アカウント名:
パスワード:
Cloudflareを使って、無料でSSLサイトを作ってる人大勢いるけど提供元とCloudflare間の暗号はなしで、なおかつCloudflareがMITMの仲介人になっているそういった現状を理解してる人は少ないと思う。
ユーザーと提供元(運営サーバー)間の通信が完全に暗号化されていて、誰も読めないという保証がHTTPS鍵アイコンなのに。
この検出アドイン [mozilla.org]を入れて数日使ってるけど、オレオレHTTPSの多さに驚くよ。
錠アイコンで保証されているのは、ユーザーとフロントエンドのWebサーバ(リバースプロキシを含む)までです。CloudFlare はリバースプロキシなので、ユーザーと CloudFlare の間の暗号化が保証されているだけです。
CloudFlare に限らず、サイトによってはバックエンドのWebサーバと平文で通信しているかもしれないし、データベースサーバと個人情報をインターネット経由で平文で通信しているかもしれないし、担当者に平文でメール送信しているかもしれません。そこらへんの安全性は HTTPS ではもともと保証されていません。
「CloudFlare はリバースプロキシなので、ユーザーと CloudFlare の間の暗号化が保証」
確かにそうだけど、パッと見てCloudflareが挟まってるかどうかなんて開発コンソール開いてみるか、元コメのアドオンを使うか、ファイアウォールのログでも見ない限りわからないよね。
暗号化通信やってるように見せかけて、実はCloudflareが読んでいた ←これだと暗号化の意味がない気がするんだけど。
まぁ俺のサイトはLetsEncryptをつかってて、Cloudflare噛ましてないから別にいいけど。
Cloudflareが間に挟まってるとまずいの?Cloudflareが信頼できない会社だというソースは?
間に入ってるのがやばい!とか言い始めたらISPだってやばくなっちゃうじゃん。
ISPのオレオレ証明書を使ってプロキシ通してない限りはISPはヤバくないと思う。少なくとも「どこに通信しているか」は見えても「何を通信しているか」は見えない。
これはソース提示されてないよね。
というか、むしろ疑うならブラウザの開発元じゃね?或いは怪しげなプラグインの開発元とかね。
ぶっちゃけ、CloudFlareよりCloudFlare検出プラグインの開発元のほうが遙かに怪しげに見えるのだが。mozillaのダウンロードサイトを見る限り、開発者は登録してまだ2ヶ月も経ってないただの個人×2。法的な責任能力なんて不明で、その点では外部からチェックできる企業より遙かに劣る。そして他に何か公開している実績があるわけでもない。
株式会社として上場して、それなりに世間から監視の目も入っているCloudFlareに比べて「信用できる」と考える根拠は一体何処にあるのやら。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
HTTPSを「借りる」のはやめよう。 (スコア:1)
Cloudflareを使って、無料でSSLサイトを作ってる人大勢いるけど
提供元とCloudflare間の暗号はなしで、なおかつCloudflareがMITMの仲介人になっている
そういった現状を理解してる人は少ないと思う。
ユーザーと提供元(運営サーバー)間の通信が完全に暗号化されていて、誰も読めないという保証がHTTPS鍵アイコンなのに。
この検出アドイン [mozilla.org]を入れて数日使ってるけど、オレオレHTTPSの多さに驚くよ。
Re: (スコア:5, 参考になる)
錠アイコンで保証されているのは、ユーザーとフロントエンドのWebサーバ(リバースプロキシを含む)までです。CloudFlare はリバースプロキシなので、ユーザーと CloudFlare の間の暗号化が保証されているだけです。
CloudFlare に限らず、サイトによってはバックエンドのWebサーバと平文で通信しているかもしれないし、データベースサーバと個人情報をインターネット経由で平文で通信しているかもしれないし、担当者に平文でメール送信しているかもしれません。そこらへんの安全性は HTTPS ではもともと保証されていません。
Re: (スコア:0)
「CloudFlare はリバースプロキシなので、ユーザーと CloudFlare の間の暗号化が保証」
確かにそうだけど、パッと見てCloudflareが挟まってるかどうかなんて
開発コンソール開いてみるか、元コメのアドオンを使うか、ファイアウォールのログでも見ない限りわからないよね。
暗号化通信やってるように見せかけて、実はCloudflareが読んでいた ←これだと暗号化の意味がない気がするんだけど。
まぁ俺のサイトはLetsEncryptをつかってて、Cloudflare噛ましてないから別にいいけど。
Re: (スコア:0)
Cloudflareが間に挟まってるとまずいの?
Cloudflareが信頼できない会社だというソースは?
間に入ってるのがやばい!とか言い始めたらISPだってやばくなっちゃうじゃん。
Re:HTTPSを「借りる」のはやめよう。 (スコア:0)
間に入ってるのがやばい!とか言い始めたらISPだってやばくなっちゃうじゃん。
ISPのオレオレ証明書を使ってプロキシ通してない限りはISPはヤバくないと思う。
少なくとも「どこに通信しているか」は見えても「何を通信しているか」は見えない。
Cloudflareが間に挟まってるとまずいの?
Cloudflareが信頼できない会社だというソースは?
これはソース提示されてないよね。
というか、むしろ疑うならブラウザの開発元じゃね?
或いは怪しげなプラグインの開発元とかね。
ぶっちゃけ、CloudFlareよりCloudFlare検出プラグインの開発元のほうが遙かに怪しげに見えるのだが。
mozillaのダウンロードサイトを見る限り、開発者は登録してまだ2ヶ月も経ってないただの個人×2。
法的な責任能力なんて不明で、その点では外部からチェックできる企業より遙かに劣る。
そして他に何か公開している実績があるわけでもない。
株式会社として上場して、それなりに世間から監視の目も入っているCloudFlareに比べて「信用できる」と考える根拠は一体何処にあるのやら。