アカウント名:
パスワード:
まずそこにビックリ。
なぜ平文だと思ったのか。それが問題だ。わざわざmitmと書かれているのに。
ちゃんと暗号化されていれば、中間者攻撃は成功しないでしょ。
今回の場合、通常のメッセージ伝送などはちゃんと暗号化されていたけど、アプリ動作用のスクリプトなどが平文で伝送されていて、中間者攻撃で改ざんしたJSコードをアプリ側に送り込むことができた、という問題でしょ。たとえメッセージの伝送路を暗号化してても、端末上では復号されてメッセージが表示されてるんだから、そこを突かれたらどうしようもない。
平文でないなら、オレオレ証明書でも受け付けていたかもしれない。
>今回の場合、通常のメッセージ伝送などはちゃんと暗号化されていたけど、これは、どの情報から?
> >今回の場合、通常のメッセージ伝送などはちゃんと暗号化されていたけど、> これは、どの情報から?
少なくとも2012年の段階でWi-Fi接続の時には暗号化している [srad.jp]のは確かですよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
平文だったの。。。 (スコア:0)
まずそこにビックリ。
Re: (スコア:-1)
なぜ平文だと思ったのか。
それが問題だ。
わざわざmitmと書かれているのに。
Re: (スコア:2)
ちゃんと暗号化されていれば、中間者攻撃は成功しないでしょ。
今回の場合、通常のメッセージ伝送などはちゃんと暗号化されていたけど、
アプリ動作用のスクリプトなどが平文で伝送されていて、中間者攻撃で改ざんしたJSコードをアプリ側に送り込むことができた、という問題でしょ。
たとえメッセージの伝送路を暗号化してても、端末上では復号されてメッセージが表示されてるんだから、そこを突かれたらどうしようもない。
Re: (スコア:0)
平文でないなら、オレオレ証明書でも受け付けていたかもしれない。
>今回の場合、通常のメッセージ伝送などはちゃんと暗号化されていたけど、
これは、どの情報から?
Re:平文だったの。。。 (スコア:1)
> >今回の場合、通常のメッセージ伝送などはちゃんと暗号化されていたけど、
> これは、どの情報から?
少なくとも2012年の段階でWi-Fi接続の時には暗号化している [srad.jp]のは確かですよ。