アカウント名:
パスワード:
組織のプライベートネットワーク内の通信を覗くためという話ですが、たぶんプライベートネットワーク内ではなく、外部との通信内容を覗き見るために使われたのでしょう。あくまで、覗き見した場所がプライベートネットワーク内だったというだけで。そうでなくては、Google関連のドメインが不正に使われた理由が不明。
内部統制で社員がどんな動画を見てんだ、どんなファイルをクラウドにアップロードしてるんだ、というような検査をする場合にSSLを使われると内容がわかりません。
最近は内部統制はもちろん、標的型攻撃による情報盗難に対抗するため出口対策をとっているところも多いと思いますが
サーバ証明書をでっち上げるわけですから、少なくとも証明書のSubject(CN)を本物の証明書と合わせておかないとブラウザでホスト名不一致の警告が出てしまいます。(SubjectAltName拡張の場合もあり)
Googleだけ狙い撃ちにしたわけじゃなく単にあらゆるドメイン宛の通信を検閲していて、Chromeが「Googleサイトの証明書なのにGoogleの認証局(Google Internet Authority)を使っていない、おかしいぞ!?」と検知しただけなのかなと。そのアラートが無断でGoogleにアップされるのはどうよ?という疑問はあるけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
内部統制として不都合なSSL (スコア:0)
組織のプライベートネットワーク内の通信を覗くためという話ですが、
たぶんプライベートネットワーク内ではなく、外部との通信内容を覗き
見るために使われたのでしょう。
あくまで、覗き見した場所がプライベートネットワーク内だったという
だけで。
そうでなくては、Google関連のドメインが不正に使われた理由が不明。
内部統制で社員がどんな動画を見てんだ、どんなファイルをクラウドに
アップロードしてるんだ、というような検査をする場合にSSLを使われる
と内容がわかりません。
最近は内部統制はもちろん、標的型攻撃による情報盗難に対抗するため
出口対策をとっているところも多いと思いますが
Re:内部統制として不都合なSSL (スコア:1)
サーバ証明書をでっち上げるわけですから、少なくとも証明書のSubject(CN)を本物の証明書と合わせておかないとブラウザでホスト名不一致の警告が出てしまいます。(SubjectAltName拡張の場合もあり)
Googleだけ狙い撃ちにしたわけじゃなく単にあらゆるドメイン宛の通信を検閲していて、Chromeが「Googleサイトの証明書なのにGoogleの認証局(Google Internet Authority)を使っていない、おかしいぞ!?」と検知しただけなのかなと。
そのアラートが無断でGoogleにアップされるのはどうよ?という疑問はあるけど。