Q&A
>ウェブについては今はもうHTTPSになっているサイトが多いですし
多いというよりSSL化されてないと警告出ますからね。
質問内容
今朝「グッとラック!」という朝の情報番組で、フリーWi-Fiの危険性を紹介していました。
その中で、シマンテックの方が用意したハッキング用のWi-Fiにスマホから接続すると、スマホから見たサイトの内容や送信したメールの内容が、ほぼリアルタイムでそのまま見えていました。
しかしながら、ウェブについては今はもうHTTPSになっているサイトが多いですし、メール送信にもSMTPSなどが使われていて、暗号化しない古いSMTPはほぼ使われていないと思います。
HTTPSやSMTPSを使っていても、仕込みなしであのような事ができるのでしょうか?
補足1
例えばSSLstripは、攻撃対象にARPスプーフィングを仕込んでおく事が前提になります。
つまり番組のようなことは、端末に予め何かを仕込んでおくか、そもそもHTTPSやSMTPSを使わないものを用意した「演出」ではないのか?という疑問を持っています。
補足2
Yahoo知恵袋 にほぼ同様の質問をしております。
原則としてマルチポストは駄目だと思いますが、あちらでは期待した回答を得られそうにないので、こちらで質問しました。納得のいく回答が得られたら知恵袋へフィードバックするつもりですが、もし問題があるようでしたら、知恵袋の質問は削除しますので、遠慮なくその旨ご指摘ください。
マルチポストするなら、適切にコントロールしてください。
先方についた回答をこちらに展開する程度のことはすべきだと思います。
(回答にするつもりはありませんが、できるかどうかで言うとできます。)
知恵袋で現在進行形でやりとりしていて、
期待する回答を得られそうにない。ってあちらの回答者さんに失礼ですね。
> 納得のいく回答が得られたら知恵袋へフィードバックするつもりです
ではしてください。ベストアンサーを付けたということは、納得いったのですよね?
そもそも納得がいくまで待たずに最初から両側にリンクを張るだけで済むと思うのですが。
> もし問題があるようでしたら、知恵袋の質問は削除します
回答の付いた質問を削除するのは回答者に失礼ですのでおやめください。
回答1件
0
ベストアンサー
徳丸先生が以前回答しておられましたが、SSL / TLSで暗号化している環境下では、接続先と該当端末に脆弱性等がない限り通信内容を盗聴することは不可能です。
https://teratail.com/questions/160123
SSLの場合は注釈が必要です。盗聴には、攻撃者が用意したサーバーに正規のサーバー証明書が入っている必要があります。しかし、ドメイン名ハイジャックされた状態ではサーバー証明書を作ることができるので、結果として、SSLの場合でも盗聴できる可能性が高いと言えます。
とも書いてあります。
投稿2020/02/21 05:57
編集2020/02/21 08:06
総合スコア10429
ただ、利用者の方々にとっては判断が難しい部分ではあるのでそのような紹介の手段を講じることは有益だと思います。
> SSL / TLSで暗号化している環境下では、接続先に脆弱性等がない限り通信を盗聴することは不可能
やはりそうですよね。「仕込み」がなければ、あのようなことは不可能だと思います。
演出としては必要なのかもしれませんが、全てが全てあのように見えるかのように紹介するのもどうなのですかね…。
ちょっと説明が不足してたので追記しました。ご確認ください。
ご丁寧にありがとうございます。書かれている事は概ね理解できていると思います。
あなたの回答
tips
プレビュー
