アカウント名:
パスワード:
>記事では Web であることが強調されているので、じゃあ SSH や VPN でどこかに抜けて……とも思ったが結局金盾が待ち構えているわけで
金盾はVPNの通信内容までは検閲できないので、VPNで海外に抜ければ、金盾はスルーできるんじゃないでしたっけ。現時点では。VPN接続を切断することは出来るけど。で、記事の装置は、「公衆無線LANからVPN張った奴って誰?」というのも含めて、利用者を特定するための装置ってことなんでは。
そこでCNNICのルート証明書ですよ。すでにFirefoxには入っています。理論的には企業がエンタープライズ証明書でSSL暗号を解除して検閲するのと同じことができるはずです。
理論的には企業がエンタープライズ証明書でSSL暗号を解除して検閲するのと同じことができるはずです。
よく知らんので教えて欲しいんだが、どういう仕組みで「解除」できるんだ?そもそも「解除」ってのは、傍受の事なのか?それとも遮断の事なのか?認証局側でサーバ証明書の鍵ペアを生成するのであれば、いろいろ悪さをできるのは理解できるけど、そう言う意味なのか?それとも、認証局が偽証明書を発行して中間者攻撃とか?
なるほど。検閲したことを知られたくないわけではないから、それでも良いのか。
しかし、プロキシ側で、有効期限切れとかオレオレ証明書とかをブロックしちゃうと、いろいろとアクセスできないサイトが出てきて困りそうだなあ。まあ、それが組織のポリシってもんだろうけど。クライアントでは証明書の検証は行えないだろうから、ブロックしないわけにも行かない気もするし…
まあでも、そういうのが増えると、あれなオレオレ系とかは徐々に減る...かなぁ?
それより先に犯罪側が正規の証明書を完備しちゃうだろうけど(今も一部は正しい証明書だったりするしねぇ)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
金盾はVPN検閲出来なかったはず (スコア:1)
>記事では Web であることが強調されているので、じゃあ SSH や VPN でどこかに抜けて……とも思ったが結局金盾が待ち構えているわけで
金盾はVPNの通信内容までは検閲できないので、VPNで海外に抜ければ、金盾はスルーできるんじゃないでしたっけ。現時点では。
VPN接続を切断することは出来るけど。
で、記事の装置は、「公衆無線LANからVPN張った奴って誰?」というのも含めて、利用者を特定するための装置ってことなんでは。
Re: (スコア:0)
そこでCNNICのルート証明書ですよ。すでにFirefoxには入っています。
理論的には企業がエンタープライズ証明書でSSL暗号を解除して検閲するのと同じことができるはずです。
Re: (スコア:1)
理論的には企業がエンタープライズ証明書でSSL暗号を解除して検閲するのと同じことができるはずです。
よく知らんので教えて欲しいんだが、どういう仕組みで「解除」できるんだ?そもそも「解除」ってのは、傍受の事なのか?それとも遮断の事なのか?
認証局側でサーバ証明書の鍵ペアを生成するのであれば、いろいろ悪さをできるのは理解できるけど、そう言う意味なのか?
それとも、認証局が偽証明書を発行して中間者攻撃とか?
Re: (スコア:2, 参考になる)
とあるプロキシ型WEBセキュリティ製品の場合。
1)クライアントがHTTPSで通信を行う。
2)HTTPSサーバからの応答は、プロキシが復号化して、中身を検閲。
ここで言う検閲はVirusスキャンとかですが。
3)その後自身のSSL証明書を使って再度暗号化し、クライアントへ。
当然クライアントにはプロキシのSSL証明書で暗号化された状態で応答が届くのですが、
その機器が導入されていることがユーザにきちんと周知されていれば、問題ないはずです。
「封蝋をして手紙を送ったら、一度開封された後、検閲済みの封蝋を押されて届いた」ような状態かと。
Re:金盾はVPN検閲出来なかったはず (スコア:1)
なるほど。検閲したことを知られたくないわけではないから、それでも良いのか。
しかし、プロキシ側で、有効期限切れとかオレオレ証明書とかをブロックしちゃうと、いろいろとアクセスできないサイトが出てきて困りそうだなあ。まあ、それが組織のポリシってもんだろうけど。クライアントでは証明書の検証は行えないだろうから、ブロックしないわけにも行かない気もするし…
Re:金盾はVPN検閲出来なかったはず (スコア:1)
まあでも、そういうのが増えると、あれなオレオレ系とかは徐々に減る...かなぁ?
それより先に犯罪側が正規の証明書を完備しちゃうだろうけど(今も一部は正しい証明書だったりするしねぇ)
M-FalconSky (暑いか寒い)