接種証明書アプリの通信データおもらしはデマ確定 各方面からフルボッコでツイート削除 [711292139]
■ このスレッドは過去ログ倉庫に格納されています
デジタル庁が12月20日に公開した「新型コロナワクチン接種証明書アプリ」で、通信内容のデータが見れてしまうというツイートが話題になった。投稿者は該当ツイートを削除しているが、同庁はツイートについて把握しており、触れられている内容については「問題ない」との認識を示した。
投稿の内容は、同アプリの通信解析を試みたユーザーによる「アプリがサーバ証明書を確認せずに情報送信しているから、SSLインスペクション(暗号化通信の復号)で送受信データが読めてしまう」というもの。しかし、このツイートに対し「ピンニングをしていないだけでは」との指摘が相次いだ。
ピンニングとは、特定の証明書のみに限定して通信するもので、一時期はセキュリティに対して効果があるとされていたが、近年では別のリスク面からピンニングしないケースも多いようだ。同アプリはピンニングせずに通信しているが、アプリの送信データ自体は暗号化されている。投稿者が送信内容を確認できたのは、自分自身の端末に対し、復号に必要な「ルート証明書」がインストールされているためだ。SNSでは、「ピンニングしていないほうが通信内容が検証できて透明性が高い」といった声も見られた。
同庁は「ユーザーが自身の端末に対して、明確な意図を持ってルート証明書をインストールした上で、自分のアプリで自身の通信内容を見ているからできること。他人の通信でできるわけではない」とした他、ピンニングに対しても「Google Chromeなどもピンニングしておらず、セキュリティ要件として重要ではない」と説明している。
https://www.itmedia.co.jp/news/articles/2112/21/news085.html >>38
だからこのスレで「デマの拡散やめとけよ」って忠告したのに >>65
今どきの中学生が持っているスマホなら大体読み取れるだろ >>71
パヨにはDNS偽装とか野良Wifi前提のガキジニアしかいなかったじゃん >Google Chromeなどもピンニングしておらず、セキュリティ要件として重要ではない
これもちょっと正確ではないなあ…Chromeが72で廃止したのはHTTPヘッダーベースのHPKPだけだよ ディオ!
お前のくだらないデマはこれを狙っていたなら予想以上の効果をあげたぞっ! >>65
Felicaってtype-Fじゃないんだ? 問題ないなら個人情報流出させたら責任取るんだよな? >>42
あいつ笑えたわー
もう、絵に描いたようなスーパーハカー大先生w >>80
ここまでやったんだから、個人流出させたらマジで製作者は首チョンパでええやろ
免責は無理 >>79
Type-Fで間違ってないと思うぞ
WikipediaのFeliCaページ読むと規格提案時点ではType-Cだったみたい
あとNFCリーダーはA/B/F全部読み込み対応だからマイナンバーがType-Bなのも現実的に問題はないね 間違えんのは仕方ないにしても、間違えてましたごめんなさいって訂正もせずに消して逃亡とか糞過ぎるだろ 自分の通信内容を見たぜぇ!
ドャァ!からの恥ずかし削除? 流石にこのレベルの失敗するなら存在価値無いしな
とはいえまだどんな罠があるかわからんし人柱まちだな要求される施設いかねないし 脆弱性を見つけたとしてSNSで公開して同調を求めるのがそもそも大きな間違い
自爆ざまあ この人が言いたかったのは
「このアプリは証明書ピンニングしていない」ってことで
お漏らしどうこうじゃないんだよな
分かってない馬鹿が批判してるだけ これは大恥だなw
どうせパヨの捨て垢なんだろうけどw >>98
どなるどだっくのこと?あいつわかってないぞw >>98
擁護するにしてもアクロバティック過ぎるわw
そいつは何の為にそれを伝えたかったんだよ >>98
どういう環境でなら見れるのかは興味ある
だってマイナンバー関係のサイトは全部そういう仕組みだろうし >>103
マイナンバーどころかSSL使う通信は基本的に同じだよ >>98
それを世界に発信して何がしたかったんだ…? >>98
いやスーパーハカーにデータ丸見えになるから野良wi-fi使うなって言ってたじゃん >>107
ディズニーにもキャラクターのイメージを著しく害した件を通報した方がいいな そんなことよりUSB接続のカードリーダー使えるようにしてくれよ デマかよ
デマスレ立てた奴とデマスレで暴れてた奴はなんらかの責任とるの? なんか初期のワクチン煽りと同じ空気感じるんだけど
それで2回打ってどうだった?
君ら学ばないのかな?
もう脳が腐ってるとか? 潰したい奴らがいて必死なんだろうな
マイナンバー関係反対してんのって共産党関係だっけ あの頃は何て言ってたっけな、ああそうそう
武漢説はデマで確定
人工ウィルスは悪質なデマ
コウモリウィルスの変異種が正解
安心安全でGOTOイート
ワクチン副作用はすべてデマ 警察に逮捕されます
じゃなかったっけ?
あれ? ぱよちん臭がするな
エフセキュアとかまだ生きてるのかな 不具合やらが出たのなら直せばいい、こういう失敗も積み重ねないとなにも進歩しない
ここで怯んだらまた「紙」に戻るんだよ >>15
「これっておかしいんじゃね?」と疑問を投げかけること自体は別にいいのでは >「ピンニングをしていないだけでは」との指摘が相次いだ。
>「Google Chromeなどもピンニングしておらず、セキュリティ要件として重要ではない」
そもそもピニング関係ないじゃん 中共工作員の部下がデジタル庁プロジェクトマネージャー
デジタル庁かなりヤバい なんでno chk certの話が変わってるんだ?
