アカウント名:
パスワード:
なぜ「独自のルート証明書を使用していると中間者攻撃が懸念される」かがわからない。
件の広告ブロックアプリは通信内容を途中経路で改竄します。しかし改竄するとhttpsでは改竄を検知してブラウザはエラーを表示し結果は表示されません。それを防ぐため独自のルート証明書をインストールさせ通信に使用する証明書を差し替えてして通信しています。
それでは実際に途中経路で改竄された場合は誰が改竄を検知するのでしょうか?原理的には証明書を途中で差し替える前でしか行えないので広告ブロックアプリしか行えません。それらが正しく実装されていると言えるでしょうか?
その他にも、広告ブロックアプリアプリを解析する事により独自の証明書で暗号化するために持っているサーバー証明書を得ることができてしまいます。その証明書を使って途中経路で改竄すると独自の証明書のインストールが行われている間は正しい証明書のチェックを行えません。
そもそも悪意のあるアプリが独自のルート証明書をインストールした場合は言うまでもありませんね
などの懸念があります。
> 独自の証明書で暗号化するために持っているサーバー証明書を得ることができてしまいます。> その証明書を使って途中経路で改竄すると独自の証明書のインストールが行われている間は正しい証明書のチェックを行えません。サーバ証明書を得ることは簡単でしょうが、秘密鍵なくサーバ証明書だけを使って、どうやって途中経路で改ざんするんでしょうか。
この仕組みの安全性は、独自の独自ルート証明書と秘密鍵をもって、SSLの復号と再暗号化を行う部分の機器のセキュリティ次第であり、この手法を使っていれば悪い、ということは一概には言えないと思います。逆に、この手法はそ
サーバ証明書を得ることは簡単でしょうが、秘密鍵なくサーバ証明書だけを使って、どうやって途中経路で改ざんするんでしょうか。
アプリ内で改竄して再証明している以上アプリに秘密鍵が含まれているはずです。
このような、独自証明書を使って一度SSLを解読する方法は、Proxy利用するネットワーク製品やセキュリティ上、外部へのSSL通信を解析する必要のあるセキュリティ製品等では一般的に行われています。(もちろん、企業であれば管理者、またはユーザの同意あっての利用です。)
それはそのセキュリティ機器が接続先の証明書をチェックしているはずです。していないのであれば欠陥品です。
独自のルート証明書をインストールするアプリの中で・ユーザー毎に外部から推測できない異なる秘密鍵
VPNを使っているので、このアプリ内に暗号鍵は無い筈です。
広告ブロックアプリがローカルにVPNサーバーを立てているのでは?iOSデバイスを持ってないので確認できませんが、少なくともAndroid版のAdblock PlusはlocalhostのVPNサーバーの設定を追加します
通信内容を改竄するサーバーを開発者が用意する方法だと、通信量を考えるととてもペイできるとは思えませんし、私は広告ブロックのためだけに管理者が改竄、盗聴し放題のサーバーを通すなんて嫌ですね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
色々よくわからない点が (スコア:0)
なぜ「独自のルート証明書を使用していると中間者攻撃が懸念される」かがわからない。
Re: (スコア:1)
件の広告ブロックアプリは通信内容を途中経路で改竄します。
しかし改竄するとhttpsでは改竄を検知してブラウザはエラーを表示し結果は表示されません。
それを防ぐため独自のルート証明書をインストールさせ通信に使用する証明書を差し替えてして通信しています。
それでは実際に途中経路で改竄された場合は誰が改竄を検知するのでしょうか?
原理的には証明書を途中で差し替える前でしか行えないので広告ブロックアプリしか行えません。
それらが正しく実装されていると言えるでしょうか?
その他にも、広告ブロックアプリアプリを解析する事により独自の証明書で暗号化するために持っているサーバー証明書を得ることができてしまいます。
その証明書を使って途中経路で改竄すると独自の証明書のインストールが行われている間は正しい証明書のチェックを行えません。
そもそも悪意のあるアプリが独自のルート証明書をインストールした場合は言うまでもありませんね
などの懸念があります。
Re: (スコア:0)
> 独自の証明書で暗号化するために持っているサーバー証明書を得ることができてしまいます。
> その証明書を使って途中経路で改竄すると独自の証明書のインストールが行われている間は正しい証明書のチェックを行えません。
サーバ証明書を得ることは簡単でしょうが、秘密鍵なくサーバ証明書だけを使って、
どうやって途中経路で改ざんするんでしょうか。
この仕組みの安全性は、独自の独自ルート証明書と秘密鍵をもって、
SSLの復号と再暗号化を行う部分の機器のセキュリティ次第であり、
この手法を使っていれば悪い、ということは一概には言えないと思います。
逆に、この手法はそ
Re: (スコア:0)
サーバ証明書を得ることは簡単でしょうが、秘密鍵なくサーバ証明書だけを使って、
どうやって途中経路で改ざんするんでしょうか。
アプリ内で改竄して再証明している以上アプリに秘密鍵が含まれているはずです。
このような、独自証明書を使って一度SSLを解読する方法は、Proxy利用するネットワーク製品や
セキュリティ上、外部へのSSL通信を解析する必要のあるセキュリティ製品等では一般的に行われています。
(もちろん、企業であれば管理者、またはユーザの同意あっての利用です。)
それはそのセキュリティ機器が接続先の証明書をチェックしているはずです。していないのであれば欠陥品です。
独自のルート証明書をインストールするアプリの中で
・ユーザー毎に外部から推測できない異なる秘密鍵
Re: (スコア:0)
アプリ内で改竄して再証明している以上アプリに秘密鍵が含まれているはずです。
VPNを使っているので、このアプリ内に暗号鍵は無い筈です。
Re:色々よくわからない点が (スコア:0)
広告ブロックアプリがローカルにVPNサーバーを立てているのでは?
iOSデバイスを持ってないので確認できませんが、少なくともAndroid版のAdblock PlusはlocalhostのVPNサーバーの設定を追加します
通信内容を改竄するサーバーを開発者が用意する方法だと、通信量を考えるととてもペイできるとは思えませんし、私は広告ブロックのためだけに管理者が改竄、盗聴し放題のサーバーを通すなんて嫌ですね