SlideShare uma empresa Scribd logo

Ticket To The Dark World

Takahiro Yoshimura
Takahiro Yoshimura

Quick evaluation on the current status of fingerprinting resistance between vanilla Mozilla Firefox and the Tor Browser (OWASP Saitama MTG #12, talk #1)

Tecnologia
1 de 44
Baixar para ler offline
TICKET TO THE DARK WORLD OWASP SAITAMA MTG #12, TALK #1
TEXT SESSION FLAGS ▸ 録画・録音・公開: OK Image by Nico Kaiser on flickr, CC-BY 2.0
TEXT WHO I AM ▸ Takahiro Yoshimura (@alterakey) https://keybase.io/alterakey ▸ Monolith Works Inc. Co-founder, CTO Security researcher ▸ 明治大学サイバーセキュリティ研究所 客員研究員
TEXT WHAT I DO ▸ Security research and development ▸ iOS/Android Apps →Financial, Games, IoT related, etc. (>200) →trueseeing: Non-decompiling Android Application Vulnerability Scanner [2017] ▸ Windows/Mac/Web/HTML5 Apps →POS, RAD tools etc. ▸ Network/Web penetration testing →PCI-DSS etc. ▸ Search engine reconnaissance (aka. Google Hacking) ▸ Whitebox testing ▸ Forensic analysis
TEXT WHAT I DO ▸ CTF ▸ Enemy10, Sutegoma2 ▸ METI CTFCJ 2012 Qual.: Won ▸ METI CTFCJ 2012: 3rd ▸ DEF CON 21 CTF: 6th ▸ DEF CON 22 OpenCTF: 4th ▸ 発表・講演など DEF CON 25 Demo Labs (2017) DEF CON 27 AI Village (2019) CODE BLUE (2017, 2019) CYDEF (2020) etc. Image by Wiyre Media on flickr, CC-BY 2.0
TEXT BACKGROUND ▸ Tor -- The Onion Router →ダークウェブの一種 (匿名性の高いWeb空間) ▸ 特性 ▸ 接続先ごとに経路を変える ▸ 概ね10分ごとに経路を再構築 ▸ bridgeも使用可能 ▸ 接続はtorproxy (SOCKS5) Image by The Tor Project, CC BY 3.0 US
TEXT BACKGROUND ▸ Tor Browser ▸ Firefox ESRとtorproxyのバンドル ▸ bridgeなども直接使用可能 ▸ 今使っている経路は常に確認可能 ▸ 再構築可能 ▸ 事実上専用のブラウザ
TEXT BACKGROUND ▸ 普通の fi refoxでも繋げるのでは? ▸ もちろん繋がるしかも速い ▸ 経路は確認できないがSIGHUPで再構築可
TEXT BACKGROUND ▸ 公式のTor Browser ▸ Firefoxに比較して安全性を強化している ▸ 安全性とは? ▸ 今においても使う意味があるのか?
TEXT TAILORED TO THE DARK WEB? ▸ 公式のTor Browser ▸ TrackingとSurveillanceを念頭に置いている ▸ Block Trackers ▸ Defend Against Surveillance ▸ Resist Fingerprinting ▸ Multi-layered Encryption
TEXT PILLARS OF PRIVACY ▸ 2本の大筋 [1] https://2019.www.torproject.org/projects/ torbrowser/design/ ▸ Cross-Origin Identi fi er Unlinkability ▸ 識別子を持ち回れないように ▸ Cross-Origin Fingerprinting Unlinkability ▸ 自己同一性を持ち回れないように
TEXT PILLARS OF PRIVACY ▸ fi ngerprintされると… ▸ 行動が特定される可能性 ▸ 物理的場所が特定される可能性 (e.g. 機器の流通経路などから) ▸ プライバシーにとっては脅威 Image by Andrew Gustar on flickr, CC-BY-ND 2.0
TEXT CROSS-ORIGIN IDENTITFIER UNLINKABILITY ▸ First-party Isolation privacy. fi rstparty.isolate = true ▸ Cookie/Storage/Cache entryなどにも Origin (→1p) でスコープ化、環境ごと分離する ▸ 既にSOP規定があるものについてもスコープ化 →double keying Image by gufm on flickr, CC-BY-NC-ND 2.0
TEXT CROSS-ORIGIN IDENTITFIER UNLINKABILITY ▸ ... Cookie, Cache, Storage, Authorization, TLS session ID, Shared Workers, HTTP/2※, redirectの強制, window.name, auto fi ll, HSTS/ HPKP, broadcast, OCSP, favicon, media source, prefetch, permissions API ※HTTP/2は今のビルドでは効いている Image by gufm on flickr, CC-BY-NC-ND 2.0
TEXT CROSS-ORIGIN IDENTITFIER UNLINKABILITY ▸ 問題点: social loginなどができない →対処を提供しているが、ダメなものもある privacy. fi rstparty.restrict_opener_access, privacy. fi rstparty.block_post_message etc. ▸ 実質的にtorでは使われない Image by jason wilson on flickr, CC-BY-SA 2.0
TEXT CROSS-ORIGIN FINGERPRINTING UNLINKABILITY ▸ Resist Fingerprinting privacy.resistFingerprinting = true ▸ 同質化することでFingerprintingへ抵抗する ▸ 以下制約: canvasデータ精度, timer精度, performance API, 描 画領域 (letterboxing)※, gamepad API, TZ0, ネット ワーク情報, センサ類, Geolocation API etc. ▸ ※ウィンドウも正方形になる (スクリーンサイズの保護) Image by Tricia on flickr, CC-BY 2.0
TEXT CROSS-ORIGIN FINGERPRINTING UNLINKABILITY ▸ randomizeではダメなのか? →弊害: 互換性の破壊・攻撃可能性の助長 etc. Image by Tricia on flickr, CC-BY 2.0
TEXT UPLIFTING ▸ 前はTor Browserが独自に実装していたが… パッチ管理が面倒になってupstreamへ ▸ Project Tor Uplift [M1/M2/M3] →Firefox 52..59でほぼマージされた (Tom Ritter et al.)
TEXT UPLIFTED! ▸ First Party Isolation (>=52) privacy. fi rstparty.isolate = true →Enhanced Tracking Protection Strict Mode (>=86) … 設定値は残っているので若干疑問。 → https://developer.mozilla.org/en-US/docs/ Web/Privacy/State_Partitioning ▸ Resist Fingerprinting (>=59) privacy.resistFingerprinting = true →ウィンドウは正方形になるがletterboxingは… → https://wiki.mozilla.org/Security/ Fingerprinting Image by Frans on flickr, CC-BY-NC-ND 2.0
