アカウント名:
パスワード:
Cloudflareを使って、無料でSSLサイトを作ってる人大勢いるけど提供元とCloudflare間の暗号はなしで、なおかつCloudflareがMITMの仲介人になっているそういった現状を理解してる人は少ないと思う。
ユーザーと提供元(運営サーバー)間の通信が完全に暗号化されていて、誰も読めないという保証がHTTPS鍵アイコンなのに。
この検出アドイン [mozilla.org]を入れて数日使ってるけど、オレオレHTTPSの多さに驚くよ。
錠アイコンで保証されているのは、ユーザーとフロントエンドのWebサーバ(リバースプロキシを含む)までです。CloudFlare はリバースプロキシなので、ユーザーと CloudFlare の間の暗号化が保証されているだけです。
CloudFlare に限らず、サイトによってはバックエンドのWebサーバと平文で通信しているかもしれないし、データベースサーバと個人情報をインターネット経由で平文で通信しているかもしれないし、担当者に平文でメール送信しているかもしれません。そこらへんの安全性は HTTPS ではもともと保証されていません。
「CloudFlare はリバースプロキシなので、ユーザーと CloudFlare の間の暗号化が保証」
確かにそうだけど、パッと見てCloudflareが挟まってるかどうかなんて開発コンソール開いてみるか、元コメのアドオンを使うか、ファイアウォールのログでも見ない限りわからないよね。
暗号化通信やってるように見せかけて、実はCloudflareが読んでいた ←これだと暗号化の意味がない気がするんだけど。
まぁ俺のサイトはLetsEncryptをつかってて、Cloudflare噛ましてないから別にいいけど。
Cloudflareが間に挟まってるとまずいの?Cloudflareが信頼できない会社だというソースは?
間に入ってるのがやばい!とか言い始めたらISPだってやばくなっちゃうじゃん。
ISPのオレオレ証明書を使ってプロキシ通してない限りはISPはヤバくないと思う。少なくとも「どこに通信しているか」は見えても「何を通信しているか」は見えない。
これはソース提示されてないよね。
というか、むしろ疑うならブラウザの開発元じゃね?或いは怪しげなプラグインの開発元とかね。
ぶっちゃけ、CloudFlareよりCloudFlare検出プラグインの開発元のほう
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
HTTPSを「借りる」のはやめよう。 (スコア:1)
Cloudflareを使って、無料でSSLサイトを作ってる人大勢いるけど
提供元とCloudflare間の暗号はなしで、なおかつCloudflareがMITMの仲介人になっている
そういった現状を理解してる人は少ないと思う。
ユーザーと提供元(運営サーバー)間の通信が完全に暗号化されていて、誰も読めないという保証がHTTPS鍵アイコンなのに。
この検出アドイン [mozilla.org]を入れて数日使ってるけど、オレオレHTTPSの多さに驚くよ。
Re: (スコア:5, 参考になる)
錠アイコンで保証されているのは、ユーザーとフロントエンドのWebサーバ(リバースプロキシを含む)までです。CloudFlare はリバースプロキシなので、ユーザーと CloudFlare の間の暗号化が保証されているだけです。
CloudFlare に限らず、サイトによってはバックエンドのWebサーバと平文で通信しているかもしれないし、データベースサーバと個人情報をインターネット経由で平文で通信しているかもしれないし、担当者に平文でメール送信しているかもしれません。そこらへんの安全性は HTTPS ではもともと保証されていません。
Re:HTTPSを「借りる」のはやめよう。 (スコア:0)
「CloudFlare はリバースプロキシなので、ユーザーと CloudFlare の間の暗号化が保証」
確かにそうだけど、パッと見てCloudflareが挟まってるかどうかなんて
開発コンソール開いてみるか、元コメのアドオンを使うか、ファイアウォールのログでも見ない限りわからないよね。
暗号化通信やってるように見せかけて、実はCloudflareが読んでいた ←これだと暗号化の意味がない気がするんだけど。
まぁ俺のサイトはLetsEncryptをつかってて、Cloudflare噛ましてないから別にいいけど。
Re: (スコア:0)
Cloudflareが間に挟まってるとまずいの?
Cloudflareが信頼できない会社だというソースは?
間に入ってるのがやばい!とか言い始めたらISPだってやばくなっちゃうじゃん。
Re: (スコア:0)
間に入ってるのがやばい!とか言い始めたらISPだってやばくなっちゃうじゃん。
ISPのオレオレ証明書を使ってプロキシ通してない限りはISPはヤバくないと思う。
少なくとも「どこに通信しているか」は見えても「何を通信しているか」は見えない。
Cloudflareが間に挟まってるとまずいの?
Cloudflareが信頼できない会社だというソースは?
これはソース提示されてないよね。
というか、むしろ疑うならブラウザの開発元じゃね?
或いは怪しげなプラグインの開発元とかね。
ぶっちゃけ、CloudFlareよりCloudFlare検出プラグインの開発元のほう