HTTPSは安全なのか？ - Qiita

いきなり追記 2024-01-09 この記事にはまともな結論がありませんし論点も定まっていません この記事には批判が多いので、こちらの素敵な記事をぜひお読みください。 Free Wi-Fi(00000JAPAN)は安全なのか？ コメントで不愉快とされたところを削除しました。 徳丸さんのツイート 猫の写真 素人というエクスキューズ （編集履歴はqiitaの機能で見れると思います） 信頼できるサービスであれば Free Wi-Fi に限らず被害に遭う可能性はとても低いと思います。気にせず使ってください。 気分を害された方にお詫び申し上げます。 ここから元記事 お正月休みは卒業した大学の記事を書く予定でしたが、ちまたで話題の「httpsなら安全」について攻撃的なツイートを散見どころかめっちゃ見たのでこの記事を書いています。httpsを盲信されるならまだしも、無知の斧で攻撃を振るう方に悲しみを覚え

[b-wind]

とりあえず、この記事の内容はFree Wi-Fiかどうかに関係無い。

[umaemong]

『httpsに関係ない話題は書きません』と言っておいて『httpsで通信したその先』の話。『証明書の検証を無効化』したら危険なのも当然。攻撃的な口調になってしまい申し訳ないのだけど、何を主張したいのかが不明だわ。

[Bookmarker]

記事からは論点が分からん。挙げている例の大半は、正しくHTTPSを使わない場合の例だし。

[canadie]

ひろみちゅ先生は「一般ユーザが災害時かつ緊急的にFree Wi-Fiでクレジットカード情報を入力するくらいの利用は問題ない」と言ってるのであってHTTPSが絶対安全だとかは言っていないし別の話でしょう

[tet00]

本題のフリーWiFiと全く関係がない。 ここに書かれているリスクを受容しない場合、それは「フリーWiFiを使うな」ではなく「ネットを使うな」になる。

[NOV1975]

セキュリティクラスタは攻撃的って言ってるけどこの記事も「無知の斧で攻撃を振るう方」とか、まあまあ煽り度が高くない？危険側の事例、主語デカ感あるし。

[hom_functor]

逆張りを試みて相手の主張してない内容ではい論破みたいなの普段でもきついけど、災害時にこういうことしてWi-Fi利用をためらわせるというのは直接的にも有害なのでより邪悪

[jaguarsan]

いずれのケースもまともな診断であれば脆弱性認定されるはずなので、「脆弱性のあるサイト/アプリを使うと危ない」って話でしかない/コメント欄にも理解怪しい人結構いるぞ

[n_y_a_n_t_a]

ひろみちゅ先生に教えてあげてください。ていうかひろみちゅ先生だってこれは知ってるでしょ／先生にTwitterで捕捉されたので次回から高木先生と書くようにします。こっわ

[hateshinaiz]

(1)Free Wi-Fiが偽物の可能性。(2)Free Wi-Fiで接続するサイトがHTTPS対応かどうか。(3)サイト側で入力情報悪用の可能性。(4)全経路で暗号化されていない可能性…これらを混ぜないで欲しい。分けて考えないと議論がおかしくなる

[secseek]

話題になるだけあって害が大きいですね

[ngkwtys]

反論記事を書きました https://qiita.com/ngkwtys/items/3756edcd690d5b6221cb

[fukumimi777]

Wi-Fi関係ないし、中間者攻撃が心配というなら、httpsそのものを信用できないと言ってるのに等しいと思うが。

[pwatermark]

httpsは通信の暗号化、証明書は到達先の第三者証明、それぞれに守備範囲と目的があるので「コレやっときゃ安全、は無い」という、10万年前から使い古された結論にしかならんよ、こういうのは

[kkobayashi]

技術要素だけで安全は担保できないという当たり前の話。使うサービスが信頼できるかどうか／エンドポイント間が正しく暗号化されてたらフリーwifiでも安全ですよというだけの話をゴチャゴチャと、、

[revert]

文章が無意味に煽ってるのはアレだけどQiitaに内容の正しさを期待してもしょうがないしプロとしてやってるわけじゃない人ならこのレベルの認識で十分じゃない？

[JULY]

