アカウント名:
パスワード:
企業の情シスやってると「なんでもかんでもSSLにすんな」って思っちゃう
もちろん様々な対策を組み合わせて使ってるうちの1つでしかないけど、とは言え「プロキシサーバーで通信内容チェックしてExploit等は遮断する」みたいなのが使えなくなるからねー
SSLだからってプロキシサーバーで内容チェックができないわけじゃないでしょその場合プロキシサーバーが証明書の検証をしないといけないけど
証明書を検証することとExploitを遮断することは無関係なんですが。
Exploitを遮断するためにTLSの通信の中身を覗くなら、当然ながら覗こうとするプロキシサーバー側がTLSの端となる必要があり、その結果を本来のクライアントに中継する必要があります。Exploitでないからといってプロキシサーバーが証明書を検証せずにクライアントに渡せば、それ自体が別の重大な脆弱性です。
「証明書を検証することとExploitを遮断すること」に直接的な関係がないからといって、あなたは本当にそんな対応をするんですか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
うーん (スコア:0)
企業の情シスやってると「なんでもかんでもSSLにすんな」って思っちゃう
もちろん様々な対策を組み合わせて使ってるうちの1つでしかないけど、とは言え「プロキシサーバーで通信内容チェックしてExploit等は遮断する」みたいなのが使えなくなるからねー
Re: (スコア:0)
SSLだからってプロキシサーバーで内容チェックができないわけじゃないでしょ
その場合プロキシサーバーが証明書の検証をしないといけないけど
Re: (スコア:0)
証明書を検証することとExploitを遮断することは無関係なんですが。
Re:うーん (スコア:2)
Exploitを遮断するためにTLSの通信の中身を覗くなら、当然ながら覗こうとするプロキシサーバー側がTLSの端となる必要があり、その結果を本来のクライアントに中継する必要があります。Exploitでないからといってプロキシサーバーが証明書を検証せずにクライアントに渡せば、それ自体が別の重大な脆弱性です。
「証明書を検証することとExploitを遮断すること」に直接的な関係がないからといって、あなたは本当にそんな対応をするんですか?