k kz5835

2023/05/06 00:51

arashi1977様 ご回答、有難うございます。 すみませんが、可能であれば、もう少し教えて下さい。 HTTPSの場合、TCPの上でTLSセッションを使用しているので そのTLSセッション上のデータとして、攻撃者が別のデータを挿入する ことはできないかと思います。 （挿入しても、受信側で正常にデコードされる可能性がないため） TLSセッション（HTTPS)を前提とした場合、丸々再利用（リプレイ） してうまく攻撃があたる可能性がないので、タイムスタンプを付加しても しなくても、安全性は変化していないと思ったのですが、この点に ついては、どの様に思われますでしょうか。 たびたびすみませんが、ご存じであれば、教えて下さい。

a arashi1977

2023/05/06 09:10

> タイムスタンプを付加しても しなくても、安全性は変化していないと思ったのですが、この点に > ついては、どの様に思われますでしょうか。 ここはその前で言及したように > ※セキュリティって「必要あるかどうか」じゃなくて「そもそも仕組みとして利用する」ものなんですよね。IPsec使ってるからSSHじゃなくてtelnetでいい、みたいな話にはならないかなと。 って思ってます。 「世の中完全自動運転になったんだから、変な運転する奴も信号無視する奴もいないわけだし、シートベルトなんてあってもなくても同じだよね。なので無くしていいんじゃないかな」って言う話に対して「なくてもいいかもしれないけど、安全性向上のために存在している装備をなくすのは話が違うのでは（積極的に無くす、使わない理由があるの？）」ってことです。 セキュリティは「しなくていいんじゃない？」ではなくて「攻撃のポイントを排除していく」必要があるものなので、積極的な理由（すでに解読方法が確立してるとか）がないのであれば、利便性とバランスをとりつつ利用すべきと言う考え方が望ましいかと思います。

k kz5835

2023/05/06 16:41

arashi1977様 ご回答、有難うございます。おかげさまで、理解できました。有難うございました。