TEXT UPLIFTED! .. WITH OTHER SETUP ▸ 他の設定… ▸ Permanent Private Browsing ▸ Extension: NoScript, uBlock Origin, Decentraleyes ▸ 以下設定: - Home: Blank - Search engine: DuckDuckGo - 有効化: HTTPS Only Mode(全域) - 無効化: Search suggestions, Safe browsing, OCSP query, Firefox Data Collection and Use系, Spellcheck, DRM, auto updates, extensions/feature recommendation, breached passwords reminder Image by Frans on flickr, CC-BY-NC-ND 2.0
TEXT READY TO ENTER THE DARK WORLD? ▸ これでtorと同等の保護が提供されているのか? Image by Antonino SCIMECA on flickr, CC-BY 2.0
TEXT READY TO ENTER THE DARK WORLD? ▸ tor browserは fi ngerprintに強いのか? ▸ 現代のFPI+RFPと比べてどうか? ▸ ad-blockerなどはいらないのか? (入れるなとも言っている) ▸ 検証しましょう Image by Tim Cummins on flickr, CC-BY-NC-ND 2.0
TEXT TEST (NON-JS) ▸ Am I Unique? amiunique.org ▸ fi ngerprintと合致するデータ数を出力する →定性的には多い方が良い →torと比較しているので同数がゴール
TEXT FINDINGS (NON-JS) ▸ Tor Browser ▸ No (~7200)
TEXT FINDINGS (NON-JS) ▸ Firefox 111.0b6 + FPI + RFP ▸ Almost (~6) ▸ User-Agent ▸ DNT: 1
TEXT FINDINGS (NON-JS) - PATCH ▸ Firefox 111.0b6 + FPI + RFP ▸ Almost (~6) ▸ User-Agent →extension: Custom User-Agent String (Mozilla/5.0 (Windows NT 10.0; rv:102.0) Gecko/20100101 Firefox/102.0) ▸ DNT: 1 →extension: Modify Header Value (DNTを削除)
TEXT FINDINGS (NON-JS) - PATCHED? ▸ Firefox 111.0b8 + FPI + RFP + Header Tweaks ▸ No (~7200) : tor browserと同等…?
TEXT FINDINGS (NON-JS) - PATCH, II ▸ telemetry!!! ▸ 以下を "data:;" に ▸ browser.newtabpage.activity- stream.telemetry.structuredIngestion.endpoi nt ▸ toolkit.telemetry.server
TEXT FINDINGS (NON-JS) - PATCHED ▸ Firefox 111.0b8 + FPI + RFP + Header Tweaks ▸ No (~7200) : tor browserと同等 →非JS環境では多分問題ない
TEXT TESTING (JS) ▸ Am I Unique? amiunique.org ▸ TorZillaPrint https://arkenfox.github.io/TZP/index.html (Gecko系に特化した fi ngerprinting)
TEXT FINDINGS (JS) ▸ Tor Browser ▸ amiunique: Yes!!! ▸ Canvas Extractionをブロックしたノイズ →予定調和; ランダムなので特に問題なし ▸ その他は… useragent (JS): プラットフォーム(!) フォント数, navigatorプロパティ数, screenWidth, screenHeight etc.
TEXT FINDINGS (JS) ▸ Firefox 111.0b8 + FPI + RFP + Header Tweaks ▸ amiunique: Yes!!! ▸ Canvas Extractionをブロックしたノイズ ▸ useragent (JS): 違う値(!) フォント数: 実際の値(!) screenWidth: 実際の値(!) screenHeight: 実際の値(!) navigatorプロパティ数: CredentialManager類 permission: WebMIDIなどの存在 media-devices: ハードウェア構成(!) WebGL系: そこそこのハードウェア構成(!※) etc.
TEXT FINDINGS (JS) - PATCH ▸ screenWidth/screenHeight privacy.resistFingerprinting.letterboxing = true ※追加の必要あり ▸ WebGL系 (出てくる場合) webgl.disabled = true webgl.enable-webgl2 = false
TEXT FINDINGS (JS) - PATCHED ▸ Firefox 111.0b8 + FPI + RFP + Header Tweaks ▸ amiunique: Yes!!! ▸ Canvas Extractionをブロックしたノイズ ▸ useragent (JS): 違う値(!) フォント数: 実際の値(!) navigatorプロパティ数: CredentialMan.類 permission: WebMIDIなどの存在 media-devices: ハードウェア構成(!)
TEXT FINDINGS (JS) - PATCHED ▸ Firefox 111.0b8 + FPI + RFP + Header Tweaks ▸ amiunique: Yes (防御しきれない) →JS環境で使用するのは推奨しない
TEXT FINDINGS (JS, 2) ▸ Tor Browser ▸ TZP: Gecko, Firefox 102, build switch (?)
TEXT FINDINGS (JS, 2) ▸ Firefox 111.0b6 + FPI + RFP + Header Tweaks ▸ TZP: Gecko, Firefox 111 (!), build switch (!)
TEXT FINDINGS (JS, MISC) ▸ Letterboxing bypass: #1450401 et al. ▸ 全画面モードでスクリーンサイズが取れる (NB: Tor Browserにも有効!) https://bugzilla.mozilla.org/ show_bug.cgi?id=1450401
TEXT TAKEAWAYS ▸ 現状のFirefoxでもFPI + RFPである程度気をつけ て組めば非JS環境においては多分問題ない ▸ JS環境では通用しない; Tor Browserが必須 ※uBlock Originなどは多分あったほうが良い; わざわざ踏まなくても良いものは回避したい ▸ JSには注意 SafestモードやNoScript有効が基本 Image by jakes_brick_hoard on flickr, CC-BY-NC-ND 2.0
TEXT TAKEAWAYS ▸ 多分このくらいは分かる CPU arch(ARM/x86/x86_64?), Platform (Mac/Linux/Windows), Base build, 手製だと build switchからCPUの世代 etc. ※Gentooerは 特に注意 ▸ +スクリーンサイズで機種特定の可能性上昇 → 全画面モードには重ねて注意 ▸ amiunique: RFP影響下ではuniqueは普通 Image by jakes_brick_hoard on flickr, CC-BY-NC-ND 2.0
ONE MORE THING.. Image by Chris Pirillo on flickr, CC-BY-NC-ND 2.0
TEXT GUARD NODE? ▸ Guard nodeは安全なのか? →安全ではないと思う ▸ なぜなら: ▸ public relay listから速度と安定性を元に選定 運用はコミュニティの自浄作用( 相互監視/密告) ▸ relayには誰もが登録できる; 審査などは特にない →人海戦術が有効!※たまにある ▸ 自前あるいは信頼できるbridgeによる自衛が必要
STAY SAFE! Image by KaCey97078 on flickr, CC-BY-NC 2.0
FIN. 28.2.2023 TAKAHIRO YOSHIMURA (@ALTERAKEY) Image by Andrew on flickr, CC-BY-NC-ND 2.0

