- - PR -
SSLでも「なりすまし」
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2007-01-25 14:38
初投稿になります。よろしくお願い致します。
SSL に関しての疑問なのですが、例え SSL 掛かっていたとしても「なりすまし」って出来てしまうと思うのですが、どうでしょうか?この辺りのことが検索等で見つからなくて・・・。 SSL とは、結局のところ、通信の途中で傍受されても復号化されないためのものであると捉えています。 例えばIDとパスワードを持つデータを傍受した場合、復号化出来なくても、データをそのまま本来の宛先へ送ってしまえば、認証は通っちゃいませんか? あとは普通にセッションID受け取って・・・など。 IDとパスワードを持つデータかどうかは、宛先で分かりますし。そうようなものではないのでしょうか? 何か根本的に勘違いをしているかも知れません。 SSL を評価する上で疑問に思いましたので、参考URLだけでも、よろしくお願い致します。 | ||||
|
投稿日時: 2007-01-25 14:48
その認識がそもそも間違いです。 | ||||
|
投稿日時: 2007-01-25 15:23
こんにちは。
槻ノ木隆のBBっとWORDS のバックナンバーを その22 から その27 まで通してお読みになれば暗号化通信の大まかなところは掴めると思います。 _________________ 上本亮介 (ue) @ わんくま同盟 Microsoft MVP for VSTO (Jul 2008 - Jun 2009) Hello Another World! .NET 勉強会 / ヒーロー島 | ||||
|
投稿日時: 2007-01-25 15:23
そうなんですか。 検索方法がぬるいかも知れませんが、サーバ証明書、ルート証明書、秘密鍵、公開鍵、共通鍵、PKI程度しか見つかりません。 証明書の検証とデータ暗号化・復号化以外 SSL は一体何をしているのでしょう? たとえば共通鍵の段階まで移行している場合でも、傍受した暗号データをそのまま送れば、期待するレスポンスは返ってこないんでしょうか? 共通鍵がセッション毎に破棄されると聞きましたが、どの程度有効なのか分かりません。 パケット経由するサーバであれば簡単に送信元をすりかえられるんじゃないのかな?と思ってしまうのです。 | ||||
|
投稿日時: 2007-01-25 15:24
こんにちは。ありがとうございます。 早速読んでみます。 読んでいて気付いたのですが、「なりすまし」って書いたのがまず間違っていました。 Fishing詐欺と同じ意味?だったんですね。すみません。 サーバ側が偽装するのではなく、データを盗聴してクライアントになりすます場合(なんと言うのでしょう。)はどうでしょうか? [ メッセージ編集済み 編集者: はからずも 編集日時 2007-01-25 15:35 ] | ||||
|
投稿日時: 2007-01-25 15:31
こんにちは。
よほど探し方が悪かったのでしょうかねえ? まともな解説サイトは幾つも見つかりますが・・・。 ここ(SSLサイト安全性確保の仕組み)もその一つです。 | ||||
|
投稿日時: 2007-01-25 15:38
こんにちは。 そう言われると面目ありませんが、どうも「なりすまし」の方の意味を取り違えていたようです。 サーバ側が偽装するのではなく、データを盗聴してクライアントになりすます場合(なんと言うのでしょう。)はどうでしょうか? | ||||
|
投稿日時: 2007-01-25 15:49
一つ前のコメント中の参考URLを見て下さい。 # 青字に見える部分ですが、わからなかったのかなあ。 # 相手の確認が取れないとSSL通信は始まらないのですが・・・。 | ||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。