OSDN -- Desarrollar y descargar software de código abierto
Translation Status of Español translation status for es

Foros: 公開討議 (Thread #23182)
Return to Thread list RSS

キャッシュの正当性確認方法について (2009-06-22 19:32 by Anónimo #44516)

2chのほうでもsyuuさんがコメント書いていましたが、なんだかすぐに答えが出そうにない難しそうな話だし、こちらに専用の議論スレッド立ててもよいのでは、と。
以下勝手に転載でつ(http://pc12.2ch.net/test/read.cgi/software/1240813390/151-153

151 :syuu ◆kNzWNgDI2g :2009/06/14(日) 03:54:01 ID:5cluSNdD0
悪意あるキャッシュ差し替えへの対策として、ダイジェストを取ってキャッシュの正当性を確認するって話題があるが、これを実装していないのには海よりも深い理由があってだね・・・。
数日うんうん唸りながらベッドの上で眠れない日々を過ごして考えたんだが、どうにも良い落とし所が見つからんのですよ。

一番問題なのは、計算済みの正しいダイジェストが得られると仮定して、誰がどのタイミングでそのダイジェストを用いてキャッシュ正当性を確認するのか?って所。
動画プレーヤーは、ファイルダウンロードが開始された瞬間から動画を再生しようとするんだよね。
ダウンロードが終わった頃には、きっと半分くらい見終わってる。動画やダウンロード速度によるけど。
でも、ダイジェストを使った正当性の確認って、普通ダウンロードが終わらないと確認不可能なんだよね。
さて、どうしようか?

ここでの妥協点は、既に取得→再生してしまった改竄キャッシュの再生を止めるんじゃなくて、被害者を増やさないようにそのキャッシュURLを「改竄されているキャッシュ」としてマークする仕組みを作る。
(具体的には、対象URLをDHTか中央サーバのDBへ記録しておく)
って聞くと一瞬ああそれなら出来るね。って誰しも思うだろうけれど、実はここにも穴がある。
悪意あるユーザーがキャッシュを片っ端から「改竄されたキャッシュ」とマークしたらどうする?

また、先ほどは計算済みの正しいダイジェストが得られると仮定したけれど、実際には誰かが計算する必要がある。
各々のユーザのGenkidamaでニコ動から直接動画を得た時に計算してDHTへputするのが良さそうに思えるが、ここにも悪意あるユーザが片っ端からputしたら・・・?って問題が残る。


152 :syuu ◆kNzWNgDI2g :2009/06/14(日) 03:55:00 ID:5cluSNdD0
そうすると唯一確実なのは、
 中央サーバで全てのダイジェストを計算し、中央サーバで全てのキャッシュ正当性をチェックする場合
になってしまい、ああそれもうP2Pじゃなくね?
ってな訳になる次第で。

恐らくそもそも考え方として確実性をP2Pなシステムに求めるのが誤っているんだよね。
だから、「皆が大丈夫って言ってるからきっと大丈夫なんだよあははー」位の極めて緩やかな信頼度を持たせる辺りを目指さないといけなさそうなんだが、それってどんな仕組みでしょうね。

で、そこまで考えてみて思うのだが、キャッシュ改竄されるとどんな被害が生じうるのでしょう?
所詮動画が差し替えられるに過ぎないので、最悪でもユーザのトラウマが一つ増える位なもんじゃないかと思ってるんだけれど・・・
そこでウルトラC使ってウイルスや攻撃の類のものが出てきたとしたら、そりゃ最早キャッシュ改竄がどうとかいうレイヤーの問題と違う気がするし。
(セキュリティホールが有るなら穴を塞げばいいし、ウイルスならウイルス対策ソフトが除去すべき)

セキュリティ対策の基本は脅威の規模と可能性に応じた対応をするって事だと思うので、竹槍攻撃に備えて核シェルター作るのもなんかなぁ・・・と
おなべのふた 位でなんとかしのげる方法ないっすかねぇ。

