[セキュリティ] * ヤフーと産総研、パスワード相互認証プロトコルでフィッシング防止

---

HTTPおよびHTTPSに適応するように改良されたパスワード相互認証プロトコルだそうです。 パスワードを暗号学的に加工した後に送信するため、万が一、偽サイトに送信してしまってもパスワードそのものが漏れることはなく、また、同時に送信先のサイトが過去にパスワードを登録したサイトであるかどうかの検証も行うため偽サイトであることが分かるとのこと。

textileただし、フィッシングの手口である、偽サイトが通信を本物サイトへ中継する「中間者攻撃」が行なわれた場合には、PAKEによる相互認証が成功してしまうという問題がある。

詳しい仕組みは知らないのですが、上記のように中間者攻撃を許す状況だったものを、「パスワードを暗号学的に加工する際に、通信相手となるサーバーのドメイン名を反映するように改良した」というだけでは、まったく別のサイトが行う（上の方の層の）中間者攻撃には耐えられても、DNS Cache Poisoning やら何やらで別サイトに（下の方の層で）転送されてた場合には気づくことが出来さそうに聞こえます。 ・・・そういう場合は、HTTPS と組み合わせろ！ということかな。関連： * Yahoo! JAPAN、産業技術総合研究所と抜本的なフィッシング詐欺防止技術を開発

---

[雑談] どうなってるの？

• 中国産の“毒入り小麦粉”を使ったペットフードで飼い犬や飼い猫が相次ぐ死…アメリカで大規模リコール拡大中

---

• 中国で“致死量３ｇ”の「ニセモノの塩」が氾濫…「販売すれば ぼろ儲け。他人が中毒や癌になろうが気にしない」