Recomendados

Wartime Pigeons
Wartime PigeonsWartime Pigeons
Wartime PigeonsTakahiro Yoshimura
 
Securing Supply Chains
Securing Supply ChainsSecuring Supply Chains
Securing Supply ChainsTakahiro Yoshimura
 
Looking Back: CIS on Managed K8S
Looking Back: CIS on Managed K8SLooking Back: CIS on Managed K8S
Looking Back: CIS on Managed K8STakahiro Yoshimura
 
Fill In The Blank
Fill In The BlankFill In The Blank
Fill In The BlankTakahiro Yoshimura
 
Hazy Datagrams
Hazy DatagramsHazy Datagrams
Hazy DatagramsTakahiro Yoshimura
 
Looking back 2022
Looking back 2022Looking back 2022
Looking back 2022Takahiro Yoshimura
 
Beijing Report 2022
Beijing Report 2022Beijing Report 2022
Beijing Report 2022Takahiro Yoshimura
 
Outsmarting Smartphone Apps 2
Outsmarting Smartphone Apps 2Outsmarting Smartphone Apps 2
Outsmarting Smartphone Apps 2Takahiro Yoshimura
 

Recomendados

Wartime Pigeons
Wartime PigeonsWartime Pigeons
Wartime PigeonsTakahiro Yoshimura
 
Securing Supply Chains
Securing Supply ChainsSecuring Supply Chains
Securing Supply ChainsTakahiro Yoshimura
 
Looking Back: CIS on Managed K8S
Looking Back: CIS on Managed K8SLooking Back: CIS on Managed K8S
Looking Back: CIS on Managed K8STakahiro Yoshimura
 
Fill In The Blank
Fill In The BlankFill In The Blank
Fill In The BlankTakahiro Yoshimura
 
Hazy Datagrams
Hazy DatagramsHazy Datagrams
Hazy DatagramsTakahiro Yoshimura
 
Looking back 2022
Looking back 2022Looking back 2022
Looking back 2022Takahiro Yoshimura
 
Beijing Report 2022
Beijing Report 2022Beijing Report 2022
Beijing Report 2022Takahiro Yoshimura
 
Outsmarting Smartphone Apps 2
Outsmarting Smartphone Apps 2Outsmarting Smartphone Apps 2
Outsmarting Smartphone Apps 2Takahiro Yoshimura
 
Outsmarting Smartphone Apps 2
Outsmarting Smartphone Apps 2Outsmarting Smartphone Apps 2
Outsmarting Smartphone Apps 2Takahiro Yoshimura
 
FINAL FANTASY Record Keeperを支えたGolang
FINAL FANTASY Record Keeperを支えたGolangFINAL FANTASY Record Keeperを支えたGolang
FINAL FANTASY Record Keeperを支えたGolangYoshiki Shibukawa
 
Outsmarting Smartphone Apps
Outsmarting Smartphone AppsOutsmarting Smartphone Apps
Outsmarting Smartphone AppsTakahiro Yoshimura
 
Looking Back 2023
Looking Back 2023Looking Back 2023
Looking Back 2023Takahiro Yoshimura
 
分散バージョン管理システムって何なん 20101218
分散バージョン管理システムって何なん 20101218分散バージョン管理システムって何なん 20101218
分散バージョン管理システムって何なん 20101218Takashi Okamoto
 
