アカウント名:
パスワード:
Cloudflareを使って、無料でSSLサイトを作ってる人大勢いるけど提供元とCloudflare間の暗号はなしで、なおかつCloudflareがMITMの仲介人になっているそういった現状を理解してる人は少ないと思う。
ユーザーと提供元(運営サーバー)間の通信が完全に暗号化されていて、誰も読めないという保証がHTTPS鍵アイコンなのに。
この検出アドイン [mozilla.org]を入れて数日使ってるけど、オレオレHTTPSの多さに驚くよ。
錠アイコンで保証されているのは、ユーザーとフロントエンドのWebサーバ(リバースプロキシを含む)までです。CloudFlare はリバースプロキシなので、ユーザーと CloudFlare の間の暗号化が保証されているだけです。
CloudFlare に限らず、サイトによってはバックエンドのWebサーバと平文で通信しているかもしれないし、データベースサーバと個人情報をインターネット経由で平文で通信しているかもしれないし、担当者に平文でメール送信しているかもしれません。そこらへんの安全性は HTTPS ではもともと保証されていません。
そのアドオンの説明をざっと読みましたが、デフォルトでは単に CloudFlare を使っているサイトを検出しているだけみたいです。設定変更で、他のMiTMサービス(CloudFlare のようなリバースプロキシのこと?)もブロックできるようです。
CloudFlare は、HTTPS の使用についてサイト管理者が「Flexible SSL」「Full SSL」「Full SSL (Strict)」の3通りから選択することができ、「Full SSL (Strict)」では「提供元とCloudflare間の暗号はなし」ではなく HTTPS で暗号化されます(What do the SSL options mean? [cloudflare.com])。ただし、CloudFlare が一度復号してから再度暗号化しているので、CloudFlare が通信内容を知ることができることには変わりありません。
有料プランでは CloudFlare に証明書を持ち込む(秘密鍵を預ける)こともできるようなので、企業名が表示される EV 証明書でも CloudFlare で MiTMされている可能性があると思われます。
そのアドオンの説明文では「CloudFlare は諜報機関のようなもので HTTPS の通信を復号しているから MiTM をしていて諜報機関のようなものであって、DDoS 対策のためにこういう巨大な中央集権的な企業を使わなければならないインターネットには重大な欠陥がある」と主張しており、「提供元とCloudflare間の暗号」の有無より、CloudFlare の運営者(やそこから情報を入手できる諜報機関)が HTTPS の通信の内容を知ることができることを問題視しているようです。
そんなもんコロケーションの管理者なら目の前にあるハードから秘密鍵引っこ抜くことも可能だし、CAの関係者も疑えば疑えるわな。何かやらかしたエビデンスがあるなら兎も角、特定の商用CDNだけを危険視する理由はあるんだろうか。
「CloudFlare はリバースプロキシなので、ユーザーと CloudFlare の間の暗号化が保証」
確かにそうだけど、パッと見てCloudflareが挟まってるかどうかなんて開発コンソール開いてみるか、元コメのアドオンを使うか、ファイアウォールのログでも見ない限りわからないよね。
暗号化通信やってるように見せかけて、実はCloudflareが読んでいた ←これだと暗号化の意味がない気がするんだけど。
まぁ俺のサイトはLetsEncryptをつかってて、Cloudflare噛ましてないから別にいいけど。
Cloudflareが間に挟まってるとまずいの?Cloudflareが信頼できない会社だというソースは?
間に入ってるのがやばい!とか言い始めたらISPだってやばくなっちゃうじゃん。
ISPのオレオレ証明書を使ってプロキシ通してない限りはISPはヤバくないと思う。少なくとも「どこに通信しているか」は見えても「何を通信しているか」は見えない。
これはソース提示されてないよね。
というか、むしろ疑うならブラウザの開発元じゃね?或いは怪しげなプラグインの開発元とかね。
ぶっちゃけ、CloudFlareよりCloudFlare検出プラグインの開発元のほう
その理屈だとAWS EC2とかのクラウドサーバも全部ダメになってかなり厳しくないですかね私は私の個人サイトに自宅サーバとnginxを使ってサイトのHTTPSを解決してるのでかなり盗聴体制は高いですがそもそも自前のサーバ使ってる人がもはや少ないのでは
> その理屈だとAWS EC2とかのクラウドサーバも全部ダメになってちょっと読み違えてない?以下の違いを言ってると思うけど。
1)ブラウザ ---------「AWS EC2施設ーーーAWSサーバー郡」
2)ブラウザ----Cloudflare----「自前サーバー または AWS」
3)ブラウザ ---------「私の個人サイト」
問題なのは2であって、1や3の話は誰もしてないよ。1については、AWSが最終ゴール。その中でHTTPSからHTTPになってようが、施設内だから関係ない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
HTTPSを「借りる」のはやめよう。 (スコア:1)
Cloudflareを使って、無料でSSLサイトを作ってる人大勢いるけど
提供元とCloudflare間の暗号はなしで、なおかつCloudflareがMITMの仲介人になっている
