パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Yahoo! BBでパケット漏洩」記事へのコメント

  • いつから? (スコア:3, すばらしい洞察)

    by seldon (5637) on 2002年02月07日 13時26分 (#60588)
    あの~、いつからインターネットを通るパケットを他人が見る事ができるのがセキュリティの問題になってきたんでしょうか?
    インターネット上では他人からパケットを見られる可能性があるという前提で、APOPとかsshとかVPNとかのセキュリティを確保する仕組みができてきた訳で、素のままのパケットが他人に見られる事なんてそれ程問題にするような事かなぁ?

    もちろん、他人のパケットが限られた帯域を浪費するためにサービス品質が下がるというのは問題だけど、これをセキュリティの問題と捉えるのはちょっと違う気がする。

    って言うか、プロバイダが同一プロバイダ加入者から自分のパケットを守ってくれるだけで安心してるって事の裏返しだよね?これ。
    そんな事で安心していいの?ちゅ~かそういう幻想は早々に捨てましょう

    • by Hebikuzure (489) on 2002年02月07日 13時51分 (#60601) ホームページ 日記
      > いつからインターネットを通るパケットを他人が見る事ができるのがセキュリティの問題になってきたんでしょうか?

      お説ごもっともなんですが、どこからがインターネットなのかという問題もあると思います。
      普通のユーザーの感覚として、ISPまでの経路は「インターネット」じゃ無いですよね。その意味ではこれはセキュリティ問題でしょう。
      あ、もちろんY!BBがそれを問題だとしない変わりにコストを下げている=料金が安い....と言うのはアリですよ。ただしその点をきちんと明示するべきだし、ユーザー自身がセキュリティ守れる手段が可能になるようにすべきでしょうけどね(APOPが使えないとかでは....)。
      親コメント
      • Re:いつから? (スコア:2, 参考になる)

        by seldon (5637) on 2002年02月07日 14時11分 (#60611)
        普通のユーザーの感覚として、ISPまでの経路は「インターネット」じゃ無いですよね。
        一つの感覚を共有する訳でもない多くの人の意識の集合体である「普通のユーザの感覚」なるものを推し量る術は持ち合わせてないので、 あくまでも私個人の感覚ですが、 多少語弊や特例がある事を織り込んだ上で言えば「グローバルアドレスはインターネット」ですね。私の場合。

        それに、この問題ってY!BB特有の事ではなくて、CATVなんかでも良くある事ですし...

        Y!BBの肩を持つ訳ではないですし、そもそも私はY!BBなんか使う気も無いですが、今回の騒ぎはY!BBだから叩かれたという感じがします。

        親コメント
      • by kicchy (4711) on 2002年02月07日 14時16分 (#60613)
        お説ごもっともなんですが、どこからがインターネットなのかという問題もあると思います。
        普通のユーザーの感覚として、ISPまでの経路は「インターネット」じゃ無いですよね。


        いやしかし、グローバルIPをもってたら「家の外=インターネット」だと
        考えて欲しいと・・・。
        というか、PPP回線上も自分の管理の範疇外なんだから
        私の感覚ではそれより内側で、パケットを守るという感覚がありますが。
        無理なんでしょうかねぇ・・・そう考えるのは?

        人に見られて困るパケットを「自分の管理対象外」に流せばどうなるか
        というのは、あくまで自己責任であって欲しいです。
        それを考えられないということは「本人のセキュリティ意識」が
        セキュリティ問題だと思います。

        とはいえ、この文章は「Y!BBを肯定するものではありません」
        こういったことが、ニュースになるのは他の問題点をたくさん抱えて
        ユーザの不満がたまっているからでしょうね。
        # なんでそれでもユーザが増えるんだろう?
        親コメント
        • ISPによってはグローバルじゃなく、DHCPでプライベートという所もありますから(DSLとかCATVとかだとね).....。その辺りをどこまでユーザーが意識すべきなのか、簡単に言いきれない部分もあるかとは思います。

          > # なんでそれでもユーザが増えるんだろう?

