パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

HTTPS における「圧縮プロクシ」の利用には注意が必要?」記事へのコメント

  • 素人ですんません。
    誰か教えてください。

    HTTPSって、ブラウザとサーバの間で暗号化してやりとりするのでその間では盗聴できないんだと思っていたんですが、これを見ると盗聴の危険があると言う。
    どういう方法で盗聴されてしまうんですか?

    なんかググってもよくわからなかったので…。おしえてえらいひと!

    • by Anonymous Coward on 2013年01月12日 0時28分 (#2304529)

      HTTPSはP2Pでの暗号化であるのは間違いないよ。
      Man in The Middleと同様の手法を使えば、ユーザに意識させないで
      HTTPSリクエストと応答内容を解析できるってだけ。

      HTTPSの解析をするプロキシ側でSSLのルート証明書、それから
      ペアにする第三者認証局のSSL証明書を用意してブラウザに登録しておく。
      ブラウザがHTTPSのセッション開始する際に、プロキシ側でリクエスト先の
      サーバ証明書を動的に作成して、必要な情報をブラウザに返す。
      SSL証明書作成は演算負荷が高いので、前もって作っておくとか
      一度作った証明書はキャッシュしておくとかするけどね。
      こうすると、ユーザ側に意識させないでHTTPSのリクエスト内容を
      プロキシが全て取得できる。
      もちろん、プロキシとリクエスト先サーバ間はHTTPSで通信するから
      インターネットに平文のパケットが流れるわけではない。

      今回のケースではNokiaが専用プロトコル用意している可能性も高いと思うけどね。

      親コメント

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...