新たにカーネルでTCPオプションヘッダに書き込んだ情報をTCPセッション確立時にユーザランドでどう取得すべきか - 人間とウェブの未来

追記:2020-06-05 このエントリの背景が雑だったので以下に補足記事を書きました。先にこちらに目を通していただいた方が良いかもしれません。 https://hb.matsumoto-r.jp/entry/2020/06/05/110709 speakerdeck.com 今tcprivというソフトウェアを開発しているのだが、細かい内容については上記のスライドを見てもらうとして、やりたいことは、TCPセッションを確立するプロセスのオーナ情報を接続先のプロセスで透過的に検証するという処理である。 github.com 以下ではその実装の概要を紹介しつつ、今検討していることについてお話したい。 接続元プロセスは一般ユーザを想定しており、脆弱性などによって悪意のあるユーザにのっとられることもありうるし、とあるプロセスが利用する認証情報も漏れることがあることを想定している。 しかし、情報が漏れ

[kazuhooku]

攻撃側がTCP/IPパケットをinjectできない、っていう仮定は脆弱にすぎる、というのが共通認識だと思う。だから皆、TLSの上で双方向ストリーム流してるわけで

[matsumoto_r]

書いた