Gruntでjava script前作業の自動化!
Gruntでjava script前作業の自動化!Gruntでjava script前作業の自動化!
Gruntでjava script前作業の自動化!Tanaka Yuichi
 
[CB17] Trueseeing: Effective Dataflow Analysis over Dalvik Opcodes
[CB17] Trueseeing: Effective Dataflow Analysis over Dalvik Opcodes [CB17] Trueseeing: Effective Dataflow Analysis over Dalvik Opcodes
[CB17] Trueseeing: Effective Dataflow Analysis over Dalvik Opcodes CODE BLUE
 
C++でNVMeと(*´Д`)ハァハァ 戯れていたら一年経ってた。
C++でNVMeと(*´Д`)ハァハァ 戯れていたら一年経ってた。C++でNVMeと(*´Д`)ハァハァ 戯れていたら一年経ってた。
C++でNVMeと(*´Д`)ハァハァ 戯れていたら一年経ってた。hiyohiyo
 
DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)
DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)
DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)Toshiharu Sugiyama
 
RustでWebブロック崩し作ってみた
RustでWebブロック崩し作ってみたRustでWebブロック崩し作ってみた
RustでWebブロック崩し作ってみた虎の穴 開発室
 
Drawing Dataflow On Dalvik Bytecodes
Drawing Dataflow On Dalvik Bytecodes Drawing Dataflow On Dalvik Bytecodes
Drawing Dataflow On Dalvik Bytecodes Takahiro Yoshimura
 
ディープラーニングの社会実装の鍵となるエッジコンピューティング
ディープラーニングの社会実装の鍵となるエッジコンピューティングディープラーニングの社会実装の鍵となるエッジコンピューティング
ディープラーニングの社会実装の鍵となるエッジコンピューティングDeep Learning Lab(ディープラーニング・ラボ)
 
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールOSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールIsao Takaesu
 
Prolabo
ProlaboProlabo
ProlaboTatsuya Yagi
 
Asynchronicity
AsynchronicityAsynchronicity
AsynchronicityTakahiro Yoshimura
 
Trueseeing: Effective Dataflow Analysis over Dalvik Opcodes
Trueseeing: Effective Dataflow Analysis over Dalvik OpcodesTrueseeing: Effective Dataflow Analysis over Dalvik Opcodes
Trueseeing: Effective Dataflow Analysis over Dalvik OpcodesTakahiro Yoshimura
 
10 (about make 10 with 4 numbers challenge)
10 (about make 10 with 4 numbers challenge)10 (about make 10 with 4 numbers challenge)
10 (about make 10 with 4 numbers challenge)Takahiro Yoshimura
 
Go goes Mobile: Quick Exploration on Go 1.5 and Gomobile
Go goes Mobile: Quick Exploration on Go 1.5 and GomobileGo goes Mobile: Quick Exploration on Go 1.5 and Gomobile
Go goes Mobile: Quick Exploration on Go 1.5 and GomobileTakahiro Yoshimura
 
Android Wear: Good Parts
Android Wear: Good PartsAndroid Wear: Good Parts
Android Wear: Good PartsTakahiro Yoshimura
 
DEFCON21×S2 REPORT
DEFCON21×S2 REPORTDEFCON21×S2 REPORT
DEFCON21×S2 REPORTTakahiro Yoshimura
 
伝授の巻について #スクエアフリーセミナー #yochiand
伝授の巻について #スクエアフリーセミナー #yochiand伝授の巻について #スクエアフリーセミナー #yochiand
伝授の巻について #スクエアフリーセミナー #yochiandTakahiro Yoshimura
 
GroovyなAndroidテスト #atest_hack
GroovyなAndroidテスト #atest_hackGroovyなAndroidテスト #atest_hack
GroovyなAndroidテスト #atest_hackTakahiro Yoshimura
 

Mais conteúdo relacionado

Semelhante a Ticket To The Dark World

FINAL FANTASY Record Keeperを支えたGolang
FINAL FANTASY Record Keeperを支えたGolangFINAL FANTASY Record Keeperを支えたGolang
FINAL FANTASY Record Keeperを支えたGolangYoshiki Shibukawa
 
分散バージョン管理システムって何なん 20101218
分散バージョン管理システムって何なん 20101218分散バージョン管理システムって何なん 20101218
分散バージョン管理システムって何なん 20101218Takashi Okamoto
 
Gruntでjava script前作業の自動化!
Gruntでjava script前作業の自動化!Gruntでjava script前作業の自動化!
Gruntでjava script前作業の自動化!Tanaka Yuichi
 
[CB17] Trueseeing: Effective Dataflow Analysis over Dalvik Opcodes
[CB17] Trueseeing: Effective Dataflow Analysis over Dalvik Opcodes [CB17] Trueseeing: Effective Dataflow Analysis over Dalvik Opcodes
[CB17] Trueseeing: Effective Dataflow Analysis over Dalvik Opcodes CODE BLUE
 
C++でNVMeと(*´Д`)ハァハァ 戯れていたら一年経ってた。
C++でNVMeと(*´Д`)ハァハァ 戯れていたら一年経ってた。C++でNVMeと(*´Д`)ハァハァ 戯れていたら一年経ってた。
C++でNVMeと(*´Д`)ハァハァ 戯れていたら一年経ってた。hiyohiyo
 
DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)
DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)
DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)Toshiharu Sugiyama
 
RustでWebブロック崩し作ってみた
RustでWebブロック崩し作ってみたRustでWebブロック崩し作ってみた
RustでWebブロック崩し作ってみた虎の穴 開発室
 
