アカウント名:
パスワード:
こんなひどいことをしたもんですね、これは盗聴行為ですね。
リンク先を見ると、タイトルこそ「帯域制御」と穏やかだが、記事では「中間者攻撃」「プライバシー侵害」「マルウェアへ誘導」等と厳しい表現が並んでる
帯域絞るにしても、もっとマシな方法あるだろうに…こんな手口が蔓延したら嫌だなぁ
SSL通信に対してMITMとしてあれこれやる [mcafee.com]のは今更何を騒いでいるのって話だけど。その証明書はまずいな。
ま、あれこれやる時点で嫌いだけど。
まさに何を今更なんだけど、だからって黙って見過ごしてたら認めちゃう事になる。無駄だと思ってても、見付ける度に「嫌なんじゃ~!!」って騒ぐ人の方が偉いと思う。
# でもここで騒いでもなぁ…、って意見には同意しちゃうけど。
>SSL通信に対してMITMとしてあれこれやるのは今更何を騒いでいるのって話だけど。その証明書はまずいな。
出来る出来ないの話をしているわけではないのですが。
資料を読んでも仕組みがわかりませんでしたがMWGのSSL scannerやGogoの件はクライアント側で回避できないのでしょうか?
本当に帯域を絞るためだと思う?プロキシでキャッシュやアクセレータをSSLにまで適用するためなんじゃないかな。
オレオレ証明書であることがブラウザの警告ですぐわかるんだから、そこまで悪質とは思えないな。
オレオレ証明書は便利だけど、知らない人から来たそれをアクセプトする人ってなんなんでしょうね。そういう人のリストが押し売りとかに使われるんだろうな。同情できないわ。
いや、知らない人から来たら皆拒否するから、記事の行為に繋がったんだろ?Google様の名を騙れば、素人は皆信用するだろ、って。証明書の仕組みを知らない人は、Googleって書かれたら騙されてもおかしくはない。
正直に「GoGo」のドメインを前面に出した証明書にしておけば問題ないのに、なぜ他社の名を騙ったのかって言えば、きっと自社は信頼のおけない会社だと自負しているんだろう。自覚があるんだな。
Gogoのサービスを使ったことが無いので予想だけど、これはGoogleだから偽造したんじゃなくて、そういう仕組みなんだと思うよ。https://www.yahoo.com/ [yahoo.com]なら、www.yahoo.comのオレオレ証明書が付いてると思う。
飛行機内にプロキシみたいな装置があり、それがキャッシュをしているか、データを圧縮しているんだと思う。ただ、SSLだとそれができないので、SSL通信は一旦その装置でデコードして、偽の証明書を付けてPCに流してるだけ。いわゆるMITM攻撃と同じ手法だけど、最近のセキュリティ製品ではよく使われているよ。
Googleを名乗ったからGoogleだと思うとかどんだけ素直なんだよ。そんなんだと消防署のほうから来た人に消火器買わされるぞ?
テンプレ乙じゃあどうやって見分けるのさ
信頼できる人から信頼できる方法で受け取った以外のオレオレ証明書なんか受け入れなきゃいいでしょ。
オレオレ証明書の意味が分からない、って自分でわかってる人なら、自分のブラウザ上に表示されてるものは改竄されてるかもしれないし通信は盗聴れてるかもしれないってことがわかるはず。それをわかって使う分には、見分けられなくても問題なんじゃない?
自分はブラウザにプリインストールされてる証明書も信用してないからhttpsでも常に改竄や盗聴の可能性があると思って使ってるけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
よくもまあ (スコア:0)
こんなひどいことをしたもんですね、これは盗聴行為ですね。
Re:よくもまあ (スコア:0)
リンク先を見ると、タイトルこそ「帯域制御」と穏やかだが、
記事では「中間者攻撃」「プライバシー侵害」「マルウェアへ誘導」等と
厳しい表現が並んでる
帯域絞るにしても、もっとマシな方法あるだろうに…
こんな手口が蔓延したら嫌だなぁ
Re:よくもまあ (スコア:2)
SSL通信に対してMITMとしてあれこれやる [mcafee.com]のは今更何を騒いでいるのって話だけど。その証明書はまずいな。
ま、あれこれやる時点で嫌いだけど。
Re: (スコア:0)
まさに何を今更なんだけど、だからって黙って見過ごしてたら認めちゃう事になる。
無駄だと思ってても、見付ける度に「嫌なんじゃ~!!」って騒ぐ人の方が偉いと思う。
# でもここで騒いでもなぁ…、って意見には同意しちゃうけど。
Re: (スコア:0)
>SSL通信に対してMITMとしてあれこれやるのは今更何を騒いでいるのって話だけど。その証明書はまずいな。
出来る出来ないの話をしているわけではないのですが。
Re: (スコア:0)
資料を読んでも仕組みがわかりませんでしたが
MWGのSSL scannerやGogoの件はクライアント側で回避できないのでしょうか?
Re: (スコア:0)
本当に帯域を絞るためだと思う?
プロキシでキャッシュやアクセレータをSSLにまで適用するためなんじゃないかな。
オレオレ証明書であることがブラウザの警告ですぐわかるんだから、そこまで悪質とは思えないな。
Re: (スコア:0)
オレオレ証明書は便利だけど、知らない人から来たそれをアクセプトする人ってなんなんでしょうね。
そういう人のリストが押し売りとかに使われるんだろうな。同情できないわ。
Re: (スコア:0)
いや、知らない人から来たら皆拒否するから、記事の行為に繋がったんだろ?
Google様の名を騙れば、素人は皆信用するだろ、って。
証明書の仕組みを知らない人は、Googleって書かれたら騙されてもおかしくはない。
正直に「GoGo」のドメインを前面に出した証明書にしておけば問題ないのに、
なぜ他社の名を騙ったのかって言えば、きっと自社は信頼のおけない会社だと
自負しているんだろう。自覚があるんだな。
Re:よくもまあ (スコア:1)
Gogoのサービスを使ったことが無いので予想だけど、これはGoogleだから偽造したんじゃなくて、そういう仕組みなんだと思うよ。
https://www.yahoo.com/ [yahoo.com]なら、www.yahoo.comのオレオレ証明書が付いてると思う。
飛行機内にプロキシみたいな装置があり、それがキャッシュをしているか、データを圧縮しているんだと思う。
ただ、SSLだとそれができないので、SSL通信は一旦その装置でデコードして、偽の証明書を付けてPCに流してるだけ。
いわゆるMITM攻撃と同じ手法だけど、最近のセキュリティ製品ではよく使われているよ。
Re: (スコア:0)
Googleを名乗ったからGoogleだと思うとかどんだけ素直なんだよ。
そんなんだと消防署のほうから来た人に消火器買わされるぞ?
Re: (スコア:0)
テンプレ乙
じゃあどうやって見分けるのさ
Re: (スコア:0)
信頼できる人から信頼できる方法で受け取った以外の
オレオレ証明書なんか受け入れなきゃいいでしょ。
オレオレ証明書の意味が分からない、って自分でわかってる人なら、
自分のブラウザ上に表示されてるものは改竄されてるかもしれないし
通信は盗聴れてるかもしれないってことがわかるはず。
それをわかって使う分には、見分けられなくても問題なんじゃない?
自分はブラウザにプリインストールされてる証明書も信用してないから
httpsでも常に改竄や盗聴の可能性があると思って使ってるけど。