![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2025-04-15T10:07:24+00:00","default:iseki","iseki") ** sl_relay [#f79ea2d2] - アクセスリストにより,マシン単位で Viewerの接続制御ができます. - Viewer <--> [[sl_relay]]間でTCP通信を HTTPSにする事が可能です(デフォルトはHTTP).サイト内の全てのユーザを信頼できない限りは HTTPSを使用するべきです. - localhost内にクラッカーがいる場合は,プロセス間の通信内容を盗聴される恐れがあります.ただしもし localhost 内にクラッカーがいるとすれば,別のもっと重大な問題が発生するでしょう. - Dosアタックについては未検証(恐らく [[sl_relay]]は止まってしまう?) ** 中継プロセスコントローラ [#x49bbf54] - 中継プロセスコントローラは localhost 以外からのパケットは無視します. - 中継プロセスコントローラは,受信したコマンドに対してパスワードによる検査を行います. ** 中継プロセス [#l7f18994] - 最初に通信を開始したViewerを記憶しており(IPアドレスとポート番号),それ以外の相手からの通信は無視します. - ViewerのIPアドレスとポート番号またはSIMサーバのIPアドレスとポート番号を送信元として偽装した場合,UDP中継プロセスに対して偽のパケットを送り込む事が可能です.ただし,これは元々[[Second Life]]に存在している脆弱性です. - HTTPSを使用していない場合,ViewerのIPアドレスとポート番号を送信元として偽装することにより,HTTPS中継プロセスに対して偽のパケットを送り込む事が可能です. *** ViewerのWEBプロキシ機能を使用している場合 [#bfc39a72] - ViewerのWEBプロキシ機能を使用している場合,中継プロセスでIPアドレスとポート番号を認識し直す隙をついて,セッションを乗っ取ることが可能です.かなりの腕がいるとは思いますが,論理的には可能です.ただし,TCP通信にHTTPSを使用している場合はHTTPS中継プロセスを乗っ取ることは(実時間内には)不可能です. *** 偽のパケットの注入 [#kc63c55f] - キャッシュされたテクスチャデータやSIMサーバからのUDPデータについて,送信元IPアドレス,ポート番号を偽装された場合,偽のパケットを流し込まれる危険性があります.ただし,これは元々[[Second Life]]に存在している脆弱性です.
