[upki-fed:231] Re: [upki-fed:228] Re: [upki-fed:206] Re: UPKIフェデレーションの属性追加について

[Yasuo Okabe <xxxxx@xxxxxxxxxxxxxxx>]

岡部＠京大です。

ログインシールは「１０人に１人」を「１５人に１人」くらいに減らす効果はあ
るかもしれませんが、所詮は気休め程度のものです。ログインシールが間違って
いればおかしいと気づきますが、正しいからといって安心できるようなものでは
ありません。手口をあからさまに書くのはどうかと思いますが一MIM攻撃に対し
ての耐性はありません。

またそもそもID/パスワードで学外からIdPへのログイン認証を許していると、イ
ンターネットカフェからアクセスしてキーロガーに持っていかれるようなケース
が必ずでてきます。

幸いにして学認でそのようなインシデントが起きたというような話は聞いていま
せんが、世の中年々危険な方向に動いていますし、大学のインフラとしてのシス
テムは一度導入したら１０年とかの長期間使われるのが常ですので、現時点です
でに危うさが見えていることについてはあとからでも対策できるよう今のうちに
検討をしておくべきでしょう。


>> 偽IdPに誘導されたら、SSLでないとかよく見ればURLが怪しいとかよく見れば気
>> づくはずですが、少なく見積もっても１０人に１人くらいは、悩まず素直にIDと
>> パスワードを打ち込んでしますと思います。
> 
> 偽 IdP 対策としては，PKIに行く前にログインシールを使うという方法もありそうです．
> 
> https://protect.login.yahoo.co.jp/
> 
> Shibboleth って実装しないんですかね？


%%%

本題に戻って学生証番号のようなものを属性として扱う場合の属性名やフォー
マットを学認統一で決めてよいかですが、各大学独自にしたところでリスクの軽
減は微々たるものですし、よそと同じ設定をすることができず手作業の際にミス
が入るようなリスク増も考慮すると、セキュリティ的には同レベルでしょう。あ
とは、たとえばいろんな大学の業務を請け負うアウトソース型のSPが現れたとき
にその運用コストのことを考えると、完全な共通仕様とまではいかなくても雛形
くらいは決めておいたほうがいいと思います。
-- 
Yasuo Okabe
Kyoto University
http://www.net.ist.i.kyoto-u.ac.jp