- ソース を表示
- sl_relay/セキュリティ へ行く。
現: 2008-12-21 (日) 03:29:18 iseki  |
|||
|---|---|---|---|
| Line 1: | Line 1: | ||
| + | ** sl_relay [#f79ea2d2] | ||
| + | - アクセスリストにより,マシン単位で Viewerの接続制御ができます. | ||
| + | - Viewer <--> [[sl_relay]]間でTCP通信を HTTPSにする事が可能です(デフォルトはHTTP).サイト内の全てのユーザを信頼できない限りは HTTPSを使用するべきです. | ||
| + | - localhost内にクラッカーがいる場合は,プロセス間の通信内容を盗聴される恐れがあります.ただしもし localhost 内にクラッカーがいるとすれば,別のもっと重大な問題が発生するでしょう. | ||
| + | - Dosアタックについては未検証(恐らく [[sl_relay]]は止まってしまう?) | ||
| + | ** 中継プロセスコントローラ [#x49bbf54] | ||
| + | - 中継プロセスコントローラは localhost 以外からのパケットは無視します. | ||
| + | - 中継プロセスコントローラは,受信したコマンドに対してパスワードによる検査を行います. | ||
| + | |||
| + | ** 中継プロセス [#l7f18994] | ||
| + | - 最初に通信を開始したViewerを記憶しており(IPアドレスとポート番号),それ以外の相手からの通信は無視します. | ||
| + | - ViewerのIPアドレスとポート番号またはSIMサーバのIPアドレスとポート番号を送信元として偽装した場合,UDP中継プロセスに対して偽のパケットを送り込む事が可能です.ただし,これは元々[[Second Life]]に存在している脆弱性です. | ||
| + | - HTTPSを使用していない場合,ViewerのIPアドレスとポート番号を送信元として偽装することにより,HTTPS中継プロセスに対して偽のパケットを送り込む事が可能です. | ||
| + | |||
| + | *** ViewerのWEBプロキシ機能を使用している場合 [#bfc39a72] | ||
| + | - ViewerのWEBプロキシ機能を使用している場合,中継プロセスでIPアドレスとポート番号を認識し直す隙をついて,セッションを乗っ取ることが可能です.かなりの腕がいるとは思いますが,論理的には可能です.ただし,TCP通信にHTTPSを使用している場合はHTTPS中継プロセスを乗っ取ることは(実時間内には)不可能です. | ||
| + | |||
| + | *** 偽のパケットの注入 [#kc63c55f] | ||
| + | - キャッシュされたテクスチャデータやSIMサーバからのUDPデータについて,送信元IPアドレス,ポート番号を偽装された場合,偽のパケットを流し込まれる危険性があります.ただし,これは元々[[Second Life]]に存在している脆弱性です. | ||
| + | |||
| + | |||
| + | |||
- sl_relay/セキュリティ のバックアップ差分(No. All)
- 現: 2008-12-21 (日) 03:29:18 iseki
