telnetプロトコルで電子公告する法人現る 67
ストーリー by nagazou
発見 部門より
発見 部門より
一般社団法人サイバー技術・インターネット自由研究会が電子公告を「Telnet」で行っている珍しい事例が話題となっている。日本の企業は、株主総会の通知、業績報告、重要な会社情報などを電子公告を通じて株主や投資家に提供する。こうした電子公告は通常、HTTP/HTTPSを使用してウェブサイトで行われるが、この団体は「telnet://」を用いたという(Hirotaka Nakajima氏のポスト、登 大遊氏のポスト、窓の杜)。これをおこなったHirotaka Nakajima氏曰く、
最近法人を設立したのですが、電子公告のURLってschemaはhttp/httpsに限定されていないことがわかりました!なんとtelnet://でもいける!!
ということでtelnetで公開したとのこと。公告アドレスに関しても公開されている。なお話題になった後、「セキュリティを謳っているくせに平文通信じゃん」というクレームがついたらしく、その後に「TELNET over SSL」版が公開されたそうだ。Windows 11環境で「TELNET over SSL」版の電子公告を閲覧するには、OpenSSLが必要としている(登 大遊氏のポスト、窓の杜)。
他のスキーマはどうなんだろう (スコア:1)
ftpとか
Re:他のスキーマはどうなんだろう (スコア:1)
先に書かれたんでここにぶら下げますが、
セキュアなスキーマは https: ぐらいしかなさそうですが、
平文通信なスキーマでも、ftp:、pop:、imap: あたりなら、STARTTLSでセキュアなコネクションが張れますね。
Re:他のスキーマはどうなんだろう (スコア:1)
Re:他のスキーマはどうなんだろう (スコア:2)
telnets: とか ftps: ってスキーマは登録されてないと思う
…と思うけど、うろ覚えで確証がないので念のため確認 [wikipedia.org]したら
telnets: や ftps: はないけど、sftp: は登録されてた。
あと、ssh: もあったから、これが一番無難な気がする。
Re: (スコア:0)
https と違って sftp や ssh は URI だけで完結せず、ホスト鍵を別途知っていないとインセキュアなのでは?
Re: (スコア:0)
httpsも証明書ストアが別途必要ですよ? 通常ブラウザーやOSに内蔵されているから意識しないだけで
Re: (スコア:0)
ssh/sftp も https 等と同様に、 公的な証明機関が発行した証明書を利用して証明書認証ができます [conoha.jp] 。
Re: (スコア:0)
そのページで解説している方式ってOpenSSH独自のでしょ。それに対応している公的な証明機関ってある?自前の認証局(オレオレ)での運用でやるしかないと思っているのだけど。
Re: (スコア:0)
ssh: もあったから、これが一番無難な気がする。
クライアント側からするとover sshなポート転送しちゃえばそこを通す暗号化はsshで済みますからねぇ
とはいえ近年だと
暗号化済 over ssh暗号化ってのが無駄リソースになるから大規模サーバー側としては塵積で受けたくないかも
Re: (スコア:0)
TELNET over SSLがtelnets:のことだよ
Re: (スコア:0)
DNSもいけるんちゃう?よくは知らんが今は署名システムもかなり整備されているそうだし。
Re:他のスキーマはどうなんだろう (スコア:1)
Gopher とか? その前はあるのかな。忘れてしまった。
Re:他のスキーマはどうなんだろう (スコア:3)
Re:他のスキーマはどうなんだろう (スコア:1)
あ、それです!
ありがとうございます。
撒いてるチラシみたいな広告なら (スコア:0)
セキュリティ要らないよね?
それにしてもtelnetとは懐かしい
いまはふつーsshだもんな
Re: (スコア:0)
暗号化は不要ですが電子署名は必要でしょう。
どちらも無いTelnet (ssl無し)だと中間者攻撃し放題で内容を容易に改ざんできてしまいます。
Re:撒いてるチラシみたいな広告なら (スコア:2)
最後に
----- BEGIN SIGNATURE -----
(署名)
----- END SIGNATURE -----
----- BEGIN CERTIFICATE-----
(証明書)
----- END CERTIFICATE-----
ってくっつけとけば平文でも大丈夫
Re: (スコア:0)
署名と証明書の両方を置き換えられるから意味ないでしょうが。
TLSは単なる暗号化じゃないとあれほど言っているのに。
Re:撒いてるチラシみたいな広告なら (スコア:1)
証明書置き換えたら偽物になる(CN とか issuer が違う)からわかるでしょ。
Re: (スコア:0)
信頼できる第三者の認証がない証明書のCNとかissuerなんていくらでもでっちあげ可能だが?
Re:撒いてるチラシみたいな広告なら (スコア:1)
ちゃんとルートまで辿れる前提にきまってる。
そもそも、
> 信頼できる第三者の認証がない証明書のCNとかissuerなんていくらでもでっちあげ可能だが?