Drawing Dataflow On Dalvik Bytecodes
Drawing Dataflow On Dalvik Bytecodes Drawing Dataflow On Dalvik Bytecodes
Drawing Dataflow On Dalvik Bytecodes Takahiro Yoshimura
 
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールOSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールIsao Takaesu
 

Semelhante a Ticket To The Dark World (14)

Outsmarting Smartphone Apps 2
Outsmarting Smartphone Apps 2Outsmarting Smartphone Apps 2
Outsmarting Smartphone Apps 2
 
FINAL FANTASY Record Keeperを支えたGolang
FINAL FANTASY Record Keeperを支えたGolangFINAL FANTASY Record Keeperを支えたGolang
FINAL FANTASY Record Keeperを支えたGolang
 
Outsmarting Smartphone Apps
Outsmarting Smartphone AppsOutsmarting Smartphone Apps
Outsmarting Smartphone Apps
 
Looking Back 2023
Looking Back 2023Looking Back 2023
Looking Back 2023
 
分散バージョン管理システムって何なん 20101218
分散バージョン管理システムって何なん 20101218分散バージョン管理システムって何なん 20101218
分散バージョン管理システムって何なん 20101218
 
Gruntでjava script前作業の自動化!
Gruntでjava script前作業の自動化!Gruntでjava script前作業の自動化!
Gruntでjava script前作業の自動化!
 
[CB17] Trueseeing: Effective Dataflow Analysis over Dalvik Opcodes
[CB17] Trueseeing: Effective Dataflow Analysis over Dalvik Opcodes [CB17] Trueseeing: Effective Dataflow Analysis over Dalvik Opcodes
[CB17] Trueseeing: Effective Dataflow Analysis over Dalvik Opcodes
 
C++でNVMeと(*´Д`)ハァハァ 戯れていたら一年経ってた。
C++でNVMeと(*´Д`)ハァハァ 戯れていたら一年経ってた。C++でNVMeと(*´Д`)ハァハァ 戯れていたら一年経ってた。
C++でNVMeと(*´Д`)ハァハァ 戯れていたら一年経ってた。
 
DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)
DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)
DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ(same-origin policy)
 
RustでWebブロック崩し作ってみた
RustでWebブロック崩し作ってみたRustでWebブロック崩し作ってみた
RustでWebブロック崩し作ってみた
 
Drawing Dataflow On Dalvik Bytecodes
Drawing Dataflow On Dalvik Bytecodes Drawing Dataflow On Dalvik Bytecodes
Drawing Dataflow On Dalvik Bytecodes
 
ディープラーニングの社会実装の鍵となるエッジコンピューティング
ディープラーニングの社会実装の鍵となるエッジコンピューティングディープラーニングの社会実装の鍵となるエッジコンピューティング
ディープラーニングの社会実装の鍵となるエッジコンピューティング
 
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールOSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
 
Prolabo
ProlaboProlabo
Prolabo
 

Mais de Takahiro Yoshimura

Trueseeing: Effective Dataflow Analysis over Dalvik Opcodes
Trueseeing: Effective Dataflow Analysis over Dalvik OpcodesTrueseeing: Effective Dataflow Analysis over Dalvik Opcodes
Trueseeing: Effective Dataflow Analysis over Dalvik OpcodesTakahiro Yoshimura
 
10 (about make 10 with 4 numbers challenge)
10 (about make 10 with 4 numbers challenge)10 (about make 10 with 4 numbers challenge)
10 (about make 10 with 4 numbers challenge)Takahiro Yoshimura
 
Go goes Mobile: Quick Exploration on Go 1.5 and Gomobile
Go goes Mobile: Quick Exploration on Go 1.5 and GomobileGo goes Mobile: Quick Exploration on Go 1.5 and Gomobile
Go goes Mobile: Quick Exploration on Go 1.5 and GomobileTakahiro Yoshimura
 
伝授の巻について #スクエアフリーセミナー #yochiand
伝授の巻について #スクエアフリーセミナー #yochiand伝授の巻について #スクエアフリーセミナー #yochiand
伝授の巻について #スクエアフリーセミナー #yochiandTakahiro Yoshimura
 
GroovyなAndroidテスト #atest_hack
GroovyなAndroidテスト #atest_hackGroovyなAndroidテスト #atest_hack
GroovyなAndroidテスト #atest_hackTakahiro Yoshimura
 
あげフォト開発ノート #antama_ws
あげフォト開発ノート #antama_wsあげフォト開発ノート #antama_ws
あげフォト開発ノート #antama_wsTakahiro Yoshimura
 
おいしいFragment #antama_ws
おいしいFragment #antama_wsおいしいFragment #antama_ws
おいしいFragment #antama_wsTakahiro Yoshimura
 
アプリを弄ってみる #3 #antama_ws
アプリを弄ってみる #3 #antama_wsアプリを弄ってみる #3 #antama_ws
アプリを弄ってみる #3 #antama_wsTakahiro Yoshimura
 
アプリを弄ってみる #2 #antama_ws
アプリを弄ってみる #2 #antama_wsアプリを弄ってみる #2 #antama_ws
アプリを弄ってみる #2 #antama_wsTakahiro Yoshimura
 
アプリを弄ってみる #1 #antama_ws
アプリを弄ってみる #1 #antama_wsアプリを弄ってみる #1 #antama_ws
アプリを弄ってみる #1 #antama_wsTakahiro Yoshimura
 
参考書選びと迷った時の勉強法。 #antama_ws
参考書選びと迷った時の勉強法。 #antama_ws参考書選びと迷った時の勉強法。 #antama_ws
参考書選びと迷った時の勉強法。 #antama_wsTakahiro Yoshimura
 

