雑記

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|
2007|01|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|09|11|
2009|02|03|05|06|07|08|10|11|12|
2010|01|03|04|05|06|07|08|09|10|
2011|05|06|09|10|
2012|03|07|09|12|
2013|01|02|04|05|07|08|10|11|
2014|04|05|08|10|12|
2015|01|05|
2016|09|

2003-12-18 [長年日記]

可能性

私の理解では,TCPの3 way handshakeって,クライアントへのなりすましは難しくてなかなか現実的ではないと言われていますが,サーバーへのなりすましは意外と簡単なはずです.これってたぶん盲点というか,過去の状況なら「出来るけどナンセンスだよねぇ」と笑い飛ばされて終わった話なのですが,今回の問題におけるSSL MITMへのアプローチとしては非常に有望であると私は考えていて,あと何手か打つことによって,正しいサーバへアクセスしようとしたクライアントでさえ,知らず知らずのうちに罠にはめることが,現実的な確率で可能であると思っています.

それでも,httpsのページを開いた後に鍵マークをダブルクリックして証明書の発行先を確認することで偽装を見破ることが出来ますので,まだIEを使っている人はぜひ鍵クリックの癖を付けてください.

これも具体的な手口を示唆する内容なので書いてしまってよいものかどうか非常に悩みました.しかし,元の文書の私の書き方が中途半端であったため,リンクを張っていただいたサイトで誤解されている所があったようなので,書くことにしました.こういうやり方は良くないという思いはあるのですが,こうする以外に良い方法が思いつきません.17日の行動のときも,実はリンクを張ってくれそうな有名な方にメールで相談しようかとも思ったのですが,それだと儀礼的無関心(関連リンク集)におけるBさんのような役割というか,「周知させた責任」みたいなものをその人個人に押し付けることになるんじゃないかと考えたりして...