アカウント名:
パスワード:
これって脆弱性じゃないの?
httpsがどういうものかちゃんと理解できてないとこういう疑問が出てきちゃうんだろうなぁ
HTTPSって通信内容の盗聴や改竄を防ぐものじゃないの?PC内に入り込んで高位の権限を得ているプログラムによるものとは言え、ブラウザの外からHTMLを書き換えられちゃまずいんじゃないの?
PCに入り込んで高位の権限を得た時点で、それどころじゃなく何でもできるで。
他のコメントにあるように、ルートサーバ証明書をインストールした上で、HTTPS通信に割り込んで、通信内容を書き換えて、即興で作った証明書と差し替え、エラーが出なくなるようにも出来るし。
本当はエラーががんがん出てるのを、ブラウザのバイナリを書き換えて握りつぶすように改造することだって、原理的には出来る。そもそもブラウザのバイナリ改造より簡単に、OS自体をそっくりなニセモノに入れ替えることすら出来るし、そうなると、何一つ前提は成り立たなくなる。
rootなりAdministratorなりの権限を渡すというのがどういう意味かもうちょっとちゃんと理解しといた方が良い。
なんでもできる奴に侵入されたら何をやっても無駄だとしても、限られた細工しか出来ないケースだけでも退けられるようにしとくべきだろ
ああ、べきだ論?「HTTPS通信」というように「セキュアな何か」をうたう以上は、何がどうあれその部分のセキュリティは絶対に侵されないようなOS設計にしとけよ、というような。
その前提と、通信内容を監視してウィルスの有無をチェックするようなソフトは相容れないから、両立は無理だね。
ウィルス対策ツールとかのAdministrator権限を必要とするようなソフトウェアを一切入れない、という運用にすれば、OSが元々持っていたセキュリティを守る仕組みを一切崩さないまま使う、というのは可能なので、そうやるしか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
HTTPSのソースコードの書き換えなんてできるのかよ (スコア:0)
これって脆弱性じゃないの?
Re: (スコア:0)
httpsがどういうものかちゃんと理解できてないとこういう疑問が出てきちゃうんだろうなぁ
Re: (スコア:0)
HTTPSって通信内容の盗聴や改竄を防ぐものじゃないの?
PC内に入り込んで高位の権限を得ているプログラムによるものとは言え、ブラウザの外からHTMLを書き換えられちゃまずいんじゃないの?
Re: (スコア:0)
PCに入り込んで高位の権限を得た時点で、それどころじゃなく何でもできるで。
他のコメントにあるように、ルートサーバ証明書をインストールした上で、HTTPS通信に割り込んで、
通信内容を書き換えて、即興で作った証明書と差し替え、エラーが出なくなるようにも出来るし。
本当はエラーががんがん出てるのを、ブラウザのバイナリを書き換えて握りつぶすように改造することだって、原理的には出来る。
そもそもブラウザのバイナリ改造より簡単に、OS自体をそっくりなニセモノに入れ替えることすら出来るし、
そうなると、何一つ前提は成り立たなくなる。
rootなりAdministratorなりの権限を渡すというのがどういう意味かもうちょっとちゃんと理解しといた方が良い。
Re: (スコア:0)
なんでもできる奴に侵入されたら何をやっても無駄だとしても、限られた細工しか出来ないケースだけでも退けられるようにしとくべきだろ
Re:HTTPSのソースコードの書き換えなんてできるのかよ (スコア:0)
ああ、べきだ論?
「HTTPS通信」というように「セキュアな何か」をうたう以上は、
何がどうあれその部分のセキュリティは絶対に侵されないようなOS設計にしとけよ、というような。
その前提と、通信内容を監視してウィルスの有無をチェックするようなソフトは相容れないから、両立は無理だね。
ウィルス対策ツールとかのAdministrator権限を必要とするようなソフトウェアを一切入れない、という運用にすれば、
OSが元々持っていたセキュリティを守る仕組みを一切崩さないまま使う、というのは可能なので、そうやるしか。