アカウント名:
パスワード:
>証明書や秘密鍵がユニークなものでない場合、中間者攻撃などに悪用される可能性がある。
そうなんだ?
なんか言葉足らずな感じですよね。Webサーバとして機能するネットワーク製品に組み込まれた証明書を悪用してなりすましをするってことなんでしょうけど、具体的にどうするのか、ちょっとピンと来ません。もうちょい説明してほしいですね。
1. 悪者が製品Aを買ってきて、頑張って分解するなりリバースエンジニアリングをかけるなりして秘密鍵を取り出す2. 同じ秘密鍵を使っている製品Bを使っている人xが、https経由でBに何かを設定しようとしているところに何らかの方法で割り込む3. xは通信相手をBの公開鍵で検証してBと通信しているつもりになっているけど、実はAから抜き出した秘密鍵を使った悪者と通信させられている
こう。
2のところで、x←[悪者]→Bと、悪者が完全に通信内容を書き換えてしまえる立場に無いと攻撃が成立しなくて、いや、そんなだだ漏れネッ
「公開鍵認証を使って通信をガードしよう」というのが、「そのだだ漏れのアカン状態でも安全を確保しよう」という発想そのものなので、そこのツッコミは無用。
そうなんだけど、今回の様なネットワーク機器が使うHTTPS通信ってのは、設定変更画面が主な用途だと思うんだよね。そういう通信を、「だだ漏れネットワーク」に流してしまうポリシはどうかと思うね。やるならそれこそ、ちゃんとした証明書を入れないとダメ、って話だよね。
1のところに、「じゃあ、分解が絶対に出来ないようなすごいハードウェアにしろよ」とツッコミを入れたくなるかも知れないけど
ROMにハードコーディングされてるならともかくだけど、おそらくファームウェアに書き込まれてるんだろうから、すごいハードウェアとは無関係に読みだされるんじゃないかな。
「ともかくだけど」
最近、こーゆー意味不明なコメント流行ってるの?「ROMにハードコーディングされてるならともかくだけど」のことを指してるのかな?「 70社以上のメーカーの組み込みデバイス約4000台のファームウェアイメージを分析した [itmedia.co.jp]」とあって、ROMにハードコーディングされている証拠は何も提示されてないんだよ。なので、繰り返すけど、今回の問題は
「ともかく」に「だけど」の意味も含まれてるから冗長ってことでしょう。「話は別だけどだけど」みたいな。
接続詞が連続してるのが問題なのであって、意味は重複していないと思いますが。「この話はともかく」のような使い方だと「だけど」を含むと解釈し難いですし、「ROMにハードコーディングされているのだけど」だと明らかにおかしいですし、「ROMにハードコーディングされていればよいのだけど」等では語が増えてしまいますし…ちょっと考えてみたけど文章を大きく変えずに接続語を「だけど」にして問題がなく繋ぐ方法をちょっと思いつけませんでした。
「ROMにハードコーディングされてるならともかくなのだけど」省略されていると仮定して考えてみたが、違和感が減った気もするし、もっと変になった気もする。「ROMにハードコーディングされてるならともかく」…一番違和感はないが、ひねりが効いてなくてちょっとつまらない。
接続詞が連続してるのが問題なのであって
「だけど [weblio.jp]」は接続詞だけど、「ともかく [weblio.jp]」は副詞な。意味の重複も接続詞の重複も問題ないってことだね。
なんつーのかな。そんなことを問題にするのなら、鍵括弧の中に極一部だけ引用して何かを指摘したつもりになっていることの方が、よっぽど問題だと思うな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
へー (スコア:0)
>証明書や秘密鍵がユニークなものでない場合、中間者攻撃などに悪用される可能性がある。
そうなんだ?
Re: (スコア:0)
なんか言葉足らずな感じですよね。
Webサーバとして機能するネットワーク製品に組み込まれた証明書を悪用してなりすましをするってことなんでしょうけど、
具体的にどうするのか、ちょっとピンと来ません。
もうちょい説明してほしいですね。
Re: (スコア:0)
1. 悪者が製品Aを買ってきて、頑張って分解するなりリバースエンジニアリングをかけるなりして秘密鍵を取り出す
2. 同じ秘密鍵を使っている製品Bを使っている人xが、https経由でBに何かを設定しようとしているところに何らかの方法で割り込む
3. xは通信相手をBの公開鍵で検証してBと通信しているつもりになっているけど、実はAから抜き出した秘密鍵を使った悪者と通信させられている
こう。
2のところで、x←[悪者]→Bと、悪者が完全に通信内容を書き換えてしまえる立場に無いと攻撃が成立しなくて、
いや、そんなだだ漏れネッ
Re: (スコア:1)
「公開鍵認証を使って通信をガードしよう」というのが、「そのだだ漏れのアカン状態でも安全を確保しよう」という発想そのものなので、そこのツッコミは無用。
そうなんだけど、今回の様なネットワーク機器が使うHTTPS通信ってのは、設定変更画面が主な用途だと思うんだよね。
そういう通信を、「だだ漏れネットワーク」に流してしまうポリシはどうかと思うね。
やるならそれこそ、ちゃんとした証明書を入れないとダメ、って話だよね。
1のところに、「じゃあ、分解が絶対に出来ないようなすごいハードウェアにしろよ」とツッコミを入れたくなるかも知れないけど
ROMにハードコーディングされてるならともかくだけど、おそらくファームウェアに書き込まれてるんだろうから、すごいハードウェアとは無関係に読みだされるんじゃないかな。
Re: (スコア:0)
「ともかくだけど」
Re: (スコア:1)
「ともかくだけど」
最近、こーゆー意味不明なコメント流行ってるの?
「ROMにハードコーディングされてるならともかくだけど」のことを指してるのかな?
「 70社以上のメーカーの組み込みデバイス約4000台のファームウェアイメージを分析した [itmedia.co.jp]」とあって、ROMにハードコーディングされている証拠は何も提示されてないんだよ。
なので、繰り返すけど、今回の問題は
Re: (スコア:0)
「ともかく」に「だけど」の意味も含まれてるから冗長ってことでしょう。
「話は別だけどだけど」みたいな。
Re: (スコア:0)
接続詞が連続してるのが問題なのであって、意味は重複していないと思いますが。
「この話はともかく」のような使い方だと「だけど」を含むと解釈し難いですし、
「ROMにハードコーディングされているのだけど」だと明らかにおかしいですし、
「ROMにハードコーディングされていればよいのだけど」等では語が増えてしまいますし…
ちょっと考えてみたけど文章を大きく変えずに接続語を「だけど」にして問題がなく繋ぐ方法をちょっと思いつけませんでした。
「ROMにハードコーディングされてるならともかくなのだけど」
省略されていると仮定して考えてみたが、違和感が減った気もするし、もっと変になった気もする。
「ROMにハードコーディングされてるならともかく」
…一番違和感はないが、ひねりが効いてなくてちょっとつまらない。
Re:へー (スコア:1)
接続詞が連続してるのが問題なのであって
「だけど [weblio.jp]」は接続詞だけど、「ともかく [weblio.jp]」は副詞な。
意味の重複も接続詞の重複も問題ないってことだね。
なんつーのかな。
そんなことを問題にするのなら、鍵括弧の中に極一部だけ引用して何かを指摘したつもりになっていることの方が、よっぽど問題だと思うな。