合計	1,107円
タイプシンプルバリュー	1,483円
ひとりでも割50	-740円
iモード利用料	300円
パケ・ホーダイシンプル	0円
ユニバーサルサービス料	2円
eビリング割引料	-20円
消費税	82円

○当月の無料対象メールのパケット数のお知らせ

メール使いホーダイ(iモード通信)は328,217パケット

auのガンガンメール（プランEシンプル）は明後日 2018年11月7日で新規受付終了らしい

http://news.kddi.com/kddi/corporate/newsrelease/2018/07/20/3274.html

Permalink | 記事への反応(0) | 22:24

2018-10-27

■スマホが車並みに課税されると

車に興味がない最近の若者向けに車に付加されている各種税の理不尽さを分かってもらうため、

スマホで例えてみる。

・スマホ取得税

スマホ購入時に課税。本体価格とアクセサリーを合わせた価格の3%が課税される。

・スマホ重量税

スマホ契約中にかかる税金。

初回はから3年後、以降2年ごとに、画面サイズに応じて課税される。

・スマホ税

スマホの処理能力に応じて毎年課税される。

・パケット税

スマホの通信量1MBごとに、通信税と地方ネット税がかかる。

現在特定税率が上乗せされている。

パケット料金とパケット税を合わせた価格に消費税がかかる。

以前は、通信特定財源としてネットワーク網の充実にのみ使われていたが、

最近は一般財源化されている。

・スマホリサイクル料

スマホを購入する際にリサイクル料が上乗せされている。

Permalink | 記事への反応(4) | 17:13

2018-10-16

■anond:20181016034714

自己補足。

ついでに言うと、あえてルール違反する人は例えば普通郵便に現金入れる人ならバレないように便箋で包んだりするよね。

爆発物送る人だって当然バレないように送るよね。

ISPにブラウザから普通に違法サイトへコネクション張ってくれっていうのは「違法なことします」って言いながら郵便窓口に行ってるようなものでしょ。

違法なことしたかったらそれなりに自覚した上で、torだとかVPNだとか頭を使うべきで、何も考えてない大衆のもろに「違法サイトにアクセスします」って公言してるパケットを通す権利守るのはキツくない？

Permalink | 記事への反応(0) | 04:35

■ブロッキングと通信の秘密への素朴な疑問

郵便局は宛先の住所見て外国への郵便は高い料金取るし、北朝鮮の住所書いても送ってくれないよね？

通信の秘密があっても普通郵便で現金や法的書類送るなとか、爆発物は送るなとか中身にすらルール決めてるよね？通信内容が完全に秘密だったらわかりようがないんだからナンセンスだよね？

つまり通信事業者は宛先を見てサービス変えてるし法律に応じて中身に口出しもしてるよね？

電話だって国際電話かけたら国内電話より高い料金とられるよね？それは宛先の情報取得してるからだよね？

で、ISPにとってIPはパケット送信のための必要な宛先情報だから、ISPのサーバはフィルタリングするしないに関わらず情報としては取得してるよね？

でなんで違法な宛先を断るのがダメなの？上の例で言ったら北朝鮮に手紙送れって言ってるようなものじゃない？

俺もブロッキングは反対だけど、宛先見て遮断するだけのことに通信の秘密ってあまり盾になってなくない？

[返信への返信をコピペ追記]

郵便局の窓口ではラベルに宛先と内容物書かされて係員に見られるよね？

客「○○宅に爆発物を送りたいんですけど」　郵便局「お断りします」

客「違法サイトの80番ポートにコネクション張りたいんですけど」　ISP「お断りします」

この2つがどう違ってなんで後者だけ通信の秘密を盾にできるのかがよくわからない

例えばメールの内容の検閲等したらそれは完全に駄目だけど、違法コンテンツしかない違法サイトにコネクション張らせないのは郵便でいう「宛先ラベル」の段階で断るだけだから検閲じゃなくない？

ついでに言うと、あえてルール違反する人は例えば普通郵便に現金入れる人ならバレないように便箋で包んだりするよね。

爆発物送る人だって当然バレないように送るよね。

Permalink | 記事への反応(6) | 00:50

2018-10-11

■anond:20181011140908

勘違いしがちだが、DNS ブロッキング以外の方法は山ほどあるがそのどれもが検閲などの憲法違反の恐れがあるからであり、DSN ブロッキングが唯一の「憲法違反にならないコンテンツフィルタリング方法」になるってことだよ。