Mais de Takahiro Yoshimura (14)

Asynchronicity
AsynchronicityAsynchronicity
Asynchronicity
 
Trueseeing: Effective Dataflow Analysis over Dalvik Opcodes
Trueseeing: Effective Dataflow Analysis over Dalvik OpcodesTrueseeing: Effective Dataflow Analysis over Dalvik Opcodes
Trueseeing: Effective Dataflow Analysis over Dalvik Opcodes
 
10 (about make 10 with 4 numbers challenge)
10 (about make 10 with 4 numbers challenge)10 (about make 10 with 4 numbers challenge)
10 (about make 10 with 4 numbers challenge)
 
Go goes Mobile: Quick Exploration on Go 1.5 and Gomobile
Go goes Mobile: Quick Exploration on Go 1.5 and GomobileGo goes Mobile: Quick Exploration on Go 1.5 and Gomobile
Go goes Mobile: Quick Exploration on Go 1.5 and Gomobile
 
Android Wear: Good Parts
Android Wear: Good PartsAndroid Wear: Good Parts
Android Wear: Good Parts
 
DEFCON21×S2 REPORT
DEFCON21×S2 REPORTDEFCON21×S2 REPORT
DEFCON21×S2 REPORT
 
伝授の巻について #スクエアフリーセミナー #yochiand
伝授の巻について #スクエアフリーセミナー #yochiand伝授の巻について #スクエアフリーセミナー #yochiand
伝授の巻について #スクエアフリーセミナー #yochiand
 
GroovyなAndroidテスト #atest_hack
GroovyなAndroidテスト #atest_hackGroovyなAndroidテスト #atest_hack
GroovyなAndroidテスト #atest_hack
 
あげフォト開発ノート #antama_ws
あげフォト開発ノート #antama_wsあげフォト開発ノート #antama_ws
あげフォト開発ノート #antama_ws
 
おいしいFragment #antama_ws
おいしいFragment #antama_wsおいしいFragment #antama_ws
おいしいFragment #antama_ws
 
アプリを弄ってみる #3 #antama_ws
アプリを弄ってみる #3 #antama_wsアプリを弄ってみる #3 #antama_ws
アプリを弄ってみる #3 #antama_ws
 
アプリを弄ってみる #2 #antama_ws
アプリを弄ってみる #2 #antama_wsアプリを弄ってみる #2 #antama_ws
アプリを弄ってみる #2 #antama_ws
 
アプリを弄ってみる #1 #antama_ws
アプリを弄ってみる #1 #antama_wsアプリを弄ってみる #1 #antama_ws
アプリを弄ってみる #1 #antama_ws
 
参考書選びと迷った時の勉強法。 #antama_ws
参考書選びと迷った時の勉強法。 #antama_ws参考書選びと迷った時の勉強法。 #antama_ws
参考書選びと迷った時の勉強法。 #antama_ws
 

Último

論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A surveyToru Tamaki
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...Toru Tamaki
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)Hiroki Ichikura
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Yuma Ohgami
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですiPride Co., Ltd.
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdftaisei2219
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案sugiuralab
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNetToru Tamaki
 

Último (8)

