パスワードを忘れた? アカウント作成
7061130 story
インターネット

HTTPS における「圧縮プロクシ」の利用には注意が必要? 31

ストーリー by reo
回避できないならいただけない 部門より

insiderman 曰く、

Nokia 製のいくつかの携帯電話の Web ブラウザでは、Nokia が用意したプロクシを使ってコンテンツを圧縮して転送することで通信の高速化やトラフィックの削減を図っているのだが、HTTPS についてもこのプロクシ経由で通信が行われているため、プロクシサーバーは携帯電話と Web サーバー間で行われた通信の内容を見ることができてしまう (Treasure Hunt の記事The Next Web の記事本家 /. 記事より) 。

Opera Mini や Kindle に搭載された Web ブラウザなどはこれと同様にプロクシサーバーを経由することで高速化を行っているのだが、これらが HTTPS をどう扱っているかは不明。なお、Nokia は一応「Nokia Browser でアクセスしたサイトの URL については Nokia によって収集されるが、個人情報やユーザー名、パスワード、クレジットカード番号といった情報、URL に付加されたパラメータなどは収集しない」とのプライバシステートメントを Web サイトに掲載しているとのこと。

元記事では全体的に Nokia 側を非難する論調だが、このようなプロクシ型サービスを利用しているユーザーはそのセキュリティやプライバシについて一応気に留めておいた方がよいかもしれない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年01月11日 14時47分 (#2304166)

    http://www.opera.com/privacy/ [opera.com]

    Opera Turbo will exclude Web pages located on an intranet or by using secure connections (HTTPS).

    ってことらしいですよ

  • by Anonymous Coward on 2013年01月11日 20時23分 (#2304364)

    HTTPSで通信するデータにマルウェアがないかチェックする、とかで

    [ブラウザ] --- HTTPS:オレオレ証明書 ---- [セキュリティソフトのPROXY] --- HTTPS ---- [目的のサイト]

    みたいにして、暗号化された通信を覗くセキュリティソフトがありました。

    その機能をOFFにすることもできるのですが、「不正な証明書だとブラウザが警告するかもしれませんが問題ありません」
    みたいな説明をしていたので、体験版を速攻でアンインストールしました。

    いまでもあるんでしょうか、そういうの。

    • 暗号化通信を覗くのにはブラウザのアドオンにする方法もある [takagi-hiromitsu.jp]ようです。
      StraceとかLivehttpheadersであれば通信内容を自分で見ることもできますし。

      親コメント
    • by Anonymous Coward

      非常にイカレていることに、ウチの会社のProxyが同様のことを強制してます。技術屋連中が総突っ込みしたにも関わらず、愚かな情企には問題が理解が出来なかったようです。
      これでネットワークの○(うん、さすがに伏せ字にしとく)とか言ってるんだから困ったもんだ。

  • by Anonymous Coward on 2013年01月11日 12時06分 (#2303996)

    素人ですんません。
    誰か教えてください。

    HTTPSって、ブラウザとサーバの間で暗号化してやりとりするのでその間では盗聴できないんだと思っていたんですが、これを見ると盗聴の危険があると言う。
    どういう方法で盗聴されてしまうんですか?

    なんかググってもよくわからなかったので…。おしえてえらいひと!

    •   ∧_∧     __          ∧_∧_     __
       ( ・∀・ )     | i \ \ 盗聴可 ( ・∀|[ニ:|ol   | i \ \ HTTPS
       ( つ つ    | i  l =l  ↓   ( つ ∩ ̄    | i  l =l  ↓
       と_)_)    | |__ノ  ノ⌒~~⌒と_)_)     | |__ノ  ノ⌒~~
                | ̄ ̄| ̄ ̄|                | ̄ ̄| ̄ ̄|
      親コメント
      • by Anonymous Coward on 2013年01月11日 18時32分 (#2304299)

          ∧_∧     __            ∧_∧_     __
         ( ・∀・ )     | i \ \ 盗聴可→ ( ・∀|[ニ:|ol   | i \ \ HTTPS
         ( つ つ    | i  l =l        ( つ ∩ ̄    | i  l =l  ↓
         と_)_)    | |__ノ  ノ⌒~~~⌒と_)_)     | |__ノ  ノ⌒~~
                  | ̄ ̄| ̄ ̄|    ↑            | ̄ ̄| ̄ ̄|
                                            ここは多分保護されてる

