- - PR -
SSLでも「なりすまし」
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2007-01-25 15:57
もっと具体的に書くか、専門用語の意味をきっちりと押さえた上で専門用語を使って質問してください。単純に「クライアント」と書いても、ユーザーから見たクライアント、サーバー管理者から見たクライアント、攻撃者から見たクライアントは意味が違いますよね。その辺りを曖昧のまま、同じ台詞を繰り返されても、さっぱり意味不明です。
なぜ相手に伝わらないのか考えてみてください。 | ||||
|
投稿日時: 2007-01-25 15:58
[quote]
BackDoorさんの書き込み (2007-01-25 15:49) より:
わざわざご指示頂いて助かります。 いえ、確認が取れ、すでに通信が確立している場合での懸念です。 たとえば共通鍵の段階まで移行していて、クライアントからのデータを奪ってクライアントになりすますことはできないでしょうか? それとも共通鍵の破棄と同様、デジタル証明書の確認もセッション毎に行われるのでしょうか? サーバリソースの観点から、それはありえないと勝手に思いこんでますが。 | ||||
|
投稿日時: 2007-01-25 16:18
基本的な理解の不足が原因の「オレオレ推論」の展開。 これを防ぐには、基本的な事から順を追って理解を深めることが最適だと思うよ。 [ メッセージ編集済み 編集者: どせい 編集日時 2007-01-25 16:20 ] | ||||
|
投稿日時: 2007-01-25 16:34
論理的には可能、現実的には不可能なのでは。 無限のMIPS値を持つスパコンでもあれば乗っ取れるんじゃないでしょうか。 稀にその敷居を低くするような脆弱性が発見されてニュースになったりしてますね。 日常的にそれが可能ならSSLを誰が使うのでしょうか。 # この手の話題になるたびに自分の理解が合っているか不安になって確認していたり。 | ||||
|
投稿日時: 2007-01-25 16:38
はからずもさんの考えているSSLの仕組みを詳細に説明して、その上でどこに問題が起こり得るかを示さないと、話が通じないでしょうね。
個人的には、せめて Man in the middle attack ( 中間者攻撃 ) のことは勉強した方が良いだろうと思います。 [joke] で、皆さん誤解されていますが、SSLの認証とはサイバーパテントデスクであることを保証する機能ですよ。 [/joke] | ||||
|
投稿日時: 2007-01-25 16:42
ID とパスワードを持つデータが復号化出来ないなら、 他のどのパケットを受け取っても復号化出来ないですよね。 受け取ったセッション ID とやらだって復号化できない。 | ||||
|
投稿日時: 2007-01-25 17:15
割と時間的な余裕はありますが全くの暇人ではありません。
セッションが確立された段階で相手方アドレスは固定されるのですが、そこに どのような方法で割り込めるとお考えなのでしょうか? 心配されている内容の技術背景が全く理解できませんので、ここまでで失礼します。 | ||||
|
投稿日時: 2007-01-25 18:00
>割と時間的な余裕はありますが全くの暇人ではありません。
>心配されている内容の技術背景が全く理解できませんので、ここまでで失礼します。 それならば、あえて返す必要もないでしょうに・・・。 ワザワザそんな事言及しなくとも・・・、非難がましいですね。 どうも素人が質問できるような場所ではないようですね。 専門から離れりゃ誰だってトウシロなのに。 たかがクライアント、サーバーで http://e-words.jp/w/E382AFE383A9E382A4E382A2E383B3E38388.html http://d.hatena.ne.jp/keyword/%A5%AF%A5%E9%A5%A4%A5%A2%A5%F3%A5%C8 http://e-words.jp/w/E382B5E383BCE38390.html http://d.hatena.ne.jp/keyword/%A5%B5%A1%BC%A5%D0 上記URLですらこんな程度なのに、それ以上勉強しなければ、ダメなようで。 批判的、排他的なものを感じずにはいられませんね。 お陰で色々勉強できましたわ。どうも助かりました。 |