論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
 

Ticket To The Dark World

  • 1. TICKET TO THE DARK WORLD OWASP SAITAMA MTG #12, TALK #1
  • 2. TEXT SESSION FLAGS ▸ 録画・録音・公開: OK Image by Nico Kaiser on flickr, CC-BY 2.0
  • 3. TEXT WHO I AM ▸ Takahiro Yoshimura (@alterakey) https://keybase.io/alterakey ▸ Monolith Works Inc. Co-founder, CTO Security researcher ▸ 明治大学サイバーセキュリティ研究所 客員研究員
  • 4. TEXT WHAT I DO ▸ Security research and development ▸ iOS/Android Apps →Financial, Games, IoT related, etc. (>200) →trueseeing: Non-decompiling Android Application Vulnerability Scanner [2017] ▸ Windows/Mac/Web/HTML5 Apps →POS, RAD tools etc. ▸ Network/Web penetration testing →PCI-DSS etc. ▸ Search engine reconnaissance (aka. Google Hacking) ▸ Whitebox testing ▸ Forensic analysis
  • 5. TEXT WHAT I DO ▸ CTF ▸ Enemy10, Sutegoma2 ▸ METI CTFCJ 2012 Qual.: Won ▸ METI CTFCJ 2012: 3rd ▸ DEF CON 21 CTF: 6th ▸ DEF CON 22 OpenCTF: 4th ▸ 発表・講演など DEF CON 25 Demo Labs (2017) DEF CON 27 AI Village (2019) CODE BLUE (2017, 2019) CYDEF (2020) etc. Image by Wiyre Media on flickr, CC-BY 2.0
  • 6. TEXT BACKGROUND ▸ Tor -- The Onion Router →ダークウェブの一種 (匿名性の高いWeb空間) ▸ 特性 ▸ 接続先ごとに経路を変える ▸ 概ね10分ごとに経路を再構築 ▸ bridgeも使用可能 ▸ 接続はtorproxy (SOCKS5) Image by The Tor Project, CC BY 3.0 US
  • 7. TEXT BACKGROUND ▸ Tor Browser ▸ Firefox ESRとtorproxyのバンドル ▸ bridgeなども直接使用可能 ▸ 今使っている経路は常に確認可能 ▸ 再構築可能 ▸ 事実上専用のブラウザ
  • 9. TEXT BACKGROUND ▸ 公式のTor Browser ▸ Firefoxに比較して安全性を強化している ▸ 安全性とは? ▸ 今においても使う意味があるのか?
  • 10. TEXT TAILORED TO THE DARK WEB? ▸ 公式のTor Browser ▸ TrackingとSurveillanceを念頭に置いている ▸ Block Trackers ▸ Defend Against Surveillance ▸ Resist Fingerprinting ▸ Multi-layered Encryption
  • 11. TEXT PILLARS OF PRIVACY ▸ 2本の大筋 [1] https://2019.www.torproject.org/projects/ torbrowser/design/ ▸ Cross-Origin Identi fi er Unlinkability ▸ 識別子を持ち回れないように ▸ Cross-Origin Fingerprinting Unlinkability ▸ 自己同一性を持ち回れないように
  • 12. TEXT PILLARS OF PRIVACY ▸ fi ngerprintされると… ▸ 行動が特定される可能性 ▸ 物理的場所が特定される可能性 (e.g. 機器の流通経路などから) ▸ プライバシーにとっては脅威 Image by Andrew Gustar on flickr, CC-BY-ND 2.0
  • 13. TEXT CROSS-ORIGIN IDENTITFIER UNLINKABILITY ▸ First-party Isolation privacy. fi rstparty.isolate = true ▸ Cookie/Storage/Cache entryなどにも Origin (→1p) でスコープ化、環境ごと分離する ▸ 既にSOP規定があるものについてもスコープ化 →double keying Image by gufm on flickr, CC-BY-NC-ND 2.0
  • 14. TEXT CROSS-ORIGIN IDENTITFIER UNLINKABILITY ▸ ... Cookie, Cache, Storage, Authorization, TLS session ID, Shared Workers, HTTP/2※, redirectの強制, window.name, auto fi ll, HSTS/ HPKP, broadcast, OCSP, favicon, media source, prefetch, permissions API ※HTTP/2は今のビルドでは効いている Image by gufm on flickr, CC-BY-NC-ND 2.0
  • 15. TEXT CROSS-ORIGIN IDENTITFIER UNLINKABILITY ▸ 問題点: social loginなどができない →対処を提供しているが、ダメなものもある privacy. fi rstparty.restrict_opener_access, privacy. fi rstparty.block_post_message etc. ▸ 実質的にtorでは使われない Image by jason wilson on flickr, CC-BY-SA 2.0
  • 16. TEXT CROSS-ORIGIN FINGERPRINTING UNLINKABILITY ▸ Resist Fingerprinting privacy.resistFingerprinting = true ▸ 同質化することでFingerprintingへ抵抗する ▸ 以下制約: canvasデータ精度, timer精度, performance API, 描 画領域 (letterboxing)※, gamepad API, TZ0, ネット ワーク情報, センサ類, Geolocation API etc. ▸ ※ウィンドウも正方形になる (スクリーンサイズの保護) Image by Tricia on flickr, CC-BY 2.0
  • 17. TEXT CROSS-ORIGIN FINGERPRINTING UNLINKABILITY ▸ randomizeではダメなのか? →弊害: 互換性の破壊・攻撃可能性の助長 etc. Image by Tricia on flickr, CC-BY 2.0
  • 18. TEXT UPLIFTING ▸ 前はTor Browserが独自に実装していたが… パッチ管理が面倒になってupstreamへ ▸ Project Tor Uplift [M1/M2/M3] →Firefox 52..59でほぼマージされた (Tom Ritter et al.)
  • 19. TEXT UPLIFTED! ▸ First Party Isolation (>=52) privacy. fi rstparty.isolate = true →Enhanced Tracking Protection Strict Mode (>=86) … 設定値は残っているので若干疑問。 → https://developer.mozilla.org/en-US/docs/ Web/Privacy/State_Partitioning ▸ Resist Fingerprinting (>=59) privacy.resistFingerprinting = true →ウィンドウは正方形になるがletterboxingは… → https://wiki.mozilla.org/Security/ Fingerprinting Image by Frans on flickr, CC-BY-NC-ND 2.0
