アカウント名:
パスワード:
これって脆弱性じゃないの?
httpsがどういうものかちゃんと理解できてないとこういう疑問が出てきちゃうんだろうなぁ
HTTPSって通信内容の盗聴や改竄を防ぐものじゃないの?PC内に入り込んで高位の権限を得ているプログラムによるものとは言え、ブラウザの外からHTMLを書き換えられちゃまずいんじゃないの?
なんか国会答弁みたいになって来ましたな…笑
>> ブラウザの外からHTMLを書き換えられちゃまずいんじゃないの?ヒント:ブラウザは一般権限で動いている。ブラウザの外=通信中ではなく、ブラウザの内側(kasperskyプラグイン)から書き換えている。
>> ルート証明書のインストールって、一般のソフトがユーザーの知らない間にやれてしまっていいものなのか?確かにルート証明書のインストールや任意のスクリプト挿入は手段としては、ブラウザで好きな事がやり放題になる技術。結局セキュリティーソフトを信用するかどうかになってくる訳。
HTTPS(Hypertext Transfer Protocol Secure)は、HTTPによる通信を安全に(セキュアに)行うためのプロトコルおよびURIスキームである。
https://ja.wikipedia.org/wiki/HTTPS [wikipedia.org]
「情報の保護における誤解」という項があなたの疑問を解決するかもしれません。
HTTPSがどういうものかとかの話ではなく、HTTPSを使って保護したかったはずの通信内容がブラウザで表示される前に勝手にすり替えられるような事態は、ブラウザの方でどうにかして可能な限り阻止しなきゃならないんじゃないかってこと。
ブラウザやOSは,セキュリティ対策ソフトによる通信監視やデータの改ざんをあえて許可しています通信を監視しないとウイルスは検出できませんし,データの改ざんを許可しないとウイルスの除去ができないからです
ローカルプロクシ使ってるんでしょあらかじめ証明書ストアに信用させるためのルート証明書をインストールすればローカルプロクシが偽のサーバー証明書を送っても警告はでなくなる
ルート証明書のインストールって、一般のソフトがユーザーの知らない間にやれてしまっていいものなのか?
知らないわけないでしょ。カスペルスキーのセットアップ時に全権委任してるわけだから。
レノボPCで「SSLが崩壊した!」って騒いでいた人に似てる
PCに入り込んで高位の権限を得た時点で、それどころじゃなく何でもできるで。
他のコメントにあるように、ルートサーバ証明書をインストールした上で、HTTPS通信に割り込んで、通信内容を書き換えて、即興で作った証明書と差し替え、エラーが出なくなるようにも出来るし。
本当はエラーががんがん出てるのを、ブラウザのバイナリを書き換えて握りつぶすように改造することだって、原理的には出来る。そもそもブラウザのバイナリ改造より簡単に、OS自体をそっくりなニセモノに入れ替えることすら出来るし、そうなると、何一つ前提は成り立たなくなる。
rootなりAdministratorなりの権限を渡すというのがどういう意味かもうちょっとちゃんと理解しといた方が良い。
なんでもできる奴に侵入されたら何をやっても無駄だとしても、限られた細工しか出来ないケースだけでも退けられるようにしとくべきだろ
ああ、べきだ論?「HTTPS通信」というように「セキュアな何か」をうたう以上は、何がどうあれその部分のセキュリティは絶対に侵されないようなOS設計にしとけよ、というような。
その前提と、通信内容を監視してウィルスの有無をチェックするようなソフトは相容れないから、両立は無理だね。
ウィルス対策ツールとかのAdministrator権限を必要とするようなソフトウェアを一切入れない、という運用にすれば、OSが元々持っていたセキュリティを守る仕組みを一切崩さないまま使う、というのは可能なので、そうやるしか。
>> 他のコメントにあるように、ルートサーバ証明書をインストールした上で、HTTPS通信に割り込んで、通信内容を書き換えて、即興で作った証明書と差し替え、エラーが出なくなるようにも出来るし。
こう言うのって昔から(2011ぐらいのver.から?)カスペルスキーの「暗号化された接続のスキャン」の仕様なんだけど、2013位のver.の頃は、ブラウザのうち唯一Firefoxが警告画面を出すような(よう分からん証明書が入ってまっせ)反応を見せた事があった。IEやChromeは無反応、またはHTTPSでの誤動作を起こす(よう分からんけど繋がらへんで)ことがあった。
2016位
ブログ見たらわかるけど>WEBサイト作るときに超困るって書いてるように>WEBサイトがレンダリングし終わってものの数秒でカスペルスキーに対するリクエストでうめつくされている。これではネットワークモニターは使いものにならない。こういう状況になっていて、サポートのいう方法でも止められなかったから文句を言ってるんでしょう
なんでこんな売れない芸人みたいな訳の分からんツッコミ入れられるのか…
話の流れ読めよ
ヒント:ブラウザは一般権限で動いているから。
つまりブラウザの挙動を変更できないようにしていないOS側の問題というか仕様。通信プロトコルの問題ではない。そもそもosやアプリに脆弱性が無ければセキュリティソフトなんて必要ないわけで
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
HTTPSのソースコードの書き換えなんてできるのかよ (スコア:0)
これって脆弱性じゃないの?
Re:HTTPSのソースコードの書き換えなんてできるのかよ (スコア:0)
httpsがどういうものかちゃんと理解できてないとこういう疑問が出てきちゃうんだろうなぁ
Re: (スコア:0)
HTTPSって通信内容の盗聴や改竄を防ぐものじゃないの?