        Nokiaに見られちゃうよねって話し。
        だから、Nokiaが内は見ないようにしてますよと弁明してる。
        第3者が盗聴出来るならNokiaがログとって無いです、なんてのは弁明にならないのね。

        親コメント
    • by Anonymous Coward on 2013年01月11日 13時28分 (#2304097)

      要はどこに「ブラウザ」があるか、ってことね。普通のパソコンでいうブラウザはパソコンにインストールされているIEなりSafariなりがブラウザだから、サーバーとブラウザの間のセキュリティは保たれている。ユーザーはブラウザを信用すればいい(あるいは、不審に思えばいい)。あくまで、安全性を保障する主体はブラウザだから。

      ノキア方式の場合、「ブラウザ」が携帯電話端末で完結していなくて、プロクシまで含めた環境になっている。だから実際にHTTPSで通信を行っているのがサーバーとプロクシであって、プロクシと携帯電話の間は別の種類の通信が行われていることになる。こういう通信をIEやサファリのような普通のブラウザで受け取った場合、ブラウザはそれをHTTPSだとは認めないんだけれども、ノキア方式では、プロクシを含めた環境をブラウザにしているわけだから、携帯電話とプロクシ間の通信をノキアの「ブラウザ」が認める以上、それは安全なんだろう、と考えられる。もちろん、それは「ブラウザ」を信じる場合の話であって、ブラウザが信じられない、例えばノキアのソフトなりハードなりに欠陥があればHTTPSと同等の安全性は得られない。

      HTTPSの場合は、例えばプロバイダみたいなところが信頼できなくても、ブラウザ(IE, Safari, Chrome, Friefox, Opera, ...)さえ信頼できれば、安全な通信が行われている。一方で、ノキア方式だと、端末にインストールされているブラウザに加えて、プロクシと携帯端末を繋ぐ通信を信頼できて、初めて安全だといえる。

      親コメント
      • by 90 (35300) on 2013年01月12日 22時43分 (#2304923) 日記

        私の知る限り、この方式を一番古くから広くやってるのはOpera miniなんで、これを「ノキア式」って呼ぶのは違和感ありますね。ガラケーのiアプリとかにあったjigブラウザとかもそうだと思うんですが、J2MEが走る携帯なんてフル機能のブラウザ走らせる余裕はないわけですし、iアプリなんかダウンロード元と同じドメインにしかアクセスできない制約とかありましたし、途中で独自形式にして、端末側はHTML解釈能力もend to end暗号化する能力もない、なんてのはみんなわかってて使ってたのかと。

        # MobileSafariとOpera miniが同じレベルの表示能力を持ってて、同じレベルの端末で動かすと
        # 片方は一度にひとつのタブを描画するので精一杯、もう片方はいくつものタブをぱぱっと切り替えてもすぐ表示してくれる
        # しかもMobileSafariの方がよりモダンなOSで動いてる、なんて状況で、不思議に思わないのかなぁ

        親コメント
      • by FlakTower (32689) on 2013年01月12日 11時30分 (#2304666) 日記

        Blackberryと似たようなもんかと思ったけど、違うんだねぇ。

        # Blackberry Bold 9900のブラウザだと、なぜかここのサイトのコメント欄は1文字入力毎に待たされる…。

        親コメント
      • by Anonymous Coward
        Amazon の Silk もノキアと同系統の方式ですよね?
        • by Anonymous Coward

          そうですが何か?
          あと、AmazonはすべてのKindleを使った通信を見られる立場にいる。
          至極当然なことなんだけどさ。

          #じゃないと業績を落としてまでも端末を安売りする理由はどこにもない

    • by Anonymous Coward on 2013年01月11日 12時23分 (#2304014)

      その理解で正しいが、この場合自分のパソコンから一度Nokiaのプロクシにデータを投げて、Nokiaのプロクシがブラウザの役目をするんだよ。

      ブラウザ→Nokiaのプロクシ→サーバ

      矢印の部分では暗号化されているかもしれないが、間に入っているNokiaのプロクシが悪い事をしていない保障は無いよって話。

      親コメント
    • プロクシが介在する、っていう時点で、それをHTTPSって呼称して良いものなの?

