アカウント名:
パスワード:
接続解除 → 解除したので暗号化キー削除 → ここでなぜか最後のパケットを再送するバグが発動 →→ 削除した暗号化キー(00000...になっている)で暗号化して送信 → 00000... で暗号化されているので実質平文 → 読める
内蔵RTOSのアプリ設計ミスで接続解除タスクが走っても暫く送信タスクが止まらないのか?強制的に接続解除する攻撃と合わせると数kBずつ読めると言われても実際のリスクは微妙そう
HTTPS(SSL/TLS)化が進んでいるので、仮に盗聴されても困るケースって大分減ったように思いますパッと思いついたのは下記ですが、よほど回数こなすかピンポイントのタイミングで読めないと意味あるデータは得られないかと・メール送受信・ルータへのログイン(HTTP が大半なイメージ)・NAS 共有(SMB 暗号化ってメジャー?)・自宅サーバに平文でリモートログイン
>メール送受信
メールはさすがに通信の暗号化が普及したのでは?逆に暗号化してない大手のサービスってまだあるんだろうか。
ISPに限れば全く進んでないかと
CATV系とかは結構酷い状況です。
#niftyも平文でまだ使える(知らない間にSSL対応はしてた)
ニフティのメールサーバーは頻繁にログインできなくなって(どうもspam対策が誤爆しているらしい)使い物にならないので、現在実際に使っているISPのメールボックスに転送している。
メールについては、クライアント-サーバー間はほぼほぼ暗号化されてるか網内に閉じてるから問題ないだろうけど、サーバー間をTCP;25の平文で送るSMTPサーバーがなくならない限り、企業の受信用サーバーとしては平文だろうが何だろうが一旦は受け付け続けるしかないです。(そしてスパムメールフィルタではじく)もちろんTLSでも受け付けられるようにはしてるんだけど、接続時TLS1.1以下許容で拒否される設定になってたのはこの2月末北米で初めて発見したってくらいです。Eメールについては(サーバー間は)今のところそんなレベルです。
#ちなみに洋の東西問わず中堅企業の自前メールサーバーに平文サーバーは多い
SSL/TLSが使える所はかなり増えたけれど、SSL/TLS無しでも使える所はようやく減り始めて、SSL/TLS非対応ソフト・機器がようやく慌て始めた程度だよ。暗号化推奨ではあっても必須ではないってところが思いの外多いっぽい。Yahooとかも設定いじれば暗号化レイヤー通さずにメールできる筈。
特にISPメールなんかの場合、ISPからユーザ宅までの近隣に盗聴用の枝つけないと読めないから、スパイよろしく物理的に接近して攻撃される心当たりが無いなら警戒の必要性が薄かった。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
具体的には、WLANのセッションを切る「ディスアソシエーション」時に発現する。 (スコア:1, 興味深い)
接続解除 → 解除したので暗号化キー削除 → ここでなぜか最後のパケットを再送するバグが発動 →
→ 削除した暗号化キー(00000...になっている)で暗号化して送信 → 00000... で暗号化されているので実質平文 → 読める
内蔵RTOSのアプリ設計ミスで接続解除タスクが走っても暫く送信タスクが止まらないのか?
強制的に接続解除する攻撃と合わせると数kBずつ読めると言われても実際のリスクは微妙そう
Re:具体的には、WLANのセッションを切る「ディスアソシエーション」時に発現する。 (スコア:1)
HTTPS(SSL/TLS)化が進んでいるので、仮に盗聴されても困るケースって大分減ったように思います
パッと思いついたのは下記ですが、よほど回数こなすかピンポイントのタイミングで読めないと意味あるデータは得られないかと
・メール送受信
・ルータへのログイン(HTTP が大半なイメージ)
・NAS 共有(SMB 暗号化ってメジャー?)
・自宅サーバに平文でリモートログイン
Re: (スコア:0)
>メール送受信
メールはさすがに通信の暗号化が普及したのでは?
逆に暗号化してない大手のサービスってまだあるんだろうか。
Re: (スコア:0)
ISPに限れば全く進んでないかと
Re: (スコア:0)
CATV系とかは結構酷い状況です。
#niftyも平文でまだ使える(知らない間にSSL対応はしてた)
Re: (スコア:0)
ニフティのメールサーバーは頻繁にログインできなくなって(どうもspam対策が誤爆しているらしい)使い物にならないので、現在実際に使っているISPのメールボックスに転送している。
Re: (スコア:0)
メールについては、クライアント-サーバー間はほぼほぼ暗号化されてるか網内に閉じてるから問題ないだろうけど、
サーバー間をTCP;25の平文で送るSMTPサーバーがなくならない限り、
企業の受信用サーバーとしては平文だろうが何だろうが一旦は受け付け続けるしかないです。(そしてスパムメールフィルタではじく)
もちろんTLSでも受け付けられるようにはしてるんだけど、
接続時TLS1.1以下許容で拒否される設定になってたのはこの2月末北米で初めて発見したってくらいです。
Eメールについては(サーバー間は)今のところそんなレベルです。
#ちなみに洋の東西問わず中堅企業の自前メールサーバーに平文サーバーは多い
Re: (スコア:0)
SSL/TLSが使える所はかなり増えたけれど、
SSL/TLS無しでも使える所はようやく減り始めて、
SSL/TLS非対応ソフト・機器がようやく慌て始めた程度だよ。
暗号化推奨ではあっても必須ではないってところが思いの外多いっぽい。
Yahooとかも設定いじれば暗号化レイヤー通さずにメールできる筈。
特にISPメールなんかの場合、ISPからユーザ宅までの近隣に盗聴用の枝つけないと読めないから、
スパイよろしく物理的に接近して攻撃される心当たりが無いなら警戒の必要性が薄かった。