アカウント名:
パスワード:
パッケージ入れたらブラウザで管理できるツールは中でイントラ用のサーバが立ち上がってるんだけど httpだけじゃなくてhttpsまでオレオレ証明書で入れてくるんで イントラならhttpがいいんだよ ウェブアプリ開発とかも同じです
どうやって、アクセスしようとしたサーバがイントラなのかパブリックなのかを判断したらいいの?Google 様がクロールできなかったらイントラ扱い?
判断できないのに強行するから困っているんだよ 僕らが要望を出したわけじゃない
IPアドレスで判断できるだろ。社内で43で始まるIPアドレス使ってるとかふざけてるところを除いては。
イントラ用のオレオレルート証明書を作って、イントラのサーバは全部オレオレ認証局で署名、各PCやブラウザにはオレオレルート証明書を1つインストールしておく
こんなのでいいよ
ルート証明書の権限が強するので、オレオレルート証明書を入れるとかえって危険になるんだよね。イントラアクセスするときには毎回ブラウザのセキュリティ警告無視した方がマシなレベル。
仮にオレオレ認証局のルート証明書の秘密鍵が漏洩したとする。(インサイダーがHDD/SSDを直接読み取って鍵を盗んでも漏洩する)そしてLAN内に悪意のあるホストが1台紛れさせて、そのホストはMACアドレスを詐称してルータに成り済ます。でプレインストールアプリ等の https://.autoupdate.example.com/ [example.com] の通信を乗っ取って悪意のあるファイルを実行させることも可能。
OSプレインストールの既存の大手認証局と同レベルの管理ができないならばオレオレルート証明書をLAN内の端末にインストールする運用は止めた方がいい。その認証局の秘密鍵が奪われたとき、LAN内のオレオレ証明書入れたマシンが一気に乗っ取られてしまう。
一応、オレオレ認証局が勝手によそ様のドメインの証明書を発行することへの緩和策はいろいろある。が、ウェブブラウザ以外のクライアントの対応があまり期待できない状況だと思う。
自己レス、DNSのCAAはオレオレ認証局対策にはならないな。すまん。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
イントラではやめて (スコア:0)
パッケージ入れたらブラウザで管理できるツールは中でイントラ用のサーバが立ち上がってるんだけど httpだけじゃなくてhttpsまでオレオレ証明書で入れてくるんで イントラならhttpがいいんだよ ウェブアプリ開発とかも同じです
Re: (スコア:0)
どうやって、アクセスしようとしたサーバがイントラなのかパブリックなのかを判断したらいいの?
Google 様がクロールできなかったらイントラ扱い?
Re: (スコア:0)
判断できないのに強行するから困っているんだよ 僕らが要望を出したわけじゃない
Re: (スコア:0)
IPアドレスで判断できるだろ。
社内で43で始まるIPアドレス使ってるとかふざけてるところを除いては。
Re: (スコア:0)
イントラ用のオレオレルート証明書を作って、
イントラのサーバは全部オレオレ認証局で署名、
各PCやブラウザにはオレオレルート証明書を1つインストールしておく
こんなのでいいよ
かえって危険になる (スコア:1)
ルート証明書の権限が強するので、オレオレルート証明書を入れるとかえって危険になるんだよね。
イントラアクセスするときには毎回ブラウザのセキュリティ警告無視した方がマシなレベル。
仮にオレオレ認証局のルート証明書の秘密鍵が漏洩したとする。
(インサイダーがHDD/SSDを直接読み取って鍵を盗んでも漏洩する)
そしてLAN内に悪意のあるホストが1台紛れさせて、そのホストはMACアドレスを詐称してルータに成り済ます。
でプレインストールアプリ等の https://.autoupdate.example.com/ [example.com] の通信を乗っ取って悪意のあるファイルを実行させることも可能。
OSプレインストールの既存の大手認証局と同レベルの管理ができないならばオレオレルート証明書をLAN内の端末にインストールする運用は止めた方がいい。
その認証局の秘密鍵が奪われたとき、LAN内のオレオレ証明書入れたマシンが一気に乗っ取られてしまう。
Re: (スコア:0)
一応、オレオレ認証局が勝手によそ様のドメインの証明書を発行することへの緩和策はいろいろある。が、ウェブブラウザ以外のクライアントの対応があまり期待できない状況だと思う。
Re: (スコア:0)
自己レス、DNSのCAAはオレオレ認証局対策にはならないな。すまん。