アカウント名:
パスワード:
三日前から火狐移行準備をしています概ね現行環境と同じことが出来るようになりましたのでchromeにはいつ亡くなってもらっても構いません大丈夫です
複数のブラウザを使い分けてるので、ブラウザ毎の対策じゃなくて、Proxomitronに回帰しようかと思案しています。
……2010年頃まで使ってた形跡があるんだけど、使わなくなった理由が思い出せない。なんか不具合があったのかなぁ。
主流がABP互換フィルタになって使わなくなった
常時SSLのサイトばかりになったけどプロキシータイプのフィルター使い物になるの?
使ってないんですか。443は、ブラウザ以外、全部垂れ流しですか。
ブラウザ以外ならシステムのプロキシ設定を無視するのも容易だと思うが。ルーターとかでブロックしないの?
いまさら、ブラウザ以外の443は、すべて禁止でいいわけか。なるほどね。
自動セキュリティアップデートの類が全部死ぬと思うけど
そのほうがありがたいくらいでしょ。それでなくても、80で十分でしょう。更新パッケージに署名されていればいいのであって。
個人的にはなぜなにがなんのために443を使うかを説明しないといけない回線には繋ぎたくないかな
いやいやいや…どの更新パッケージが必要なのか漏れてたら、そのパッケージが必要なマシンがどんな攻撃に弱いかダダ漏れですよ。なので更新パッケージがなんなのかはわからないようにすべきで、だから通信経路も暗号化が必要です。
Proxomitronはオレオレ証明書になるがSSLもフィルタできたはず。ブラウザにProxomitronのオレオレ証明書入れて、証明書の検証はProxomitron側に任せる運用ならなんとか。
Privoxyだとできねーのよなこれ…正規表現パターンの組み方や制約が面倒&SSHトンネル(SOCKS)経由とか使いたくて移行したけど、HTTPSがフィルタできないことでだんだん依存度が下がってきているな、自分の場合。
自分でちょろっと改造したら、できるよ。 > privoxy
> 証明書の検証はProxomitron側に任せる運用ならなんとか。
これ根本的に証明書の意味をひっくり返す行為だからよろしくないと思うんだよなHSTSが生まれたのもこういう事例が目に付くようになったからだろ
任されたプロキシが、責任もって、受け取った証明書をOSの証明書検証器に渡す、とかかと
ですね。もう長いこと使ってないけど、期限切れ証明書なサイトにProxomitron経由でアクセスしたらProxomitron側で「証明書が失効してるけどどうしますか」とかポップアップが出てきたような覚えがある。
考え方としては「ブラウザの中」を平文化されても問題ない空間とするか、「ブラウザとローカルプロキシを含む空間」を平文化されても問題ない空間とするか、程度の違いに過ぎない。まぁブラウザ側で証明書の追加的な検証や古い証明書・暗号化の排除が進んでいるから、ローカルプロキシ側もそれに追従させて置かなければならないってー問題もなくはないのだけど。
これ根本的に証明書の意味をひっくり返す行為だからよろしくないと思うんだよな
ESETさんの悪口はそこまでだ
# 正気を疑う実装だったよ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
火狐 (スコア:0)
三日前から火狐移行準備をしています
概ね現行環境と同じことが出来るようになりましたのでchromeにはいつ亡くなってもらっても構いません
大丈夫です
Re:火狐 (スコア:1)
複数のブラウザを使い分けてるので、ブラウザ毎の対策じゃなくて、Proxomitronに回帰しようかと思案しています。
……2010年頃まで使ってた形跡があるんだけど、使わなくなった理由が思い出せない。なんか不具合があったのかなぁ。
Re: (スコア:0)
主流がABP互換フィルタになって使わなくなった
Re: (スコア:0)
常時SSLのサイトばかりになったけどプロキシータイプのフィルター使い物になるの?
Re: (スコア:0)
使ってないんですか。443は、ブラウザ以外、全部垂れ流しですか。
Re: (スコア:0)
ブラウザ以外ならシステムのプロキシ設定を無視するのも容易だと思うが。ルーターとかでブロックしないの?
Re: (スコア:0)
いまさら、ブラウザ以外の443は、すべて禁止でいいわけか。なるほどね。
Re: (スコア:0)
自動セキュリティアップデートの類が全部死ぬと思うけど
Re: (スコア:0)
そのほうがありがたいくらいでしょ。
それでなくても、80で十分でしょう。更新パッケージに署名されていればいいのであって。
Re: (スコア:0)
個人的にはなぜなにがなんのために443を使うかを説明しないといけない回線には繋ぎたくないかな
Re: (スコア:0)
いやいやいや…
どの更新パッケージが必要なのか漏れてたら、そのパッケージが必要なマシンがどんな攻撃に弱いかダダ漏れですよ。
なので更新パッケージがなんなのかはわからないようにすべきで、だから通信経路も暗号化が必要です。
Re: (スコア:0)
Proxomitronはオレオレ証明書になるがSSLもフィルタできたはず。
ブラウザにProxomitronのオレオレ証明書入れて、証明書の検証はProxomitron側に任せる運用ならなんとか。
Privoxyだとできねーのよなこれ…
正規表現パターンの組み方や制約が面倒&SSHトンネル(SOCKS)経由とか使いたくて移行したけど、
HTTPSがフィルタできないことでだんだん依存度が下がってきているな、自分の場合。
Re: (スコア:0)
自分でちょろっと改造したら、できるよ。 > privoxy
Re: (スコア:0)
> 証明書の検証はProxomitron側に任せる運用ならなんとか。
これ根本的に証明書の意味をひっくり返す行為だからよろしくないと思うんだよな
HSTSが生まれたのもこういう事例が目に付くようになったからだろ
Re: (スコア:0)
任されたプロキシが、責任もって、受け取った証明書をOSの証明書検証器に渡す、とかかと
Re: (スコア:0)
ですね。
もう長いこと使ってないけど、期限切れ証明書なサイトにProxomitron経由でアクセスしたら
Proxomitron側で「証明書が失効してるけどどうしますか」とかポップアップが出てきたような覚えがある。
考え方としては「ブラウザの中」を平文化されても問題ない空間とするか、
「ブラウザとローカルプロキシを含む空間」を平文化されても問題ない空間とするか、程度の違いに過ぎない。
まぁブラウザ側で証明書の追加的な検証や古い証明書・暗号化の排除が進んでいるから、
ローカルプロキシ側もそれに追従させて置かなければならないってー問題もなくはないのだけど。
Re: (スコア:0)
> 証明書の検証はProxomitron側に任せる運用ならなんとか。
これ根本的に証明書の意味をひっくり返す行為だからよろしくないと思うんだよな
ESETさんの悪口はそこまでだ
# 正気を疑う実装だったよ