153 :syuu ◆kNzWNgDI2g :2009/06/14(日) 03:56:36 ID:5cluSNdD0
ダウンロードが終わらないとダイジェストが確認出来ないのに既に再生されているという問題については、ストリームに対するダイジェストでの整合性確認って手はあるのかもしれないとは思う。
また、ストリームを1MB毎のブロックへ分割しそれぞれダイジェストを取れば”ストリームに対するダイジェストでの整合性確認”に近い事が出来うる。
が、ストリーミングをまさに動画プレーヤーに流している真っ最中にダイジェスト不一致となったら、さて、どうするのが正しい?
何も考えずにぶった切って終了にする?
別のキャッシュを取りに行ってクライアントには動画が継続しているように見せる?
と、まだまだ悩みは尽きない。

Responder al #44516×

You can not use Wiki syntax
You are not logged in. To discriminate your posts from the rest, you need to pick a nickname. (The uniqueness of nickname is not reserved. It is possible that someone else could use the exactly same nickname. If you want assurance of your identity, you are recommended to login before posting.) Entrar

RE: キャッシュの正当性確認方法について (2009-06-22 19:52 by Anónimo #44518)

論点はこんなもんかな?(若干我流超解釈混入注意

・どのようにして「計算済みの正しいダイジェストが得られる」のか?
 →「誰が」得る?
  ⇒中央サーバーで全てダイジェスト計算し、中央サーバで全てのキャッシュ正当性をチェック
   …もはやP2Pか?それ(汗
  ⇒各々のユーザのGenkidamaでニコ動から直接動画を得た時に計算してDHTへputする
   …悪意あるユーザが片っ端からputしたら?
 →「どうやって」得る?
  ⇒1MB毎のブロックへ分割しそれぞれダイジェストを取る方法
   …「整合性確認」に近いことは出来る。
   …もし観てる最中に“不一致”になったら再生ぶった切るの?

・誰がどのタイミングでそのダイジェストを用いてキャッシュ正当性を確認するのか?
 →普通、動画ファイルのダウンロードが終了してからしか計算出来ない。
  ⇒計算終わる前にストリーミングで再生始まってしまう。

・P2Pに確実性は求められないのか?
 →「皆が大丈夫って言ってるからきっと大丈夫なんだよあははー」位の極めて緩やかな信頼度で十分?

・キャッシュ改竄されるとどんな被害が生じうるのか?
 →トラウマ一つ二つくらいなら我慢しないか?

・この対策にどこまでリソース割くべきか?
 →(殆ど起こらないであろう問題にマジになるのは)「竹槍攻撃に備えて核シェルター作る」ようなもの  か。
  …「おなべのふた」で防げない?
Responder al #44516

Responder al #44518×

You can not use Wiki syntax
You are not logged in. To discriminate your posts from the rest, you need to pick a nickname. (The uniqueness of nickname is not reserved. It is possible that someone else could use the exactly same nickname. If you want assurance of your identity, you are recommended to login before posting.) Entrar

RE: キャッシュの正当性確認方法について (2009-06-30 14:38 by syuu #44653)

・誰がどのタイミングでそのダイジェストを用いてキャッシュ正当性を確認するのか?
この件にその手前の3つの話題が繋がっていて、

・中央サーバーで全てダイジェスト計算し、中央サーバで全てのキャッシュ正当性をチェック
・各々のユーザのGenkidamaでニコ動から直接動画を得た時に計算してDHTへputする
この二件はファイルをダウンロードし終わってからダイジェストを取る方法。
その場合再生途中にダイジェストチェックは出来ない。

・1MB毎のブロックへ分割しそれぞれダイジェストを取る方法
こっちは途中でもダイジェストチェックする方法。

で、色々考えてもなかなか落としどころが見つからないのでこの問題は難しいよ、ちょっと置いといて違う事に注力しようというのが今の所の結論。
Responder al #44518

Responder al #44653×

You can not use Wiki syntax
You are not logged in. To discriminate your posts from the rest, you need to pick a nickname. (The uniqueness of nickname is not reserved. It is possible that someone else could use the exactly same nickname. If you want assurance of your identity, you are recommended to login before posting.) Entrar

不正なキャッシュを手動で削除するようにすれば (2009-07-07 18:38 by Anónimo #44786)

