意味=全くの無駄、という思想で作られています。
          仕様の別の部分で、最悪の攻撃者に対する十分なガードというハイレベルな戦いが可能なので、
          中途半端な仕組みには出る幕はないという考え方です。
          何しろ、仕様は、世界中のあらゆる無線LAN機器上に乗っていなければならない機能を策定するものなので、
          ちょっとでも不要な機能があれば、計り知れない無駄が出てしまいますから。

          それが何かも分からないまま、謎の信頼を寄せるのはやめましょう。

          親コメント
        • WiFiのMacアドレスは暗号化されません。
          今回話題になっているように、今まではアクセスポイントを探すだけでばら撒きます。
          そんなものをパスワードと同じレベルと思うなんて誕生日パスワードを笑えませんよ

          親コメント
          • by Anonymous Coward

            だからMACアドレスをばら撒かないiOS8ならOKってことですよね。

            • by Anonymous Coward

              だから暗号化されないって言ってるじゃないですか。
              つまり通信している電波を受信できる場所であればMacアドレスは駄々漏れなんですよ。

            • by Anonymous Coward

              日本語をまともに読めない人なんですね。
              通信を開始したら本来のMACアドレスの通信になるからiOS8でもばらまきますよ。
              ばらまくシチュエーションがほんの少し、わずかに減ったというだけ。

        • by Anonymous Coward

          > MACアドレスが漏れなければ

          そういう非現実的な仮定をおけばなんでも言える

          • by Anonymous Coward

            iOS8なら現実的ですよね。
            接続後にルータがクラックされたらダメですがその時点でMACアドレス漏洩以上の事故ですし。

        • by Anonymous Coward

          セキュリティを考えるなら、
          × 漏れなければ
          ○ 漏れた場合の
          と思考する方向に舵を切らないと駄目でしょうに。

          IT業界は性悪説で運用設計しないと駄目だと思うんだ。

      • by Anonymous Coward

        では代替案を提示して頂きたい。
        要件は
        ・クライアント側に追加コストがかからない事。
        ・AP側の追加コストはMACアドレスのフィルタリングがある一般的な機器を買う程度である事。
        ・一度パスワードを知れば微小な手間すら無しに無制限にデバイスを増やせる事を防ぐ程度のセキュリティでよい事。
        です。

        • by Anonymous Coward

          802.1xを使うか、上位層で対策する(webログインを要求する)か、ユーザ個別PSKでも使うか。

          自分の無知とか怠慢を技術的欠陥だと言い張るのはやめてくれないかな。MACアドレスフィルタに意味があるわけないじゃない。

      • by Anonymous Coward

        セキュリティは玉葱の皮。

      • by Anonymous Coward

        MACアドレス「だけ」で認証するわけじゃないんだよ。
        対象のMACアドレス、OSバージョン、ウィルスチェッカー、それにユーザの証明書、
        こういうものを全部使って認証する。

        • by Anonymous Coward

          そこまでやってるなら、それこそMACアドレスは無くても変わらないんじゃね?と思わなくもない

          • by Anonymous Coward

            っつーか、証明書を使った802.1X認証とActiveDirectoryでいいんじゃね。
            元コメ主がこれだけやるなら、社員に持たせるPCも完全な管理下にあるんでしょ。
            OSバージョンとか無駄にチェックしてる気がする。

Stableって古いって意味だっけ? -- Debian初級

処理中...