アカウント名:
パスワード:
VPNの傍受というのは、どうやればできるのか何となく想像がつくが、HTTPSの方はどうやればいいんだ?
通信データを全部ログにとって、一連の通信で使われたSSL公開鍵を力技で見つけ出すとか?それとも認証局をハッキングすると何か得られるのか??
サービスプロバイダと仲良くすればいいだけ。
各サービスプロバイダを懐柔する必要はなくてルートCAに裏で手を回して懐柔すれば正規のルートCAお墨付きの偽造SSL証明書が手に入るので中間者攻撃し放題。
政府がやる仕事なんだからサービスプロバイダ1つ1つに圧力かけて情報提供させるよりもルートCAを1つ落とすほうが楽だと思うよ。
攻撃するなんて面倒じゃない? firehoseでじゃぶじゃぶと。つまり、調査対象によって適材適所でみんなと仲良くしてたんだろうなー。
もしかしてオレオレ証明書の方がまだ傍受されにくいとかー。
逆に言うと、ベリサインの職員なら何でもできるな。
そのうち巨額詐欺事件を起こす奴が出てくるだろう。
SSHみたいに過去の証明書と違う証明書に変わったことを通知する仕組みがやっぱり必要だね。
Firefoxならそれを確認できるアドオンがあるのでどうぞhttps://addons.mozilla.org/en-US/firefox/addon/certificate-patrol/ [mozilla.org]
もしくはHTTPS EverywhereにもSSL Observatoryという似たような仕組みがありますので利用されてみては?https://www.eff.org/observatory [eff.org]
使ってみるね。Observatoryっていうのは、証明書の情報をユーザが提供しあって共有しておいて、初めて訪れるサイトでも、証明書が変わったとか、他の人と違う証明書なのがわかるっていうことなのかな?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
わからん (スコア:0)
VPNの傍受というのは、どうやればできるのか何となく想像がつくが、HTTPSの方はどうやればいいんだ?
通信データを全部ログにとって、一連の通信で使われたSSL公開鍵を力技で見つけ出すとか?
それとも認証局をハッキングすると何か得られるのか??
Re: (スコア:1)
サービスプロバイダと仲良くすればいいだけ。
Re:わからん (スコア:0)
各サービスプロバイダを懐柔する必要はなくて
ルートCAに裏で手を回して懐柔すれば
正規のルートCAお墨付きの偽造SSL証明書が手に入るので中間者攻撃し放題。
政府がやる仕事なんだから
サービスプロバイダ1つ1つに圧力かけて情報提供させるよりも
ルートCAを1つ落とすほうが楽だと思うよ。
Re:わからん (スコア:1)
攻撃するなんて面倒じゃない? firehoseでじゃぶじゃぶと。
つまり、調査対象によって適材適所でみんなと仲良くしてたんだろうなー。
Re: (スコア:0)
もしかしてオレオレ証明書の方がまだ傍受されにくいとかー。
Re: (スコア:0)
逆に言うと、ベリサインの職員なら何でもできるな。
そのうち巨額詐欺事件を起こす奴が出てくるだろう。
Re: (スコア:0)
SSHみたいに過去の証明書と違う証明書に変わったことを通知する仕組みがやっぱり必要だね。
Re: (スコア:0)
Firefoxならそれを確認できるアドオンがあるのでどうぞ
https://addons.mozilla.org/en-US/firefox/addon/certificate-patrol/ [mozilla.org]
もしくはHTTPS EverywhereにもSSL Observatoryという似たような仕組みがありますので利用されてみては?
https://www.eff.org/observatory [eff.org]
Re: (スコア:0)
使ってみるね。Observatoryっていうのは、証明書の情報をユーザが提供しあって共有しておいて、初めて訪れるサイトでも、証明書が変わったとか、他の人と違う証明書なのがわかるっていうことなのかな?