ずいぶんはてブされてるなぁ、と思って見たけど、大きく間違った事は書いてない。ただ、文章の組み立てとか表題の付け方とか、もう少し工夫した方が、という点と、ちょっと fud が強い印象。

[poad1010]

この記事をおすすめしました

[shoechang]

これでよくわからないままフリーWiFiの利用を躊躇った先は電話・直接の生存確認で別経路のリソースを使う、銀行窓口・ATMに被災者殺到だからね。

[kaiton]

フリーWi-Fiは安全か、HTTPSは安全か？公式サイトをブックマークからアクセス、証明書のエラーが出たら繋がない、OSやブラウザは最新に更新が大事なのかな？

[utonn]

何に対して安全で、何に対しては安全ではないのかを整理して欲しい

[sangping]

込み入った技術的な話は分からないが「動物園からライオンが逃げた」に類する災害時デマに関連した話題として興味深い。（今回はNHKが「ライオンが逃げた」と言い出したのではという指摘なのでなおのこと）

[wiz7]

Wi-Fiは1番身近なわかりやすい例としては良いと思うけどね、実際はハンドシェイク中の介在なので、物理的にはあらゆるノードが対象？になるかもしれんけど

[d6rkaiz]

要点整理してから書いて欲しい。 / SSL bumpするにはCA証明書がインストール済みである必要があるから野良Wifiでは無理だろ。それとも繋がったら証明書インストールしてくださいって出るんだろか

[napsucks]

偽の相手とセキュアに暗号通信してしまう危険性について利用者への周知が不足してると思う。なんで証明書エラーが出るのか理解してない人が大半だろうし。本来なら証明書エラーの相手と暗号通信成立させんなとは思う

[tokorozawasawako]

何と闘ってるのかがわかんなくて集中できなかった

[tyouaniki]

専門家相手に雑な理解で喧嘩を売る、国語のちからが低い自称エンジニアの謎持論。(´・ω・｀)

[buhoho]

セキュリティの危険煽る人、実際の前提環境とか無視してなんでもありの攻撃環境を想定することあるのでつらいっす。

[getcha]

“セキュリティクラスタは口が悪く説明をしない 定説を覆したい”これは定説でいいと思うw / ひろみちゅ先生が全てを知ってるわけではなく「そんな事言ってるの？！」とセキリュティクラスタで言われているのもあるよ

[Y_Mokko]

なんでこう論点の噛み合わない文章を出してしまうのか。技術者はコミュ障ばかりか？

[skypenguins]

公開鍵基盤(PKI)の概念を理解していればそもそもHTTPSはあくまでPKIの要素技術にすぎないというのも分かるはず

[hinaloe]

一部のセキュリティツールはMITMしてその検証部分の代行して代わりのCAを信用させるけどたまにその検証部分に不備があったりするしもとの証明書が簡単に見れなかったりするんだよなぁ……

[tomopo]

言葉の節々に恨みつらみが入っていると、悔しいのうwww悔しいのうwwwとしか思わなくなってしまうので、技術的な文書は公正中立であって欲しいですわ。

[KoshianX]

すごくわかりやすく温厚に丁寧に説明しててすごい。セキュリティクラスタは攻撃的な人がどうしても多いのは企業側に理解がなく本当にブチキレ案件が多かったからというのもあるが、いまはさすがに減ってきたしな……

[takeshiketa]

安全に使う要件満たしてないだけだし、フリーWi-Fi関係ない。エンドユーザーに対する啓蒙であるならば要件を満たさない状態を想定して指摘すべきで、それがドメイン名の確認とかブラウザの警告無視するなとかになる

[toro-chan]

近年、企業内ではSSL通信をSSLBumpしてMITMしてる例は少なくない。その意味でHTTPSは「安全」(==常に2点間だけで通信し、他に漏れていない)ではない。安全の意味も技術の進展により変わる。

[akiat]

「通信は安全だけど、通信の相手先が安全とは限らない」でいいのでは。

[prograti]

証明書の検証不備は結構見かけますね https://www.google.com/search?q=CWE-295+site%3Ajvndb.jvn.jp

[doko]

真紅のコートおじさんこわい

[honma200]

タイトルだけ大文字HTTPS