[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:231] Re: [upki-fed:228] Re: [upki-fed:206] Re: UPKIフェデレーションの属性追加について



岡部@京大です。

ログインシールは「10人に1人」を「15人に1人」くらいに減らす効果はあ
るかもしれませんが、所詮は気休め程度のものです。ログインシールが間違って
いればおかしいと気づきますが、正しいからといって安心できるようなものでは
ありません。手口をあからさまに書くのはどうかと思いますが一MIM攻撃に対し
ての耐性はありません。

またそもそもID/パスワードで学外からIdPへのログイン認証を許していると、イ
ンターネットカフェからアクセスしてキーロガーに持っていかれるようなケース
が必ずでてきます。

幸いにして学認でそのようなインシデントが起きたというような話は聞いていま
せんが、世の中年々危険な方向に動いていますし、大学のインフラとしてのシス
テムは一度導入したら10年とかの長期間使われるのが常ですので、現時点です
でに危うさが見えていることについてはあとからでも対策できるよう今のうちに
検討をしておくべきでしょう。


>> 偽IdPに誘導されたら、SSLでないとかよく見ればURLが怪しいとかよく見れば気
>> づくはずですが、少なく見積もっても10人に1人くらいは、悩まず素直にIDと
>> パスワードを打ち込んでしますと思います。
> 
> 偽 IdP 対策としては,PKIに行く前にログインシールを使うという方法もありそうです.
> 
> https://protect.login.yahoo.co.jp/
> 
> Shibboleth って実装しないんですかね?


%%%

本題に戻って学生証番号のようなものを属性として扱う場合の属性名やフォー
マットを学認統一で決めてよいかですが、各大学独自にしたところでリスクの軽
減は微々たるものですし、よそと同じ設定をすることができず手作業の際にミス
が入るようなリスク増も考慮すると、セキュリティ的には同レベルでしょう。あ
とは、たとえばいろんな大学の業務を請け負うアウトソース型のSPが現れたとき
にその運用コストのことを考えると、完全な共通仕様とまではいかなくても雛形
くらいは決めておいたほうがいいと思います。
-- 
Yasuo Okabe
Kyoto University
http://www.net.ist.i.kyoto-u.ac.jp