検閲 OKなら443番閉じて80番のパケット普通に覗くわ。

Permalink | 記事への反応(0) | 14:11

2018-09-22

■JWTに関してのお伺い

http://b.hatena.ne.jp/entry/s/co3k.org/blog/why-do-you-use-jwt-for-session

適当にコメントを書いたら

スーパーエンジニアに「そういうことではない」

と厳しい叱責を受けたため、無能の見識を書いてみた。

「聞くは一時の恥、聞かぬは一生の恥」のとおり、

せっかくの機会のため、びしばしセキュリティに関する認識の甘さを指摘してほしい所存

expの期限と任意でセッションが切れないデメリットに対する私見

作ったシステムではexpは約1時間でやってしまいました(機密保持契約違反を恐れ多少ぼかしております)

私は無能なのでたぶんユーザーから報告を受けて

確認している間に1時間はかかるからいいやと思ってしまっていた

師はきっとJWT生成直後3秒でユーザーが

「これは、セッションハイジャックか・・・！？」

と気づいて通報

そして師が2秒で

「これは、セッションハイジャックだ！」

と検知してセッション遮断、秒速で一億円の被害が出るところを阻止する前提なのではないかと推測している

これは確かにJWTだと厳しそうだ

そもそもログインできるアプリなら

セッションハイジャック成功直後にパスワードを変更された場合

セッションを任意に切れることに意味はないのでは、と思えてきたが、浅はかだろうか

(師はログインを即座に検知してセッションを切れるから問題ないのか)

とにかくアカウントロック機能を作れば上記の懸念全てにきれいに対応できそうに見えている

「定期的な鍵交換が必要」に関する私見

この理屈だと例えば.envに書くような他のkeyも定期的な交換が必要に見える

これはまずい、自分の今までの見識の甘さを思い知らされた

今使っているフレームワークのリファレンスを見たが

keyは初回に設定したのみで、定期的な交換を勧める文が見つからない

私の検索力不足なのかと思ったが、もしかして彼らもこの危険性に気付いていないのではないか

JWTはhash化してつないでいる前提で

hashのkeyを総当たりで破る仮定で書く

私は無能なのでライブラリを用いることにしている

32文字のkeyが生成された

解読時間は下記を参考に、計算はwindows10の電卓アプリを用いて手動で行った

https://ja.wikipedia.org/wiki/%E7%B7%8F%E5%BD%93%E3%81%9F%E3%82%8A%E6%94%BB%E6%92%83

英数字大文字小文字で約60の時は10桁で20 万年と書いているが

現代の解析技術は20万倍は速度が出ると仮定して1年として計算する

果たして、どのくらいの速度で鍵はやぶられると推定されるのか

とりあえず60を10乗した時点で(20 文字相当)

6.0466176e+17

日本語に直すと60京4661兆7600億年かかる計算となった

実際にはこれが6.0466176e+17倍されさらに3600倍されつまりどういうことだ

これだけ長くともkeyの交換は必要なのであろうか

そもそも師は何年で交換したら安全と書いていないが、何年なら安全という意見だったのだろうか

「JWTはセッション IDを含めれば安全」に関する私見

師から「そういうことではない」と指摘された点である

私の理解ではとかくuser_idのみ必要なら意味がないと思っていたため落ち込んでいる

まず、IDとpassを内蔵するネイティブアプリに対するapi サーバでの実装経験しかないこと

JWTが切れたら都度IDとpassを投げる方向でリフレッシュトークンは実装しなかったことを告白しておく

そのためapi サーバで上記前提で用いた場合に考えたことを書く

web アプリのJWT実装経験はないので、そちらの論は差し控えさせていただく

JWT送信→user_id取得

では危険で

JWT送信→セッション(cookie 形式?)送信切り替え→セッションからuser_id取得

だと安全になるのか検討する前提で記載する

とりあえず思いついたのは下記だった

通信途中で傍受されてログイン 情報が奪われる危険が上がる

アプリ から直接ログイン 情報が奪われる危険が上がる

通信途中で傍受される危険に関して

tokenはheaderにbearerで付けユーザー ID(あるいはそれに代わる特定可能な識別子)が含まれる

おそらく一般構成の仮定で書く

httpsで通信するのでパケットキャプチャによる傍受は不可能と思っていた

(httpで通信するのはJWTとかcookieとか関係なく傍受できるため考慮しない)

