パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

今後のFirefoxの新機能は原則としてHTTPSでのみで利用可能に」記事へのコメント

  • Cloudflareを使って、無料でSSLサイトを作ってる人大勢いるけど
    提供元とCloudflare間の暗号はなしで、なおかつCloudflareがMITMの仲介人になっている
    そういった現状を理解してる人は少ないと思う。

    ユーザーと提供元(運営サーバー)間の通信が完全に暗号化されていて、誰も読めないという保証がHTTPS鍵アイコンなのに。

    この検出アドイン [mozilla.org]を入れて数日使ってるけど、オレオレHTTPSの多さに驚くよ。

    • ユーザーと提供元(運営サーバー)間の通信が完全に暗号化されていて、誰も読めないという保証がHTTPS鍵アイコンなのに。

      錠アイコンで保証されているのは、ユーザーとフロントエンドのWebサーバ(リバースプロキシを含む)までです。CloudFlare はリバースプロキシなので、ユーザーと CloudFlare の間の暗号化が保証されているだけです。

      CloudFlare に限らず、サイトによってはバックエンドのWebサーバと平文で通信しているかもしれないし、データベースサーバと個人情報をインターネット経由で平文で通信しているかもしれないし、担当者に平文でメール送信しているかもしれません。そこらへんの安全性は HTTPS ではもともと保証されていません。

      この検出アドイン [mozilla.org]を入れて数日使ってるけど、オレオレHTTPSの多さに驚くよ。

      そのアドオンの説明をざっと読みましたが、デフォルトでは単に CloudFlare を使っているサイトを検出しているだけみたいです。設定変更で、他のMiTMサービス(CloudFlare のようなリバースプロキシのこと?)もブロックできるようです。

      CloudFlare は、HTTPS の使用についてサイト管理者が「Flexible SSL」「Full SSL」「Full SSL (Strict)」の3通りから選択することができ、「Full SSL (Strict)」では「提供元とCloudflare間の暗号はなし」ではなく HTTPS で暗号化されます(What do the SSL options mean? [cloudflare.com])。ただし、CloudFlare が一度復号してから再度暗号化しているので、CloudFlare が通信内容を知ることができることには変わりありません。

      有料プランでは CloudFlare に証明書を持ち込む(秘密鍵を預ける)こともできるようなので、企業名が表示される EV 証明書でも CloudFlare で MiTMされている可能性があると思われます。

      そのアドオンの説明文では「CloudFlare は諜報機関のようなもので HTTPS の通信を復号しているから MiTM をしていて諜報機関のようなものであって、DDoS 対策のためにこういう巨大な中央集権的な企業を使わなければならないインターネットには重大な欠陥がある」と主張しており、「提供元とCloudflare間の暗号」の有無より、CloudFlare の運営者(やそこから情報を入手できる諜報機関)が HTTPS の通信の内容を知ることができることを問題視しているようです。

      親コメント
      • by Anonymous Coward

        そんなもんコロケーションの管理者なら目の前にあるハードから秘密鍵引っこ抜くことも可能だし、CAの関係者も疑えば疑えるわな。
        何かやらかしたエビデンスがあるなら兎も角、特定の商用CDNだけを危険視する理由はあるんだろうか。

      • by Anonymous Coward

        「CloudFlare はリバースプロキシなので、ユーザーと CloudFlare の間の暗号化が保証」

        確かにそうだけど、パッと見てCloudflareが挟まってるかどうかなんて
        開発コンソール開いてみるか、元コメのアドオンを使うか、ファイアウォールのログでも見ない限りわからないよね。

        暗号化通信やってるように見せかけて、実はCloudflareが読んでいた ←これだと暗号化の意味がない気がするんだけど。

        まぁ俺のサイトはLetsEncryptをつかってて、Cloudflare噛ましてないから別にいいけど。

        • by Anonymous Coward

          Cloudflareが間に挟まってるとまずいの?
          Cloudflareが信頼できない会社だというソースは?

          間に入ってるのがやばい!とか言い始めたらISPだってやばくなっちゃうじゃん。

          • by Anonymous Coward

            間に入ってるのがやばい!とか言い始めたらISPだってやばくなっちゃうじゃん。

            ISPのオレオレ証明書を使ってプロキシ通してない限りはISPはヤバくないと思う。
            少なくとも「どこに通信しているか」は見えても「何を通信しているか」は見えない。

            Cloudflareが間に挟まってるとまずいの?
            Cloudflareが信頼できない会社だというソースは?

            これはソース提示されてないよね。

            というか、むしろ疑うならブラウザの開発元じゃね?
            或いは怪しげなプラグインの開発元とかね。

            ぶっちゃけ、CloudFlareよりCloudFlare検出プラグインの開発元のほう

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...