無線LANビジネスガイドライン、訪日外国人向けの認証仕様はセキュリティの観点から非公表 21
ストーリー by hylom
オープンとクローズドどちらが安全かという議論 部門より
オープンとクローズドどちらが安全かという議論 部門より
あるAnonymous Coward曰く、
総務省が「無線LANビジネスガイドライン」の意見募集結果と、意見募集などを踏まえた第2版を公表した。このガイドラインは、公衆無線LANサービスを提供する事業者が円滑に事業展開し、利用者が安心・安全なサービスを享受できる環境づくりに資することを目的としている。
総務省は、訪日外国人が一度の利用開始手続で複数の事業者の無料公衆無線LANサービスに接続できるよう実験を行っている(「無線LANビジネスガイドライン第2版」PDF 26ページ)。ところが、その認証仕様の詳細はセキュリティの観点から公表しないという。
これに対し、その方針は不適切ではないかという意見が出たが、提出意見を踏まえた案の修正は無かった(「無線LANビジネスガイドライン」の改正案に対する意見募集の結果と総務省の考え方」PDF 5ページ)。
うーむ (スコア:0)
何いってんのこいつ?
「脆弱性が存在してるので隠したい」ってこと?
Re: (スコア:0)
Security through obscurityという言葉がありましてな
Re:うーむ (スコア:2, おもしろおかしい)
同意。
詳細を公表しても問題ない認証仕様で作ったうえでそれを公表しないのが一番。
何でもかんでも公表しろっていう奴は無視すればいい。完璧な対応だと思う。
Re: (スコア:0)
公表されないなら、公表しても問題ない仕様かどうか分からんではないの。なぜ完璧と言えるの?
Re:うーむ (スコア:1)
例えば、同一人物によるログインとみなせない要求は拒否する、という仕様にしたとする。
どうやって検出するのかは、それが妥当なら公開する必要はない。そういうこと。
公開すれば迂回しようとする輩が現れるのは確実で、公開しない方がよい。
Re: (スコア:0)
それは、もし妥当な仕様ならば仕様は妥当である、ってだけだよね?
そうじゃなくて、
公表されていないことからは、妥当な仕様になっていることは導けないし、従って「完璧な対応」であると結論することはできない。
ってことなんですけど。
Re: (スコア:0)
意見募集しておいて、「俺らのやり方は妥当なんで仕様を公開する必要はない」って、意味不明なんですけど。
どうやって意見すれば良いの?
下賤の民の意見なんざ聞く耳持たないけど、一応ポーズだけはしとくか、ってこと?
Re:うーむ (スコア:1)
きちんと理由を説明して反論しているじゃないですか。それに、寄せられた意見に従えばいいってものじゃないでしょ。
ちなみに「聞く耳持たない」というのは、
「参考意見として承ります。」
としか書いてないもの。いちいち回答するのも馬鹿らしいので回答もしない。
本当に参考にする場合には、
「頂いた御意見は、今後の行政の参考とさせていただきます。」
となってる。
Re: (スコア:0)
有用な意見が出るかもしれないから意見募集して、
無益な意見が出てきたらそれは無視する。
ちっとも意味不明じゃない。
Re: (スコア:0)
> 公開すれば迂回しようとする輩が現れるのは確実で、公開しない方がよい。
公開しなくても迂回しようとする輩が現れるのは確実だと思うし、そういう感想が間違っていたとしても現れる想定でないといけないよね。
なので、「公開しない方がよい」とする根拠としてはこれでは不充分なのでは。
Re: (スコア:0)
中の人が分かってりゃいいことで、部外者は分かる必要などない。
完璧だって言ったのは、公表されてない詳細仕様についてじゃなくて
公表しろっていう奴を無視する態度について。
Re: (スコア:0)
態度について、という話ならばわかりました。
私なら「実際に妥当な仕様であることを願う」くらいに留めますが。
Re: (スコア:0)
資料読めばわかるけど、暗号アルゴリズムとかそういう部分ではなく、本当に認証のプロセスのとこなんだよね。
安全性というよりも、ある程度の柔軟性を仕様に組み込むためにも、詳細化はしないほうがよいと思う。
他のサービスでもこの部分を詳細に公表するケースって見たことないし。
Re: (スコア:0)
安全性というよりも、ある程度の柔軟性を仕様に組み込むためにも、詳細化はしないほうがよいと思う。
これは、
公衆無線LANサービスを提供する事業者等の円滑な事業展開
という観点からプラス?マイナス?
Re: (スコア:0)
Security through obscurityの解釈間違えてますよ。
Re:うーむ (スコア:1)
Re: (スコア:0)
Security through obscurityって、今更古典暗号的ですか・・・
現代暗号化では真っ先に否定される手法ですな
Re: (スコア:0)
"Security through obscurity"って隠すことでセキュリティが守れるという勘違いを揶揄する概念であって、隠すことでセキュリティとすることを擁護するための概念ではなかったような。
Re:うーむ (スコア:1)
Re: (スコア:0)
トライアンドエラーが必要ということがわかってない
先行き思いやられる
Re: (スコア:0)
官僚は無謬ですから。知らしむべからず。よらしむべし。