そんなこと言い出したらHTTPS(TLS)でも同じでしょ。
Re: (スコア:0)
書き換えられるのが問題なのです
Re: (スコア:0)
接続確認とかでけっこう telnet 使います
telnet srad.jp 80 とか
まあ telnet である必要はなんですが手元にあるからつい使っちゃうんだけど
最近のディストリだと入ってないから環境によってはない場合もあって困ってしまいました
Re: (スコア:0)
あるシステム構築作業に携わったどこぞ大手顧客のネットワーク(業務系だったか管理系だったか忘れた)は、
リモートアクセスプロトコルについてsshが禁止でtelnetだけだった。
# 15年くらい前のこと
Re: (スコア:0)
×広告
〇公告
TELNETは (スコア:0)
SSLのままでいいの?
HTTPみたいにTLS?にしなくていいの?
Re: (スコア:0)
現在SSLと言ったら実際にはTLSのことを指していることがほとんど
Re: (スコア:0)
件のkoukoku.shadan.open.ad.jpについてはTLSのみ(TLS 1.0以上)な様子。
ちょっと古い環境を引っ張り出してopenssl s_client -connect koukoku.shadan.open.ad.jp:992 -no_tls1_3 -no_tls1_2 -no_tls1_1 -no_tls1ってやったら繋がらなかったので。
珍しい (スコア:0)
そりゃ珍しいとは思うが、Twitter見ると盛り上がり過ぎな気がする。
皆が理解しやすいちょうどいいレベルの話だから受けたのか?
それかタイムラインが自分向けになってるだけで別に大して盛り上がってないのか。
Re: (スコア:0)
Xって、そういう客層じゃないの?
Re: (スコア:0)
難しくないからこそtelnetにしたって話なんだけど。せめて公告を読んでからコメントしてはいかが?
Re: (スコア:0)
登大遊効果だと思う
Re: (スコア:0)
PRの成功事例として要因分析すると面白いかもよ。
「平文通信じゃん」のようなかまってちゃん的反応を上手に利用して話題性を上乗せする手法も参考になるかもしれない。
Re: (スコア:0)
Twitter側で発言して水を差すのは嫌だからこっちで吐いた。
スラドなら言ってもいいだろうという感覚がある。
Re: (スコア:0)
元コメントの内容は必ずしも支持しないが、その感覚については支持する。
Re: (スコア:0)
全肯定しか受け入れないほうがダサくね?
反対意見も含めて、いろいろな人の考え方を知って、多角的な視野を手に入れたほうが得だぞ。
Re: (スコア:0)
誰も全肯定しろとは言ってない。
常に否定から入るいっちょかみがうざいってだけですよ。
Re: (スコア:0)
誰ともわからないのに、常にってどういうこと?
見えない敵と戦っていませんか?
的を射てないコメ (スコア:0)
公告と広告を勘違いしている人多そう
Re: (スコア:0)
いずくんぞ燕雀の志を知らんや
Re: (スコア:0)
公告と広告を勘違いしている人多そう
つまり正鵠も得ていないと
Re: (スコア:0)
つまり正鵠も得ていないと
そんなもん持ってると射られちゃうよ。
中間者攻撃 (スコア:0)
ISPから先、ターゲットサーバーより手前での中間者攻撃って言われてるほどあるんか?
皆目聞いたことがないんだけど知らないだけかな
Re:中間者攻撃 (スコア:2, 参考になる)
あなたが知らないだけですね。
https://eng-blog.iij.ad.jp/archives/17668 [iij.ad.jp]
中間者攻撃に成功しただけにとどまらず、正規のサーバ証明書が発行されてしまってクライアントから検知不能だった事例もあります。
Re: (スコア:0)
ただ、この時点では実際に誤発行のあった事例は認識しておらず、そのときは「実際の事例はまだないけどいつ起きてもおかしくないから気をつけてね」ぐらいのつもりでした。しかし、その2ヶ月後に事例2のインシデントが発生
なるほどね
証明書の誤発行かあ 確かにやっべえな
Re: (スコア:0)
DNS偽装ではなく、経路ハイジャック(IP偽装)なのですね。
Re:中間者攻撃 (スコア:1)
中継型フィッシング攻撃はすごい流行っているぽいので、これをMITMに含めれば最近の事例も結構あるんじゃない。
近所の看板には、 (スコア:0)
「ご予約は Tel ネットでお申し込み下さい」という文言が。
川崎です。
最後のフロンティアとは何ですか? (スコア:0)
デートの後は、イモジーン・コカベリーを食べたいです。 ロブスターが欲しいですか? へー、イモジーン・コカベリーだと思うよ!
Re: (スコア:0)
「宇宙、それは最後のフロンティア」