wakatonoの戯れメモ このページをアンテナに追加 RSSフィード

たわいもないこと(日々の妄想とも言う)をつらつらと書いてます。断じて壊れメモではありません。ましてや「穢れメモ」でも爛れメモでもありません(涙)。
が、時により一つのことを掘り下げる傾向が見られるので、article数は少ないカモ。
ちなみにSlashdot Japanの日記もあります。個人的な連絡がある方はwakatono@todo.gr.jpまで("@"は2バイト文字になってるんで、てけとうに書き直してください)。GnuPG公開鍵はこちら

他のあたり:PFSEC - Systems Platform and Securityアマゾンのレビュー

強いWindowsの基本 WebDAVシステム構築ガイド(萌えバナーその1)
WebDAVシステム構築ガイドの方のバナーの絵柄は、内容とは何の関係もありません(汗)
アクセス探偵IHARA

おとなり日記はこちら

2007-04-28 もういくつ寝ると

[]正気か?ドコモ正気か?ドコモ…を含むブックマーク 正気か?ドコモ…のブックマークコメント

正直、いまさら64kbpsパケットといわれても、かなり困る…。

WILLCOMは、PHSながら128kbpsのサービスを展開してるし、emobileは、エリア限定ながら数Mbpsの通信速度をたたき出している。

このサービスをドコモがやる意味は、それらのキャリアがカバーできないエリアをフォローするというくらいの意味しか見出せない。また、専用端末になっちゃうにもかかわらず、4800円/月ってのも、お得感を限りなく削ぐものという認識。

確かに価格競争力があるサービス内容にしちゃうと、他のキャリアから突き上げくらいかねないというのはあるけど、さすがにこれはないんじゃない?>ドコモさん

[]POP over オレオレSSLの撲滅賛成ー POP over オレオレSSLの撲滅賛成ーを含むブックマーク POP over オレオレSSLの撲滅賛成ーのブックマークコメント

sonodamさんところ経由でたどり着く。

高木先生のエントリでほぼ言い尽くされてはいる感があるが、APOP脆弱性を利用した攻撃が成立する背景には、MITMなりの手段で「クライアントに対して(攻撃者側に都合がいいという意味で)適切なチャレンジ」を送る必要がある。

この攻撃を実施してパスワード文字列(の一部)を推測するためには、それなりの数の電文が必要(といっても少ない)を集める必要がある、という記述だったような。>勧告

ちなみにこの攻撃を行うための条件の1つ(MITM)が成立するような状況において、「POP3 over オレオレSSL」を使ったところで、安全性が向上することにはならない。むしろ低下するくらいの勢いだ。

証明書の検証を行わないということは、サーバの真正性を検証しないということと同義であり、以下のような状況になってしまったら、平文を盗聴されているのと同様のことに(当然)なる。

MUA(メールクライアント) - POP3 over オレオレSSL - 攻撃者のPOP3 over オレオレSSL受け口

本来のメールサーバが正当な証明書を使っていない限り、証明書の検証をしないMUAのユーザからは、つなぎ先が「正当なサーバ」なのか、「攻撃者のサーバ」なのかを意識できない。

だいたい攻撃者が用意する受け口のむこうは、以下のような構成になっている。

+--------------------------------------------------------------------------------------------------+

| POP3 over オレオレSSL待ちうけプロセス(ProcA) - 本来のPOP3 over SSLサーバへの接続プロセス(ProcB) |

+--------------------------------------------------------------------------------------------------+


証明書の検証をしないと、SSLで暗号化した内容を復号され、さらにSSLによる接続を張られ、復号→暗号化の過程で平文の内容を読み取られる、ということが容易に実施される。

上記の中で、ProcAとProcBの間の通信をTAPするだけでOKだ。こんなのは正直、知ってる人ならば誰でも可能なことである。それに加え、DNSののっとりやルータののっとり、Pharmingその他の方法を実施されてしまうような環境がそろえば、チャレンジを送って云々などというしちめんどくさいことをしなくとも、容易にパスワードを含めた通信を読み取られる。

オレの考え:APOP脆弱性をついた攻撃が成立する環境下において、POP3 over オレオレSSLは解決策にならないどころか余計に被害を増殖させる危険性が…

QTQT 2007/05/01 12:24 Webフィルタリング製品では、既にMITM方式でHTTPS通信を監視する製品が出現しているので、将来的にはメールフィルタリング製品でもoverSSLを監視するような製品が出て、チェックがgdgdになる可能性もあるような気が…

2007-04-25 今週に入ってから、いろいろと詰まってます

最初の論文は、査読なしで出すか(出さないというのはありえない)。

[]セキュリティキャンプ2007開催決定 セキュリティキャンプ2007開催決定を含むブックマーク セキュリティキャンプ2007開催決定のブックマークコメント

今年も開催されることが決定したようです。

以下のような感じ。なお、会場は北千住から幕張に移りましたー(汗)

  • 開催日(予定):平成19年8月13日(月)〜8月17日(金)(4泊5日)
  • 開催場所(予定):(財)海外職業訓練協会(OVTA)(千葉市美浜区ひび野1丁目1番地)

hirotohiroto 2007/04/25 23:38 今年はずいぶん立派なビルになりましたね〜
(公式ページの写真を見る限りでは。。。)
早速、興味ありそうな人がいたら勧めてみます。

wakatonowakatono 2007/04/29 01:38 ありがと〜〜〜〜
是非よろしくですーー

ルフィア爺ルフィア爺 2007/04/29 09:06 ワシもなるべく行ける日はボランティアで行こうかと。Emobilesのエリア探索を兼ねてじゃがw

2007-04-14 ふぅ

とりあえず、仕事の方もなんとか軌道に乗せた…。

今度のお仕事は、

[]管理というお仕事 管理というお仕事を含むブックマーク 管理というお仕事のブックマークコメント

ちょっとした関係で、今は管理系のお仕事してます*1

技術系のお仕事から管理系のお仕事になって、わかったことは、

  • まともに管理するには、技術系の話をある程度わかってないと出来ない

ということ。

もともと人と話すのは好きだし、よりいっそう皆様のお役に立てるならばというところを、モチベーションの拠り所にしてます。

*1:管理職になったわけではないです

0000 | 00 | 01 |
2003 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 04 | 05 | 06 | 07 | 08 |
2011 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 12 |
2012 | 01 |
2013 | 05 | 06 | 07 | 08 | 09 | 12 |
2014 | 03 | 06 | 08 |
2015 | 02 | 04 | 08 | 10 |
2016 | 02 | 03 | 04 | 07 | 08 | 10 |
2017 | 05 | 07 |
hacker emblem
ページビュー
1956090
Connection: close