1.キャッシュやP2Pを使わず強制的にニコ動からファイルをDLしてキャッシュを置き換える機能を導入する
2.不正なキャッシュが流通していることに気がついたら、そのダイジェストをつけてP2Pネットワークごしにキャッシュ保持者に「削除依頼コマンド」を送信する
3.ダイジェストが一致するキャッシュを保持しているユーザーに削除依頼メッセージを表示する。
4.ユーザーは自分の判断でキャッシュの削除・置き換えを行うか、削除依頼を無視する
Responder al #44516

Responder al #44786×

You can not use Wiki syntax
You are not logged in. To discriminate your posts from the rest, you need to pick a nickname. (The uniqueness of nickname is not reserved. It is possible that someone else could use the exactly same nickname. If you want assurance of your identity, you are recommended to login before posting.) Entrar

RE: 不正なキャッシュを手動で削除するようにすれば (2009-07-08 02:34 by token #44791)

ああ、とりあえず被害を受けてしまってからネットワークにアドバタイズするって方向からいくのね。
人海戦術が取れるなら、DHTとnicovideoの両方から取得して比較する検証クライアントになってもらうってのも可能かもしれない。
或いは、10回に1回くらいはそういう状態を強制してDHTネットに貢献してもらうとか。
確実性の確保は無理だけど、まあやらないよりはマシというくらいには効果があるかもしれん。

やっぱ、一次提供元からdigestが取れれば理想なんだが・・

なんかないかなあ、nicovideoがthumbinfo.xmlにdigestを載せないといけなくなるような情況って。
それが説得力のある形で指摘できれば、あちらさんが行動に移して、僕らがウハウハになれるのに。
Responder al #44786

Responder al #44791×

You can not use Wiki syntax
You are not logged in. To discriminate your posts from the rest, you need to pick a nickname. (The uniqueness of nickname is not reserved. It is possible that someone else could use the exactly same nickname. If you want assurance of your identity, you are recommended to login before posting.) Entrar

RE: 不正なキャッシュを手動で削除するようにすれば (2009-07-09 01:53 by abc #44821)

3.と4.はconfig.propertiesで、Genkidamaに依頼を受けて削除までを一任する自動削除オプションを設けてもよいかも。(default値はtrueにしておく。)
かつ、
「削除をしない」と判断した場合でも、少なくとも流通のほうは強制的に不許可扱いにすべきですね。
Responder al #44786

Responder al #44821×

You can not use Wiki syntax
You are not logged in. To discriminate your posts from the rest, you need to pick a nickname. (The uniqueness of nickname is not reserved. It is possible that someone else could use the exactly same nickname. If you want assurance of your identity, you are recommended to login before posting.) Entrar

RE: 不正なキャッシュを手動で削除するようにすれば (2009-07-09 18:17 by Anónimo #44855)

この場合、削除の自動化やキャッシュ流通抑制は、正当なファイルに対して悪戯で削除依頼される可能性もあるので、慎重になる必要があると思われ。
(自分が直接ニコ動からDLして正当なファイルであることが自明なキャッシュに対する削除要請は自動で蹴るようにしてもいいと思うが)
Responder al #44821

Responder al #44855×

You can not use Wiki syntax
You are not logged in. To discriminate your posts from the rest, you need to pick a nickname. (The uniqueness of nickname is not reserved. It is possible that someone else could use the exactly same nickname. If you want assurance of your identity, you are recommended to login before posting.) Entrar

RE: 不正なキャッシュを手動で削除するようにすれば (2009-07-09 21:27 by abc #44861)

ああそうか、2.(削除依頼発信)は人間が行うんだ。
たとえば1、2までを強制的かつセキュア(人間による介入不可能)に実行することが可能なら、自動に回してもなんとかなりそうな気もするけれど、具体的にどうやったらセキュアに出来るかわからん…。

じゃあ危なくて自動削除なんて出来ないなぁ…
Responder al #44855

Responder al #44861×

You can not use Wiki syntax
You are not logged in. To discriminate your posts from the rest, you need to pick a nickname. (The uniqueness of nickname is not reserved. It is possible that someone else could use the exactly same nickname. If you want assurance of your identity, you are recommended to login before posting.) Entrar