『DHCPサーバーが返すデフォルトゲートウェイをMITMの端末とすることで、すべての通信をこの端末を通過するように設定しています』
ARP spoofやDHCP hijackingなどDNS無視してMITMする方法はいくらでもあるわな。というかむしろそっちの方がもともとの攻撃な気がする。
はての嬢が珍しく異論を
そういう時こそVPN
https の検証結果を無視する意味(メリット?)が良く解んない。検証しないではなくて、検証した上で無視するの???
専用アプリがHTTPSの検証を無視する場合、DoH(DNS over HTTPS)やDoT(DNS over TLS)は有効な対策となることがありますの。
一般にはそれほど心配ないけど標的型攻撃をうける可能性がある人は注意しなければならないルートのひとつ
住所(DNS)がどんなに正しくても道の途中で嘘の住所に誘導(MITM攻撃)される。着いた偽の住所で本人確認(検証無視するアプリ)ができないため騙されます。 ゴミアプリ使わない or 公衆wifi 使わないor VPN使う。
id:kshtn DNSを設定して社内の開発用環境に接続するが、開発環境のために真正のSSL証明書なんて用意してられないからでしょ。SSL検証自体は通信用OSSが行うが、検証失敗時に何をするかはアプリ側が設定できて、単に無視する
いくらDNSの結果が正確でも、ルーティングが信用できないと意味ないってことだよね、そもそもそんなごみみたいなアプリ使うなという話だけどユーザーにはアプリの中身なんてわからないからな…
そのようなアプリは使わないが吉では。『専用のモバイルアプリの場合、HTTPSの検証結果を無視するものが一定割合あるという調査結果』
“開く ”
気づいたらホッテントリに入っていた。皆さん、読んでくれてありがとう!
この春ご卒業、新入学、新社会人の皆様、おめでとうございます。
ちゃんとしたVPNに意義はあるけど、悪意のあるVPNアプリは「公衆Wi-FiのMITM攻撃をするにはその場所に〜」の制約すらなくなってかえって悪用が容易なので適当なVPNは使われませぬよう
先日、クレカ会社の証明書が Amazon の DV証明書で「このドメインは本当に信用していいのか」という事を過去のブクマから調べる必要があった。安全かどうかの判断は一般人にはドンドン難しくなっていると思う。
前提から否定して終了って感じか?
公衆WiFiでDNSポイズニングが行われているとHTTPSが無価値になるという話とアプリの通信がザルなことがあるという話
こういう話を曲解して『公衆Wi-Fi=危険』とならないようにしようね。証明書が正しく検証されない環境なら、自宅のLANであってもMITM攻撃は成り立つ。そもそも、インターネットの通信経路自体は信頼できるものじゃない。
社内の開発環境で、という話があったけど、まぁ、そういうケースがゼロではない事は同意するが、閉じた開発環境でも検証可能な証明書を準備することは、今時、それほど難しくないし、検証 off のままリリースが怖い。
公衆WiFiでのMITMの脅威について、HTTPSなら心配不要というのはわかるのですが、汎用的なブラウザではなく専用のモバイルアプリの場合、HTTPSの検証結果を無視するものが一定割合あるという調査結果を見た記憶があります。 そのようなアプリに対してDoH/DoTは対策になりますか? | mond
『DHCPサーバーが返すデフォルトゲートウェイをMITMの端末とすることで、すべての通信をこの端末を通過するように設定しています』
ARP spoofやDHCP hijackingなどDNS無視してMITMする方法はいくらでもあるわな。というかむしろそっちの方がもともとの攻撃な気がする。
はての嬢が珍しく異論を
そういう時こそVPN
https の検証結果を無視する意味(メリット?)が良く解んない。検証しないではなくて、検証した上で無視するの???
専用アプリがHTTPSの検証を無視する場合、DoH(DNS over HTTPS)やDoT(DNS over TLS)は有効な対策となることがありますの。
一般にはそれほど心配ないけど標的型攻撃をうける可能性がある人は注意しなければならないルートのひとつ
住所(DNS)がどんなに正しくても道の途中で嘘の住所に誘導(MITM攻撃)される。着いた偽の住所で本人確認(検証無視するアプリ)ができないため騙されます。 ゴミアプリ使わない or 公衆wifi 使わないor VPN使う。
id:kshtn DNSを設定して社内の開発用環境に接続するが、開発環境のために真正のSSL証明書なんて用意してられないからでしょ。SSL検証自体は通信用OSSが行うが、検証失敗時に何をするかはアプリ側が設定できて、単に無視する
いくらDNSの結果が正確でも、ルーティングが信用できないと意味ないってことだよね、そもそもそんなごみみたいなアプリ使うなという話だけどユーザーにはアプリの中身なんてわからないからな…
そのようなアプリは使わないが吉では。『専用のモバイルアプリの場合、HTTPSの検証結果を無視するものが一定割合あるという調査結果』
“開く ”
気づいたらホッテントリに入っていた。皆さん、読んでくれてありがとう!
この春ご卒業、新入学、新社会人の皆様、おめでとうございます。
ちゃんとしたVPNに意義はあるけど、悪意のあるVPNアプリは「公衆Wi-FiのMITM攻撃をするにはその場所に〜」の制約すらなくなってかえって悪用が容易なので適当なVPNは使われませぬよう
先日、クレカ会社の証明書が Amazon の DV証明書で「このドメインは本当に信用していいのか」という事を過去のブクマから調べる必要があった。安全かどうかの判断は一般人にはドンドン難しくなっていると思う。
前提から否定して終了って感じか?
公衆WiFiでDNSポイズニングが行われているとHTTPSが無価値になるという話とアプリの通信がザルなことがあるという話
こういう話を曲解して『公衆Wi-Fi=危険』とならないようにしようね。証明書が正しく検証されない環境なら、自宅のLANであってもMITM攻撃は成り立つ。そもそも、インターネットの通信経路自体は信頼できるものじゃない。
社内の開発環境で、という話があったけど、まぁ、そういうケースがゼロではない事は同意するが、閉じた開発環境でも検証可能な証明書を準備することは、今時、それほど難しくないし、検証 off のままリリースが怖い。