デジタル庁が12月20日に公開した「新型コロナワクチン接種証明書アプリ」で、通信内容のデータが見れてしまうというツイートが話題になった。投稿者は該当ツイートを削除しているが、同庁はツイートについて把握しており、触れられている内容については「問題ない」との認識を示した。
投稿の内容は、同アプリの通信解析を試みたユーザーによる「アプリがサーバ証明書を確認せずに情報送信しているから、SSLインスペクション(暗号化通信の復号)で送受信データが読めてしまう」というもの。しかし、このツイートに対し「ピンニングをしていないだけでは」との指摘が相次いだ。
ピンニングとは、特定の証明書のみに限定して通信するもので、一時期はセキュリティに対して効果があるとされていたが、近年では別のリスク面からピンニングしないケースも多いようだ。
https://www.itmedia.co.jp/news/articles/2112/21/news085.html
周りからのツッコミでもう完結してたのか
揚げ足取り太郎が勇み足した感じ?
>>4
ピンニングっていうのは簡単にいえば、認証にこの鍵以外は使わせないよっていう縛り。メリットは正しく使えばセキュリティは高いけど、デメリットとしてその鍵がダメになったときバックアップが無いから対応が柔軟に出来ない。
別にピンニングされてなくても別な鍵で暗号化自体はされて通信されてるのね。んで、この人は自分で暗号化したものを自分で復号化して「まる見えだ!」っていったわけ。そりゃそうだろって話
付け焼き刃でココア感覚で切り掛かったんだろな
これはちゃんと捕まえろよ
悪質なデマだぞ
ツイッタ投稿者と拡散したやつは、信用毀損罪、偽計業務妨害罪、名誉毀損罪にあたるのでは?
>>15
政府が個人を訴訟すんのか
>>18
何の問題が?
悪質だなあ
ちょっと聞きかじっただけのパヨクによくあるしぐさ
これツイート消して終わりじゃすまんだろ
散々ダメ出ししていたスーパーハッカーの皆さんは今どういう気持ちかな?
そもそもマイナンバーなんて年末調整で事務のおばちゃんに知られ放題なのに何で異様に警戒するんだろうな
これでアプリぶっ叩いてたヤツってWebブラウザー全否定してるようなもんだからな
まともなエンジニアじゃないよw
>Google Chromeなどもピンニングしておらず、セキュリティ要件として重要ではない
これもちょっと正確ではないなあ…Chromeが72で廃止したのはHTTPヘッダーベースのHPKPだけだよ
自分の通信内容を見たぜぇ!
ドャァ!からの恥ずかし削除?