アカウント名:
パスワード:
Proxy製品の中には、ご丁寧にもProxyで一旦復号して中身をチェックした上で、暗号化してクライアントに渡すやつもあるんだとか。
前に調べたときは、普通にMan-In-The-Middleでした。 警告が出ないようにするときは、あらかじめ(製品用の)ルート証明書をユーザエージェントに喰わせておきます。 なんだかなぁ。
それでも、URLと証明書のホスト名が合わない、って警告は出るんちゃう?
リクエストされたURI用のサーバ証明書を勝手に生成し、ねじ込んでおいたルート証明書の非公開鍵で署名すれば警告出ないでしょう。 アプライアンスでキャッシュしておけば、次からは生成せずに済むだろうし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
暗号化しとけばいいのに (スコア:0)
Re: (スコア:0)
そのProxyはhttpsを遮断します。
フォームのPostも遮断しますし、Getも長いものは遮断します。
Re:暗号化しとけばいいのに (スコア:2, 興味深い)
実物は見たことが無いんですけど、認証はどうするんだろうか?
Re:暗号化しとけばいいのに (スコア:3, 参考になる)
前に調べたときは、普通にMan-In-The-Middleでした。
警告が出ないようにするときは、あらかじめ(製品用の)ルート証明書をユーザエージェントに喰わせておきます。
なんだかなぁ。
Re:暗号化しとけばいいのに (スコア:1)
Re:暗号化しとけばいいのに (スコア:1)
リクエストされたURI用のサーバ証明書を勝手に生成し、ねじ込んでおいたルート証明書の非公開鍵で署名すれば警告出ないでしょう。 アプライアンスでキャッシュしておけば、次からは生成せずに済むだろうし。
Re:暗号化しとけばいいのに (スコア:1)
Re:暗号化しとけばいいのに (スコア:1)
Re: (スコア:0)
もし警告出さなかったらセキュリティホールと呼んで過言ではありませんな。
Re:暗号化しとけばいいのに (スコア:1)
Re: (スコア:0)