0に何をかけても0なので、何回送っても解読されないならJWTを何回送っても問題ない

というかJWTが抜けるなら同様にheaderに付けるcookieでも抜けると思うので

JWTだからといって危険性に差はない、という論拠により安全性は変わらないという個人的結論になった

※余談だが、たまに送る回数が少ない方が安全という

言説を見るのだが、個人的には上記の理由で納得できていない

アプリ から 情報が抜かれる危険性に関して

クライアントがネイティブアプリの場合、

攻撃者がアプリに保存されたJWTが取得できるならIDもpassも同じ方法で抜けそうに見えた

(厳密には保存場所が違ったかもしれんが実装依存なので同一とする)

その前提のため、わざわざ

JWT送信→セッション(cookie 形式?)送信→セッションからuser_id取得　

で接続しても、おそらくcookie 形式で送れる何かもJWTらと同じ方法で抜かれると思われる

つまり cookieだろうがJWTだろうがアプリから直接情報が抜かれる危険性には変わりがないという結論になった

結論

つまり cookieだろうがjwtだろうがidとpasswordの組だろうが同じ危険性で抜かれる可能性があり、いずれでも同じことができるなら

JWT→user_id

でいいじゃん、わざわざcookieと同様の形式を間に挟むの無駄じゃん、となりコメントの発言に至った

ここまで書いて、常にJWTにsession_idを含めておいて送ることを意図されていた可能性にも気づいたが

それならもっと無駄なため考慮しない

セッションにするメリットとして唯一思いついているのは任意にサーバ側でセッションを切れることだが

それを指していたのであろうか

それは最初の段落の問題と同一と思っている

余談だが、ブコメの雰囲気に日和って「ユーザー IDのみ入れ」(そもそもJWTを自然に作れば入るのだが)

というセッションストア的にJWTに他の情報を入れると入れない時に比べて危険性があがることに同意したような記載をしてしまったが

結局JWTが奪えたら中身に関係なくbearerとしてセットして接続するだけなので

正直JWTを使った時点でついでにセッションストアのように使おうが使わまいがセキュリティ的にそこまで変わらないのでは、と思っている

強いて上げるならセッションに保存している内容が分かる可能性があり、サーバー内部の実装が推測できる危険があるくらいだろうか

でも暗号化したらよいのでは、と思った

私的 結論

expの期限と任意でセッションが切れないデメリットに関して

expを適切に設定しつつ、必要ならアカウントロック機能を入れる

(アカウントロック機能はJWTに関係なく被害の増加を抑えられる可能性がある)

定期的な鍵の交換について

長いkeyを設定すれば不要

「JWTはセッション IDを含めれば安全」について

少なくともapi サーバ→ネイティブアプリに関して、セッション IDを含めても危険性は変わらない

正直web アプリでも大して変わらんのでは、と思っているのは内緒である

と思ったので短慮なところ、見落としている視点があるようなら今後のためにご教示をいただきたく

以上、よろしくお願いいたします

Permalink | 記事への反応(0) | 11:52

2018-08-24

■

政府は携帯代が高いと言ってるけどパケット代に課税すれば政府もウハウハなんじゃね？

Permalink | 記事への反応(0) | 08:33

「パケット」を含む日記

■東海道新幹線内でFMでNHKラジオ聴けた

■ギガ泥棒は、犯罪です。

■ソニーにアイホン持ってる

■ファーウェイの締め出し

■パケット代はお前らが負担

■これからキャッシュレスに消耗されるの？

■まだスマホで消耗してるの？

■街のwifiでグローバルipをくれるサービスとかないのだろうか

現在のプラン

■スマホが車並みに課税されると

■ブロッキングと通信の秘密への素朴な疑問

■JWTに関してのお伺い

expの期限と任意でセッションが切れないデメリットに対する私見

「定期的な鍵交換が必要」に関する私見

「JWTはセッションIDを含めれば安全」に関する私見

通信途中で傍受されてログイン情報が奪われる危険が上がる

アプリから直接ログイン情報が奪われる危険が上がる

通信途中で傍受される危険に関して

アプリから情報が抜かれる危険性に関して

expの期限と任意でセッションが切れないデメリットに関して

定期的な鍵の交換について

「JWTはセッションIDを含めれば安全」について

■東海道新幹線内でFMでNHK ラジオ聴けた

「JWTはセッション IDを含めれば安全」に関する私見

「JWTはセッション IDを含めれば安全」について