本当にやばいから火消ししているのか?
テストで残したオプションの話だろ?
アプデまで時間がかかる糞appleの審査の時間稼ぎなら素直に取り下げればいいのに ああやっぱりそういうことか
ふーん
ま、どっちでもいいけど 事務のおばちゃん「年末調整のマイナンバーの番号間違えてたから直しといてあげたよ」(´・ω・`) >>122
それ勝手に問題を曲解捏造された情報じゃね
そうやって捏造を本当にしようとする奴ら多いからな >>68
自分とこで作ったアプリの仕様も知らないとか馬鹿だろ
お前仕事できなさそう 特定個人情報にしたアホが悪いだけで番号なんかお漏らししたところで何の問題もない >>127
証明書なんだから偽造できないってのがウリなわけでしょ
こんなに簡単にIDとかバレちゃっていいの? 偽計業務妨害じゃないの? 悪質だから逮捕した方がいいよ >>128
うわー昨日の知的障害者かこれwww
何も理解出来てなくて笑える >>118
公開の場ではだめ
今回みたいにデマなら言うまでもないし、仮に本当の脆弱性だったとしたら攻撃に繋がってしまう可能性があるので然るべき機関に報告 知的障害と反ワクこじらせた昨夜の人が
ID真っ赤にして独りでブツブツ >>128
証明書、ID これらを今回の件の 正しい用語で質問し直してみな iPhone7ではパスポートを読みこんでくれないんだけど
たれか助けて おサイフケータイ必要なん???
詰んだわ
2chMate 0.8.10.106/HUAWEI/ELE-L29/10/DR >>131
それって単にヘマを誤魔化したいだけでは? こいつはちゃんと訂正したの?
ツイート消しただけなのはよくないだろ
自分発のデマが独り歩きしてるんだから >>128
IDはバレてもそれを使ってアクセスする際の電子鍵がない限り問題ない
PKIだから普通のパスワードのようにブルートフォースアタックなんかもできないしね >>130
いや、ちゃんと説明しなよ
一般人には分からないような問題とは関係ない専門用語つかって誤魔化してないでさ
この空気、1年前もこんなだったよな
ADEはあり得ないとか、反ワクとか、レッテル貼りしかしないよな
ちゃんと説明しないでwだけ生やしてなんか笑ってるやつ >>139
中間者攻撃だと読み取られると思うが
デジタル庁か厚生省かしらんが、そこと通信してると思い込んで
ハッカー鯖からの公開鍵で暗号化したデータを送信しちゃう訳だし
だから認証局のチェックが甘いからやばくねって話なんで
根本的な解決になってないよそれ >>139
今回JPKIじゃなくて券面事項入力補助AP使ってるみたいよ SNSはノイジーマイノリティとか陰謀論者のスピーカーの側面が強くなり過ぎだよな
そっち系アカウントとつながり無くても目に入ってくるし >>141
そりゃ偽証明書を自らインストールしてOSからの警告も無視して接続ってデバッグ環境みたいなの作れば出来るけどね
それは今時のssl使うほぼ全てのプログラムに当てはまるけどね コロナでトイレットペーパー無くなる並みのデマだったな ところでこれどんな場面で要求されるんだ?風俗で見せろとか言われるのか?割引とかあるのか? >>144
今は海外ローミングで一端東南アジアを経由するSIMもあるんだぜ
認識甘すぎだろ
まぁ、キャリア通信か有名どころだけ使ってりゃ問題は出にくいだろうけどな
怪しいアプリ入れてるとひそかに串なんか挟まれたりしてヤバそうだけどな
ま、自己責任か >>133
お前にこの問題を理解させるのはダンゴムシに芸を覚えさせるより難しそうだな バカウヨと業者にボコボコにされて怖くなって消しちゃったんだろうけど河合ソース
なんかこんなんばっかりだな
この業界までパワー系のアホだらけかよ
安倍いい加減にしろよなー 結局よく分からんけど、要はこのアプリは使っても大丈夫って事でいいの? >>141
SSLの話なのかマイナンバーカードのJPKIの話なのか分けて考えないと
IDが漏れると言うから俺はマイナンバーカードの話をしているんだけどね。 >>142
ということは運転免許証の写真撮って画像添付するのと同じレベルのチェックってことか わたし、言いましたよね
この辺の事は大抵マスターしてるが
と またデマというデマか
コロナ後からひどいなホント
何が本当だか専門家以外わかんねーだろ
今の世の中 >>159
大抵マスターしてる奴でもこんなレベルなら仕方ないな これ、マイナンバー通知カードあればいけるよな?
マイナンバーカード要る? >>162
早くマイナンバーカードの中のデータ全部抜き出して見せてくれよ
偽証明書無理やりインストールせずにTLS突破して見せてよ >>163
マイナンバーカードとpinコード知らないと発行出来ないって事でなりすましとか不正を防いでいるだろ
カードないなら自治体が対応してれば窓口か郵送で発行すればいいだけ >>165
そうなのか…
通知カードと接種控えで行けると思ってたわ
面倒だな 知的障害で反ワクのパソコンの大先生がまた連投でアホ晒してるのかw >>164
論点逸らしと罵倒しかしてこないから
その基地外には触らないほうがいいよ
まともに会話もできないくらいのアレだから >>137
小西洋之とかいう木っ端役人恫喝しまくって自殺に追い込んだ議員が一般人告訴しようとしてたしありじゃね? ■ このスレッドは過去ログ倉庫に格納されています