PC内に入り込んで高位の権限を得ているプログラムによるものとは言え、ブラウザの外からHTMLを書き換えられちゃまずいんじゃないの?
Re:HTTPSのソースコードの書き換えなんてできるのかよ (スコア:1)
なんか国会答弁みたいになって来ましたな…笑
>> ブラウザの外からHTMLを書き換えられちゃまずいんじゃないの?
ヒント:ブラウザは一般権限で動いている。
ブラウザの外=通信中ではなく、ブラウザの内側(kasperskyプラグイン)から書き換えている。
>> ルート証明書のインストールって、一般のソフトがユーザーの知らない間にやれてしまっていいものなのか?
確かにルート証明書のインストールや任意のスクリプト挿入は手段としては、ブラウザで好きな事がやり放題になる技術。
結局セキュリティーソフトを信用するかどうかになってくる訳。
Re: (スコア:0)
HTTPS(Hypertext Transfer Protocol Secure)は、HTTPによる通信を安全に(セキュアに)行うためのプロトコルおよびURIスキームである。
https://ja.wikipedia.org/wiki/HTTPS [wikipedia.org]
「情報の保護における誤解」という項があなたの疑問を解決するかもしれません。
Re: (スコア:0)
HTTPSがどういうものかとかの話ではなく、
HTTPSを使って保護したかったはずの通信内容がブラウザで表示される前に勝手にすり替えられるような事態は、
ブラウザの方でどうにかして可能な限り阻止しなきゃならないんじゃないかってこと。
Re:HTTPSのソースコードの書き換えなんてできるのかよ (スコア:2)
ブラウザやOSは,セキュリティ対策ソフトによる通信監視やデータの改ざんをあえて許可しています
通信を監視しないとウイルスは検出できませんし,データの改ざんを許可しないとウイルスの除去ができないからです
Re: (スコア:0)
ローカルプロクシ使ってるんでしょ
あらかじめ証明書ストアに信用させるためのルート証明書をインストールすれば
ローカルプロクシが偽のサーバー証明書を送っても警告はでなくなる
Re: (スコア:0)
ルート証明書のインストールって、一般のソフトがユーザーの知らない間にやれてしまっていいものなのか?
Re: (スコア:0)
知らないわけないでしょ。
カスペルスキーのセットアップ時に全権委任してるわけだから。
Re: (スコア:0)
レノボPCで「SSLが崩壊した!」って騒いでいた人に似てる
Re: (スコア:0)
PCに入り込んで高位の権限を得た時点で、それどころじゃなく何でもできるで。
他のコメントにあるように、ルートサーバ証明書をインストールした上で、HTTPS通信に割り込んで、
通信内容を書き換えて、即興で作った証明書と差し替え、エラーが出なくなるようにも出来るし。
本当はエラーががんがん出てるのを、ブラウザのバイナリを書き換えて握りつぶすように改造することだって、原理的には出来る。
そもそもブラウザのバイナリ改造より簡単に、OS自体をそっくりなニセモノに入れ替えることすら出来るし、
そうなると、何一つ前提は成り立たなくなる。
rootなりAdministratorなりの権限を渡すというのがどういう意味かもうちょっとちゃんと理解しといた方が良い。
Re: (スコア:0)
なんでもできる奴に侵入されたら何をやっても無駄だとしても、限られた細工しか出来ないケースだけでも退けられるようにしとくべきだろ
Re: (スコア:0)
ああ、べきだ論?
「HTTPS通信」というように「セキュアな何か」をうたう以上は、
何がどうあれその部分のセキュリティは絶対に侵されないようなOS設計にしとけよ、というような。
その前提と、通信内容を監視してウィルスの有無をチェックするようなソフトは相容れないから、両立は無理だね。
ウィルス対策ツールとかのAdministrator権限を必要とするようなソフトウェアを一切入れない、という運用にすれば、
OSが元々持っていたセキュリティを守る仕組みを一切崩さないまま使う、というのは可能なので、そうやるしか。
Re: (スコア:0)
>> 他のコメントにあるように、ルートサーバ証明書をインストールした上で、HTTPS通信に割り込んで、通信内容を書き換えて、即興で作った証明書と差し替え、エラーが出なくなるようにも出来るし。
こう言うのって昔から(2011ぐらいのver.から?)カスペルスキーの「暗号化された接続のスキャン」の仕様なんだけど、
2013位のver.の頃は、ブラウザのうち唯一Firefoxが警告画面を出すような(よう分からん証明書が入ってまっせ)反応を見せた事があった。
IEやChromeは無反応、またはHTTPSでの誤動作を起こす(よう分からんけど繋がらへんで)ことがあった。
2016位
Re: (スコア:0)
ブログ見たらわかるけど
>WEBサイト作るときに超困る
って書いてるように
>WEBサイトがレンダリングし終わってものの数秒でカスペルスキーに対するリクエストでうめつくされている。これではネットワークモニターは使いものにならない。
こういう状況になっていて、サポートのいう方法でも止められなかったから文句を言ってるんでしょう
Re: (スコア:0)
なんでこんな売れない芸人みたいな訳の分からんツッコミ入れられるのか…
話の流れ読めよ
Re: (スコア:0)
ヒント:ブラウザは一般権限で動いているから。
つまりブラウザの挙動を変更できないようにしていないOS側の問題というか仕様。
通信プロトコルの問題ではない。
そもそもosやアプリに脆弱性が無ければ
セキュリティソフトなんて必要ないわけで