          安くて、トラブルさえなければ早いからでしょう。まあバクチみたいなものですね。
          親コメント
    • by renaissa (4104) on 2002年02月07日 14時11分 (#60610)
      まぁslashdotに来てるようなユーザに対しては正論だと思うのですが。
      世の中というのは馬鹿。。。もとい、能力の弱い人に対して優しい
      サービスを提供しなければならないということになってますから。
      建前上。

      現在のインターネットユーザーの一般層で、APOPとかsshを
      使ってる。。。っていうかその存在自体を知ってる人がどれだけ
      いるかってーと、たぶん10%前後がいいとこじゃないですかね。
      根拠なしですけど。

      だとすればYahoo!のような知名度の高い企業がISPをやる場合、
      そういったユーザ層を考慮したシステムを創るというのは
      義務に近いような気がするんですが。

      メールのウィルススキャンをするとか。
      ISP内部では他ユーザにパケットを漏洩させないとか。

      ま、そういうことやらんと、いまの民度では結局自分らに
      ツケが回ってくるだけだがな。今回のケースに限らず。

      すんません、非常にレイヤの低い話になってしまって申し訳ない。
      --
      --rena
      親コメント
      • by seldon (5637) on 2002年02月07日 17時08分 (#60639)
        まぁslashdotに来てるようなユーザに対しては正論だと思うのですが。
        私の元コメントは、/.Jで「セキュリティ」のカテゴリを選択した投稿者or元タレコミ者への問いかけなのですが:-)
        だとすればYahoo!のような知名度の高い企業がISPをやる場合、 そういったユーザ層を考慮したシステムを創るというのは 義務に近いような気がするんですが。
        ぼったくりバーと一緒で、入り口では「3000円ぽっきり」と言われて信じて入ったら10万円請求されたとか、そういう世界の方が、最初っから「10万円請求されるかもしれない」と言っておくより良いという事でしょうか?:-)
        危険性というのは、完全に排除できるのであれば排除すべきですが、完全に排除できないのであれば「一見安全そうに見える」ようにするより、「危険性を周知する」方がより民度の低い:-)ユーザのためになると思います。私は。
        そういう意味では、自ISP内だけの安全性を考慮するなんて事を義務とは思いません。
        もちろん、そういう考慮をした方が営業的にも利点があるでしょうし、多少はセキュリティも向上するのですから、「危険を知らせるためにもタレ流すべきだ」とは言いませんが、「それが義務だとユーザが思う事」は危険だと思います。
        親コメント
    • by gimy (5240) on 2002年02月07日 19時28分 (#60720)
      >インターネット上では他人からパケットを見られる可能性があるという前提で、

      もちろんこれはそうなのですが、

      >APOPとかsshとかVPNとかのセキュリティを確保する仕組みができてきた訳で、

      通信経路の暗号化は万能ではありません。ペイロードを暗号化したところでどこ宛のパケットなのかは隠蔽できませんし、現状では暗号化がそぐわないプロトコルも山程あります。あと細かいことですが、APOPで暗号化できるのはパスワードだけでメール本体は平文のままです。またsshやVPNは基本的に拠点間を結ぶためのものであり、赤の他人のサイトとの間を結ぶためには使えません。

      そもそも今回の問題での盗聴可能な対象は同一局舎内の利用者であるので、盗聴内容と被害者の個人情報とのバインドが容易になる可能性が高いです。はるか彼方のルータでパケットが盗聴されるのとは意味合いが違います。

      近所の人に自分がアクセスしたWebサイトを逐一記録されているとしたら、いい気分はしないでしょう?

      >もちろん、他人のパケットが限られた帯域を浪費するためにサービス品質が下がるというのは問題だけど、
      >これをセキュリティの問題と捉えるのはちょっと違う気がする。

      DoS攻撃が可能であることを意味するわけですから、立派に(?)セキュリティの問題であると思います。

      >って言うか、プロバイダが同一プロバイダ加入者から自分のパケットを守ってくれるだけで安心してるって事の裏返しだよね?これ。

      安心はしていませんが、守っていないことが発覚したら即座に是正を求めます。YahooBBであろうがなかろうが。

      >そんな事で安心していいの?ちゅ~かそういう幻想は早々に捨てましょう

      警察があらゆる犯罪から自分を守ってくれるとは思っていませんが、もし仮に最善の努力をしてくれていないとしたら失望します。それと同じです。幻想ではありません。
      親コメント
    • by ksyuu (4917) on 2002年02月08日 19時15分 (#61045) 日記
      盗聴のできる人の範囲が違います。たいていの場合,ISP から目的のサーバまでは,プロバイダや企業などのそれなりの責任と知識(技術)を持った組織が経路上にいるので,ある程度の安全(*1)は確保されています。
      しかし,今回の問題では,何の責任もない個人容易にパケットの盗聴ができます。巷で売られているクラックの手口を紹介した本などでへんな知識を付けた「厨房」が,パケットを盗み見て悪用するかもしれません。それを考えると不安になります。

      (*1)経路上のサーバやルータにアクセスできる人間は技術的にも倫理的にもそれなりの教育を受けていて,むやみにパケットをのぞき見しない。
      幻想になっているかもしれないけど。
      親コメント

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...