1:名無しさん


デジタル庁が12月20日に公開した「新型コロナワクチン接種証明書アプリ」で、通信内容のデータが見れてしまうというツイートが話題になった。投稿者は該当ツイートを削除しているが、同庁はツイートについて把握しており、触れられている内容については「問題ない」との認識を示した。

 投稿の内容は、同アプリの通信解析を試みたユーザーによる「アプリがサーバ証明書を確認せずに情報送信しているから、SSLインスペクション(暗号化通信の復号)で送受信データが読めてしまう」というもの。しかし、このツイートに対し「ピンニングをしていないだけでは」との指摘が相次いだ。

 ピンニングとは、特定の証明書のみに限定して通信するもので、一時期はセキュリティに対して効果があるとされていたが、近年では別のリスク面からピンニングしないケースも多いようだ。

https://www.itmedia.co.jp/news/articles/2112/21/news085.html

 

3:名無しさん


周りからのツッコミでもう完結してたのか

 

4:名無しさん


揚げ足取り太郎が勇み足した感じ?

 

21:名無しさん

>>4
ピンニングっていうのは簡単にいえば、認証にこの鍵以外は使わせないよっていう縛り。メリットは正しく使えばセキュリティは高いけど、デメリットとしてその鍵がダメになったときバックアップが無いから対応が柔軟に出来ない。

別にピンニングされてなくても別な鍵で暗号化自体はされて通信されてるのね。んで、この人は自分で暗号化したものを自分で復号化して「まる見えだ!」っていったわけ。そりゃそうだろって話


7:名無しさん


付け焼き刃でココア感覚で切り掛かったんだろな

 

9:名無しさん


これはちゃんと捕まえろよ
悪質なデマだぞ

 

15:名無しさん


ツイッタ投稿者と拡散したやつは、信用毀損罪、偽計業務妨害罪、名誉毀損罪にあたるのでは?

 

18:名無しさん

>>15
政府が個人を訴訟すんのか


86:名無しさん

>>18
何の問題が?


20:名無しさん


悪質だなあ

 

22:名無しさん


ちょっと聞きかじっただけのパヨクによくあるしぐさ

 

29:名無しさん


これツイート消して終わりじゃすまんだろ

 

50:名無しさん


散々ダメ出ししていたスーパーハッカーの皆さんは今どういう気持ちかな?

 

57:名無しさん


そもそもマイナンバーなんて年末調整で事務のおばちゃんに知られ放題なのに何で異様に警戒するんだろうな

 

66:名無しさん


これでアプリぶっ叩いてたヤツってWebブラウザー全否定してるようなもんだからな
まともなエンジニアじゃないよw

 

76:名無しさん


>Google Chromeなどもピンニングしておらず、セキュリティ要件として重要ではない

これもちょっと正確ではないなあ…Chromeが72で廃止したのはHTTPヘッダーベースのHPKPだけだよ

 

92:名無しさん


自分の通信内容を見たぜぇ!
ドャァ!からの恥ずかし削除?