      親コメント
      • by Anonymous Coward on 2013年01月11日 13時41分 (#2304118)

        HTTPSではSSLのリクエストをトンネリングするためのCONNECTというメソッドが定義されていてこれを使うとプロクシの中を素通りして目的サーバとHTTPSを確立することが出来ます。
        これだとプロクシで中身を見ることが出来なくなるのでプロクシの目的(フィルタリング等)によっては拒絶することもあるでしょうね。

        親コメント
      • by Anonymous Coward
        少なくともプロクシサーバとコンテンツサーバの間がHTTPSなのは間違いないな
    • Re: (スコア:0, すばらしい洞察)

      by Anonymous Coward

      Nokiaのオレオレ証明を受け入れる用に、Nokia端末が設定されているのでは?

    • by Anonymous Coward

      日本の某社の事例を参考に考えてみようぜ!!

      http://symple.jp/114.html [symple.jp]

      http://security.srad.jp/story/11/07/05/0212203/%E3%82%BD%E3%83%95%E3%8... [security.srad.jp]

      そう言えば、今もコンテンツ圧

      • by Anonymous Coward

        ガラケーも同じことをやってた。
        そのせいでhttpとhttpsでセッションがつながらなかった。

        • by Anonymous Coward

          あれは逆でしょ。
          HTTPSに切り替わると端末-サーバ間で暗号化されてしまって、ゲートウェイから見えなくなる。
          つまり、のぞいてませんって証拠だよ。

    • by Anonymous Coward

      単純に考えれば圧縮プロキシサーバ←→携帯間は独自プロトコルで,圧縮プロキシサーバから先だけhttpsって話では?

    • by Anonymous Coward

      一言で言うと端末メーカーのインストールしたオレオレ証明書でブラウザを騙す。

    • by Anonymous Coward

      こういうことかな?

      [携帯電話のブラウザ]
       ↓
      [携帯電話内蔵プロクシ]
       ブラウザから受け取ったデータを圧縮してHTTPSでNokiaへ送信
       ↓
      [Nokiaプロクシ]
       HTTPSで受け取って復号
       ※ここで丸見え
       復号したパケットをHTTPSで送信
       ↓
      [送信先サーバ]

      • by Anonymous Coward
        こうじゃないの?
        Androidみたいに自由にブラウザをインストールできるわけじゃないだろうし

        [携帯電話のブラウザ]
         HTTPSなり独自プロトコルなりでNokiaへ送信
         ↓
        [Nokiaプロクシ]
         HTTPSなり独自プロトコルなりで受け取って復号
         ※ここで丸見え
         復号したパケットをHTTPSで送信
         ↓
        [送信先サーバ]
    • by Anonymous Coward

      つ CRIME
      http://en.wikipedia.org/wiki/CRIME_(security_exploit) [wikipedia.org]
      https://docs.google.com/presentation/d/11eBmGiHbYcHR9gL5nDyZChu_-lCa2G... [google.com]

      一定の条件が揃えばHTTPSも盗聴ができるという例です。
      ※今回の件とは完全に別物

    • by Anonymous Coward

      HTTPSはP2Pでの暗号化であるのは間違いないよ。
      Man in The Middleと同様の手法を使えば、ユーザに意識させないで
      HTTPSリクエストと応答内容を解析できるってだけ。

      HTTPSの解析をするプロキシ側でSSLのルート証明書、それから
      ペアにする第三者認証局のSSL証明書を用意してブラウザに登録しておく。
      ブラウザがHTTPSのセッション開始する際に、プロキシ側でリクエスト先の
      サーバ証明書を動的に作成して、必要な情報をブラウザに返す。
      SSL証明書作成は演算負荷が高いので、前もって作っておくとか
      一度作った証明書はキャッシュしておくとかするけどね。
      こうすると、ユーザ側に意識させないでHTTPSのリクエスト内容を
      プロキシが全て取得できる。
      もちろん、プロキシとリクエスト先サーバ間はHTTPSで通信するから
      インターネットに平文のパケットが流れるわけではない。

      今回のケースではNokiaが専用プロトコル用意している可能性も高いと思うけどね。

  • by Anonymous Coward on 2013年01月11日 15時47分 (#2304203)

    WS003SH位の化石スマホでは、スペック的にUCWEBくらいのブラウザしか実用性がないのだけど、
    このwindows ceやmobile対応のソフトも、記事の様に企業側でキャッシュを効かせて通信を高速化する構造。

    しかも、中華企業製であることに、正直、底知れぬ不安と恐怖を感じる。

    WS003SHはもう、wifiでメール着信チェック専用端末かな…

  • by Anonymous Coward on 2013年01月11日 19時14分 (#2304329)

    プロクシに広告ブロック機能を付ければいいのに

typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...