web-dev-qa-db-ja.com

公共のインターネットコンピュータから安全に閲覧するにはどうすればよいですか?

私が読んでいた this 質問:いくつかの緊急事態では、電子メールまたは公共のインターネットコンピュータの別の機密サイトにログオンする必要があります。その点を覚えておいてください:

  1. 何もインストールできません。
  2. おそらくInternetExplorer6以降を使用します
  3. おそらくWindowsXPを使用します

たぶんオンラインサービスがその要件を満たすだろうと思います...

securityinternetinternet-explorer
6
Click Ok

できません。キーストロークとログイン手順が間違いなく記録されるため、ワンタイムパスワード(OTP?)を使用した2要素認証が最初の要件になります。これにより、攻撃者が別の機会に何かを再利用することが難しくなります...

...ただし、暗号化されたトンネルを確立したとしても、エンドポイントを制御していないため、通過するすべての情報がダンプされるのを妨げるものはもちろんありません。

アクセス権のみを保護している限り、確かに、適切に保護することができます(ただし、これまでに何もありませんsecure)。ただし、そのセッション中に利用できるすべての情報は、クライアントが危険にさらされたときにその配布を制御できないため、公共の財産と見なす必要があります。

ハードウェアロギングを使用している可能性があるため、ターミナルに侵入して独自のオペレーティングシステムを起動しても、安全かどうかはわかりません^^

6
Oskar Duveborn

公共の端末からセキュリティを保証できるとは思えません。機密性の高いサービスがHTTPS経由で利用できる場合は、ワークステーションとサーバー間の回線スニッフィングまたはプロキシサーバーからある程度保護されます。ただし、キーロガーやデスクトップ記録ソフトウェアなど、コンピューター自体に記録アプリケーションが存在しないという保証はありません。可能であれば、ポータブルUSBストレージデバイスから独自のmicro-OSを起動して操作し、安全なVPNまたはその他の暗号化された接続を介してサーバーに接続します。ハードウェアキーロガーがキーボードまたは接続ケーブルにインストールされる可能性があるため、それでも絶対確実ではありません(泥棒は、カードの磁気ストリップとピン番号を取得するために、ATMマシンでこの種のことを行ったことさえあります)。

4
Justin Scott

これの多くは、パブリックマシンをどれだけ信頼するかによって異なります。誰が実行していますか?マシンまたはネットワークが、プライバシーの問題を適切に処理することを信頼していない誰かまたは組織の管理下にある場合、プライバシーを確​​保するために利用できるオプションは多くありません。マシンには、キーロガー(ハードウェアまたはソフトウェア)またはその他の監視ソフトウェアが搭載されている場合があります。

ただし、これを行う必要がある場合、またはあなたの主な関心事があなたの後に公共端末を使用する可能性があり、同様のアクセス能力を持っている人々である場合、私は次のことを行います:

  • Https経由でサービスに安全にアクセスしていることを確認してください
  • 完了したら、キャッシュ、履歴、Cookieをクリーンアップします
    • 閲覧する前に、キャッシュとCookieを削除できることを確認してください。
4
patjbs

SSH JavaアプレットをLinuxボックスにインストールし、ログインとskeyの両方でSudo認証(ワンタイムキー)を有効にする必要があります。ポケットに少なくとも50個の有効なキーのリストがあります(泥棒がこれらのキーがどのボックスに有効であるかを識別するのに役立つ可能性のある表示はありません)。

私の電子メールにアクセスするには、このコンソールから Emacs with Gnus を使用します。

Windowsのほとんどのインストールには、ある種のJavaがプリインストールされており、古いバージョンのJavaでも動作するSSHアプレットがあるため、このセットアップは私にとっては機能します。

このように、作業中に行う通信は安全ではないことを認識しています。私は主に、skeyが提供する1回限りのパスワードを使用して、ログイン試行とリプレイ攻撃から保護しようとしています。

4
Martin C.

  • まず、ハードウェアを物理的にクイックスキャンします(キーボードプラグ/ケーブルでキーロガーハードウェアを探します)。本当に妄想的な人のために、あなた自身のキーボードを持ってきてください。 (キーロガーの変更がキーボード内に存在する可能性があるため。)

  • sb stick またはcdから独自の事前準備されたOSを起動します。 (マシン上にすでに存在するマルウェアやスパイウェアがユーザーに影響を与えるのを防ぎます)。読み取り専用メディア上のOSの方が安全な場合があります。

  • それでも、マシンを信頼することはできません ルートキットが存在する可能性はあります。

  • その時点で、ホームマシン/ネットワークへのsshまたはvpn接続を開始し、リモートで作業できます。重要なネゴシエーションは、中間者攻撃によって傍受される可能性があることに注意してください。 ssh key をOSと一緒に読み取り専用メディアに置くことができます。

どんな対策を講じても、最終的には公共のマシンとのやり取りを本当に信頼することはできません。

キーストロークをログに記録するハードウェア、ネットワーク上の中間者攻撃などの可能性に常に注意してください...

セキュリティに関しては通常そうであるように、保護のレイヤーを重ねて提供し、潜在的な攻撃者があなたを危険にさらすという決意と創意工夫よりもレイヤーが厚いことを望んでいます。

これらすべてを非常にうまく進めるか、USBスティックにキーを置いた単純なsshトンネルで十分であると判断できます。常にリスクがあり、そのリスクを減らすためにどこまで進んでいくかは、最終的にはあなた次第です。

(個人的には、10フィートのポールで重要なことをするために公共のコンピューターに触れることはありません。)

3
jns

パスワードやその他の機密情報をマウスを使用して一度に1文字ずつコピーすることを提案する人がいると聞きました。基本的なもの(おそらくほとんどのキースニファー)はマウスのコピー/貼り付けを検索しないため、目的はキースニファーをだますことです。

また、機密性の低い文字を別のウィンドウにコピーして貼り付けたり、マウスのコピー/貼り付けとキーストロークを組み合わせて、画像をさらに混乱させることができます。

海外旅行中にこれを試してみると、あっという間にイライラします! :)

3
Luke Quinane

これはまったく異なる方法です。ウェブベースの仮想デスクトップでは、メールやブラウザなどの仮想化されたデスクトップアプリがたくさんありますが、クライアントマシンには何も触れられていません。非常に安全で、多くの場合無料です。私が遊んだのは g.ho.st

2
Chopper3

公共のコンピュータを使用するときは、キーロガーにも注意してください。公共のコンピューターを安全に使用するためのヒントを以下の投稿で読んでください: http://www.etechplanet.com/post/2010/06/27/Using-a-Public-Computer-Safely-Information-Security-Awareness .aspx

1
Avi

古い nph-proxy.cgi script のようなプロキシWebサービスを使用して、半匿名でSSL経由で閲覧することができます。これをウェブホストに置き、HTTPSでアクセスできます。これは、ネットワークベースのコンテンツフィルターをバイパスするのにも役立ちます。 nph-proxy.cgiは遅くなる可能性があり、フラッシュなどの埋め込みのものを処理しませんが、通常、他の方法が利用できないときにジョブを完了します。

1
spoulson

商用サービスのiPassを使用しています。私たちがそれらを選んだ主な理由は、ほぼ世界規模での可用性でした。彼らは安全なWordパスワード生成ペンダント(キーリング用の小さなフォブ)を使用しています。完全に安全なものはありませんが、これにより、パスワードを盗んだりログインしたりしようとする人の99.99%が落胆します。

1
Jim C