  • 20. TEXT UPLIFTED! .. WITH OTHER SETUP ▸ 他の設定… ▸ Permanent Private Browsing ▸ Extension: NoScript, uBlock Origin, Decentraleyes ▸ 以下設定: - Home: Blank - Search engine: DuckDuckGo - 有効化: HTTPS Only Mode(全域) - 無効化: Search suggestions, Safe browsing, OCSP query, Firefox Data Collection and Use系, Spellcheck, DRM, auto updates, extensions/feature recommendation, breached passwords reminder Image by Frans on flickr, CC-BY-NC-ND 2.0
  • 21. TEXT READY TO ENTER THE DARK WORLD? ▸ これでtorと同等の保護が提供されているのか? Image by Antonino SCIMECA on flickr, CC-BY 2.0
  • 22. TEXT READY TO ENTER THE DARK WORLD? ▸ tor browserは fi ngerprintに強いのか? ▸ 現代のFPI+RFPと比べてどうか? ▸ ad-blockerなどはいらないのか? (入れるなとも言っている) ▸ 検証しましょう Image by Tim Cummins on flickr, CC-BY-NC-ND 2.0
  • 23. TEXT TEST (NON-JS) ▸ Am I Unique? amiunique.org ▸ fi ngerprintと合致するデータ数を出力する →定性的には多い方が良い →torと比較しているので同数がゴール
  • 24. TEXT FINDINGS (NON-JS) ▸ Tor Browser ▸ No (~7200)
  • 25. TEXT FINDINGS (NON-JS) ▸ Firefox 111.0b6 + FPI + RFP ▸ Almost (~6) ▸ User-Agent ▸ DNT: 1
  • 26. TEXT FINDINGS (NON-JS) - PATCH ▸ Firefox 111.0b6 + FPI + RFP ▸ Almost (~6) ▸ User-Agent →extension: Custom User-Agent String (Mozilla/5.0 (Windows NT 10.0; rv:102.0) Gecko/20100101 Firefox/102.0) ▸ DNT: 1 →extension: Modify Header Value (DNTを削除)
  • 27. TEXT FINDINGS (NON-JS) - PATCHED? ▸ Firefox 111.0b8 + FPI + RFP + Header Tweaks ▸ No (~7200) : tor browserと同等…?
  • 28. TEXT FINDINGS (NON-JS) - PATCH, II ▸ telemetry!!! ▸ 以下を "data:;" に ▸ browser.newtabpage.activity- stream.telemetry.structuredIngestion.endpoi nt ▸ toolkit.telemetry.server
  • 29. TEXT FINDINGS (NON-JS) - PATCHED ▸ Firefox 111.0b8 + FPI + RFP + Header Tweaks ▸ No (~7200) : tor browserと同等 →非JS環境では多分問題ない
  • 30. TEXT TESTING (JS) ▸ Am I Unique? amiunique.org ▸ TorZillaPrint https://arkenfox.github.io/TZP/index.html (Gecko系に特化した fi ngerprinting)
  • 31. TEXT FINDINGS (JS) ▸ Tor Browser ▸ amiunique: Yes!!! ▸ Canvas Extractionをブロックしたノイズ →予定調和; ランダムなので特に問題なし ▸ その他は… useragent (JS): プラットフォーム(!) フォント数, navigatorプロパティ数, screenWidth, screenHeight etc.
  • 32. TEXT FINDINGS (JS) ▸ Firefox 111.0b8 + FPI + RFP + Header Tweaks ▸ amiunique: Yes!!! ▸ Canvas Extractionをブロックしたノイズ ▸ useragent (JS): 違う値(!) フォント数: 実際の値(!) screenWidth: 実際の値(!) screenHeight: 実際の値(!) navigatorプロパティ数: CredentialManager類 permission: WebMIDIなどの存在 media-devices: ハードウェア構成(!) WebGL系: そこそこのハードウェア構成(!※) etc.
  • 33. TEXT FINDINGS (JS) - PATCH ▸ screenWidth/screenHeight privacy.resistFingerprinting.letterboxing = true ※追加の必要あり ▸ WebGL系 (出てくる場合) webgl.disabled = true webgl.enable-webgl2 = false
  • 34. TEXT FINDINGS (JS) - PATCHED ▸ Firefox 111.0b8 + FPI + RFP + Header Tweaks ▸ amiunique: Yes!!! ▸ Canvas Extractionをブロックしたノイズ ▸ useragent (JS): 違う値(!) フォント数: 実際の値(!) navigatorプロパティ数: CredentialMan.類 permission: WebMIDIなどの存在 media-devices: ハードウェア構成(!)
  • 35. TEXT FINDINGS (JS) - PATCHED ▸ Firefox 111.0b8 + FPI + RFP + Header Tweaks ▸ amiunique: Yes (防御しきれない) →JS環境で使用するのは推奨しない
  • 36. TEXT FINDINGS (JS, 2) ▸ Tor Browser ▸ TZP: Gecko, Firefox 102, build switch (?)
  • 37. TEXT FINDINGS (JS, 2) ▸ Firefox 111.0b6 + FPI + RFP + Header Tweaks ▸ TZP: Gecko, Firefox 111 (!), build switch (!)
  • 38. TEXT FINDINGS (JS, MISC) ▸ Letterboxing bypass: #1450401 et al. ▸ 全画面モードでスクリーンサイズが取れる (NB: Tor Browserにも有効!) https://bugzilla.mozilla.org/ show_bug.cgi?id=1450401
  • 39. TEXT TAKEAWAYS ▸ 現状のFirefoxでもFPI + RFPである程度気をつけ て組めば非JS環境においては多分問題ない ▸ JS環境では通用しない; Tor Browserが必須 ※uBlock Originなどは多分あったほうが良い; わざわざ踏まなくても良いものは回避したい ▸ JSには注意 SafestモードやNoScript有効が基本 Image by jakes_brick_hoard on flickr, CC-BY-NC-ND 2.0
  • 40. TEXT TAKEAWAYS ▸ 多分このくらいは分かる CPU arch(ARM/x86/x86_64?), Platform (Mac/Linux/Windows), Base build, 手製だと build switchからCPUの世代 etc. ※Gentooerは 特に注意 ▸ +スクリーンサイズで機種特定の可能性上昇 → 全画面モードには重ねて注意 ▸ amiunique: RFP影響下ではuniqueは普通 Image by jakes_brick_hoard on flickr, CC-BY-NC-ND 2.0
  • 41. ONE MORE THING.. Image by Chris Pirillo on flickr, CC-BY-NC-ND 2.0
  • 42. TEXT GUARD NODE? ▸ Guard nodeは安全なのか? →安全ではないと思う ▸ なぜなら: ▸ public relay listから速度と安定性を元に選定 運用はコミュニティの自浄作用( 相互監視/密告) ▸ relayには誰もが登録できる; 審査などは特にない →人海戦術が有効!※たまにある ▸ 自前あるいは信頼できるbridgeによる自衛が必要
  • 43. STAY SAFE! Image by KaCey97078 on flickr, CC-BY-NC 2.0
  • 44. FIN. 28.2.2023 TAKAHIRO YOSHIMURA (@ALTERAKEY) Image by Andrew on flickr, CC-BY-NC-ND 2.0