最速インターフェース研究会

昨日の記事の続き。個人として書いていて会社の意見ではありません。

「Web屋のネタ帳」のこと

誤読するのも無理ないというか、CNETの記事にはWEPキーが必要と書いてあるんですが、他のニュースサイト見ると書いてなかったり、普通に説明を見た限りだとわかりそうにないので。なので早とちりでああいう記事が書かれるのも無理はないと思うのですが、気になるのは、何もそこまで悪意を持って叩く必要があるのかな、っていう点です。

少し前にも、百式の人をボロクソに書いてたけど、ブラウザの同時コネクション設定ぐらいでサーバー負荷が増大して大変なことになるなんて考えにくいというかフツーあり得ないというか、「Web屋」ならその辺は感覚的に分かるはずだし、RFCもMUSTじゃなくてSHOULDになってるし、そもそもタイトルからして煽りすぎではないか。もちろんブラウザのデフォルトは適切な値であるべきだろうけど、ボットやクローラや分割ダウンローダーの方がよっぽど問題になるよね。

記事自体には(ちゃんと訂正を入れてくれるので)どうこう言うつもりは無いんですが、きょうび5000万円請求されたり奥歯ガタガタ言わされたりといった怖い事件が多発しているので気をつけたほうがいいんじゃないかと思いました。

WEPキー + MACアドレス認証は結局安全なのか

そもそも、アーキテクチャの選択だけで安全性が保障されるつーことは無いよね。
暗号化が弱いとか、MACアドレスは詐称できる、っていうのは分かるんだけど、実際のところIDやパスワードの管理コストまで考えると、従来のWEB認証より安全なケースも多いんじゃないかな、と思う。
例えば子供にNintendoDSやWiiでインターネット接続させたいような場合に、MACアドレスを事前登録しておけば小学校低学年の分別の付かない子供にlivedoor IDとパスワードを教える必要がなくなるわけだよね。パスワードを知らなければそもそもフィッシング被害に遭ったりしない。設定済みのNintendoDSを友達に貸すような、カジュアルなタダ乗りも相手にIDとパスワードを教えなくて済むようになるわけだし。

もちろんこれは確率的な問題に過ぎないんで、そこらじゅうで電波傍受されてて偽アクセスポイントが設置されてるのであれば、また話は違ってくるだろう。

なんか間違ってたら教えてください。

どこに書いてあるのか

http://d.hatena.ne.jp/dacs/20061226/1167065122

WEPとセットになっているんだそうだ。そんなこと非加入者が知りうるところのどこにも書いてなさそうだが…それはライブドアの落ち度ではないのかな？

探したら書いてあった。簡単に思わせたくてそこら辺の説明をはしょってるのかもしれない。
ライブドアではよくあること。いやほんとライブドアではよくあること。

http://helpguide.livedoor.com/help/wifi/qa/grp591#3088
Q. MACアドレス認証を利用する際の接続フローを詳しく教えて下さい
A. 以下の流れになります。

■通信可能エリアでアクセスポイントを検知
↓
■WEPキーを入力し、IPアドレスを取得
↓
■ブラウザを起動する
↓
□接続完了

犯罪に使われるかどうかの話

専門家じゃないので詳しいことは知りません！

1. 法的な抑止力があるかどうか
WEPキーもMACアドレスのどちらもパスワードと呼ぶには微妙だと思うけど、それで認証を構成しているのであればMACアドレスを詐称して使うことは不正アクセス禁止法でいうところの不正アクセスに該当するんじゃないの？

2. 技術的な抑止力があるかどうか
担当者じゃないんで知りませんが、同じMACアドレスが物理的に離れたアクセスポイントで使われてたら不正利用だってのはわかるよね。あとMACアドレスで製品名わかるはずなのでゲーム機でSPAM送信してたらおかしいとか、そういう。

3. どの程度抑止できればいいのか
インターネットは犯罪に使われるからダメとか。