  |
https://b.hatena.ne.jp/entry/s/internet.watch.impress.co.jp/docs/column/horisage_qa/2035773.html
解説::HTTPSなら暗号化されてる?うんうん。でも、だれがどこにアクセスしたかはバレバレなのよ?IPアドレス暗号化してるとか思ってないよね。
エッチなサイト(うふふ)とか証券サイトみてると、フィッシングサイト狙い撃ちしやすいから気を付けようね。
起きること::セッションCookie盗まれたり、偽サイトから攻撃サイトに誘導されて釣られる。
解説::DNSでサイト乗っ取手もHTTPSの証明書エラーで気付く。うんうん。でも、HTTPSをHTTPにダウングレードされたら、あなたのCookie丸見えよ?Scureで大丈夫?サーバーのバグでアウトね。
うんうん。Cookieがダメでも、偽のHTTPサイトでリダイレクト誘導して、攻撃サイトに移動すればセキュアで保護されるので、このフローに警告なんて一切出ないね。
"こちらです"安易に踏んでない?ログインの時にドメインが完全にあってるなんて毎回検証してる?
SSL Strip攻撃といいます。AI曰く、まだまだガバガバみたいよ?
その中でHSTS導入済み: 約31%
HTTPS導入済みかつHSTS未導入: 約54-57%
httpsだからって安全じゃないと述べておきながら うっかりhttpになった時危険だからとするのは草 それはhttpsが悪いわけじゃないだろ
じゃあNTT, au , softbankの通信網を信じていいのかの検証をしたかっつーと、それも別にしてない 基地局を偽装するってニュースも最近あったけど
そんな簡単に攻撃できるとは思えないなあ フリーWifiって攻撃者側が物理的に近くに行く必要があるし、攻撃するのは現実的に難しそう
😎「お前も100%で戦うには値しない」 😎「このまま決着をつけてやろう、80%のままでな」
12