そういった現状を理解してる人は少ないと思う。
ユーザーと提供元(運営サーバー)間の通信が完全に暗号化されていて、誰も読めないという保証がHTTPS鍵アイコンなのに。
この検出アドイン [mozilla.org]を入れて数日使ってるけど、オレオレHTTPSの多さに驚くよ。
Re:HTTPSを「借りる」のはやめよう。 (スコア:5, 参考になる)
錠アイコンで保証されているのは、ユーザーとフロントエンドのWebサーバ(リバースプロキシを含む)までです。CloudFlare はリバースプロキシなので、ユーザーと CloudFlare の間の暗号化が保証されているだけです。
CloudFlare に限らず、サイトによってはバックエンドのWebサーバと平文で通信しているかもしれないし、データベースサーバと個人情報をインターネット経由で平文で通信しているかもしれないし、担当者に平文でメール送信しているかもしれません。そこらへんの安全性は HTTPS ではもともと保証されていません。
そのアドオンの説明をざっと読みましたが、デフォルトでは単に CloudFlare を使っているサイトを検出しているだけみたいです。設定変更で、他のMiTMサービス(CloudFlare のようなリバースプロキシのこと?)もブロックできるようです。
CloudFlare は、HTTPS の使用についてサイト管理者が「Flexible SSL」「Full SSL」「Full SSL (Strict)」の3通りから選択することができ、「Full SSL (Strict)」では「提供元とCloudflare間の暗号はなし」ではなく HTTPS で暗号化されます(What do the SSL options mean? [cloudflare.com])。ただし、CloudFlare が一度復号してから再度暗号化しているので、CloudFlare が通信内容を知ることができることには変わりありません。
有料プランでは CloudFlare に証明書を持ち込む(秘密鍵を預ける)こともできるようなので、企業名が表示される EV 証明書でも CloudFlare で MiTMされている可能性があると思われます。
そのアドオンの説明文では「CloudFlare は諜報機関のようなもので HTTPS の通信を復号しているから MiTM をしていて諜報機関のようなものであって、DDoS 対策のためにこういう巨大な中央集権的な企業を使わなければならないインターネットには重大な欠陥がある」と主張しており、「提供元とCloudflare間の暗号」の有無より、CloudFlare の運営者(やそこから情報を入手できる諜報機関)が HTTPS の通信の内容を知ることができることを問題視しているようです。
Re: (スコア:0)
そんなもんコロケーションの管理者なら目の前にあるハードから秘密鍵引っこ抜くことも可能だし、CAの関係者も疑えば疑えるわな。
何かやらかしたエビデンスがあるなら兎も角、特定の商用CDNだけを危険視する理由はあるんだろうか。
Re: (スコア:0)
「CloudFlare はリバースプロキシなので、ユーザーと CloudFlare の間の暗号化が保証」
確かにそうだけど、パッと見てCloudflareが挟まってるかどうかなんて
開発コンソール開いてみるか、元コメのアドオンを使うか、ファイアウォールのログでも見ない限りわからないよね。
暗号化通信やってるように見せかけて、実はCloudflareが読んでいた ←これだと暗号化の意味がない気がするんだけど。
まぁ俺のサイトはLetsEncryptをつかってて、Cloudflare噛ましてないから別にいいけど。
Re: (スコア:0)
Cloudflareが間に挟まってるとまずいの?
Cloudflareが信頼できない会社だというソースは?
間に入ってるのがやばい!とか言い始めたらISPだってやばくなっちゃうじゃん。
Re: (スコア:0)
間に入ってるのがやばい!とか言い始めたらISPだってやばくなっちゃうじゃん。
ISPのオレオレ証明書を使ってプロキシ通してない限りはISPはヤバくないと思う。
少なくとも「どこに通信しているか」は見えても「何を通信しているか」は見えない。
Cloudflareが間に挟まってるとまずいの?
Cloudflareが信頼できない会社だというソースは?
これはソース提示されてないよね。
というか、むしろ疑うならブラウザの開発元じゃね?
或いは怪しげなプラグインの開発元とかね。
ぶっちゃけ、CloudFlareよりCloudFlare検出プラグインの開発元のほう
Re:HTTPSを「借りる」のはやめよう。 (スコア:2)
その理屈だとAWS EC2とかのクラウドサーバも全部ダメになってかなり厳しくないですかね
私は私の個人サイトに自宅サーバとnginxを使ってサイトのHTTPSを解決してるのでかなり盗聴体制は高いですが
そもそも自前のサーバ使ってる人がもはや少ないのでは
Re: (スコア:0)
> その理屈だとAWS EC2とかのクラウドサーバも全部ダメになって
ちょっと読み違えてない?以下の違いを言ってると思うけど。
1)
ブラウザ ---------「AWS EC2施設ーーーAWSサーバー郡」
2)
ブラウザ----Cloudflare----「自前サーバー または AWS」
3)
ブラウザ ---------「私の個人サイト」
問題なのは2であって、1や3の話は誰もしてないよ。
1については、AWSが最終ゴール。その中でHTTPSからHTTPになってようが、施設内だから関係ない。