- PR -

HTTPSのコンテンツフィルタ?

投稿者投稿内容
わだまん
会議室デビュー日: 2002/11/07
投稿数: 17
投稿日時: 2004-12-20 09:23
『HTTP暗号化通信のパラドックス』の記事で、
HTTPSのコンテンツフィルターが述べられていましたが、
HTTPS通信の中身を傍受するなんて本当に可能なのでしょうか?。
それが可能なのでは、HTTPSの存在意義が無いと思うのですが…。


try
常連さん
会議室デビュー日: 2004/10/22
投稿数: 38
お住まい・勤務地: 神奈川/東京
投稿日時: 2004-12-20 11:34
たしかに・・・・。

HTTPのURLフィルター、コンテンツフィルター、
HTTPSのURLフィルターならありますが、
コンテンツフィルターは無いような気が・・・。
世界最速のコンピュータをフィルタリングに使用しても
数十年のタイムラグが・・・(^^;;
丘SE
会議室デビュー日: 2004/04/28
投稿数: 13
投稿日時: 2004-12-20 12:00
最近、SSLも監視できます的な製品を見かけますね。

SSLって

(1) 暗号化
(2) 証明書によるなりすましの防止

の2つが大きな機能だと思っているんですが、
(1)はまだ中継できそうな気はするんですが、(2)も可能なんでしょうか?
IE の鍵マークをクリックして証明書出して
アドレスバーの URL と見比べたら同じ?

実際にできると聞いたのでのですが、ドコまでかが分からなかったので
私も気になっていました。

どなたかズバっと答えてくれないでしょうかね?
金床
会議室デビュー日: 2005/02/03
投稿数: 9
投稿日時: 2005-02-04 00:51
おそらくプロキシサーバーとして動作し、プロキシサーバーが自分の証明書をクライアントに送りつける形で動作するソフトウェアのことを指しているのだと思います。

この場合、当然ながらクライアントが見に行くサイトの証明書とは異なる証明書が使用されることになるので、ウェブブラウザが警告のダイアログを出します。

ところで

>HTTPSのURLフィルターならありますが、

とのことですが、HTTPSでのアクセスではURLも暗号化されているはずですから、URLのフィルタリングが可能ならばコンテンツのフィルタリングも可能ということになると思います。

URLではなくて、単に接続先ホスト(IPアドレス又はホスト名)をフィルタリングの対象にしているということでしょうか。
加納正和
ぬし
会議室デビュー日: 2004/01/28
投稿数: 332
お住まい・勤務地: 首都圏
投稿日時: 2005-02-04 21:25
加納と言うものです。

引用:

金床さんの書き込み (2005-02-04 00:51) より:
この場合、当然ながらクライアントが見に行くサイトの証明書とは異なる証明書が使用されることになるので、ウェブブラウザが警告のダイアログを出します。



それだと暗号化機能の中継は出来るけど、証明書のなりすましに関しては
なにもしていない気がします。

。。。私から言わせるとプロキシとは微妙に言わない気がするのですが。。。
SSLのプロキシはCONNECTを使用するのが普通かと。
cn009
ベテラン
会議室デビュー日: 2004/05/13
投稿数: 72
投稿日時: 2005-02-05 03:27
引用:

それだと暗号化機能の中継は出来るけど、証明書のなりすましに関しては
なにもしていない気がします。



proxyが秘密鍵を持っている証明書を、ルート証明書などとして
あらかじめクライアントマシンにインストールしておくんじゃないでしょうか?
HTTP暗号化通信のパラドックスは情報漏えい対策の話ですし、そこまでやろうということなのでしょう、きっと。

そして接続先のサイトから送られてくる証明書のチェックはproxyが全部行うのだと思います。
なりすまし等の対策をproxy任せにするのがいいかどうかは議論の余地がありそうですけどね。
# 証明書のチェック基準を社内で一律に出来るから良いのかなぁ・・・

でも復号・暗号・コンテンツのチェックをやるとなったらかなり負荷かかりそうですね。
復号・暗号はハードウェアで処理するんでしょうかね。

元々の質問に対してですが、単に復号・暗号をして送信してきただけでは、
証明書のチェックの時点で判明するはずなので大丈夫だと思いますよ。

ただ、インストールされている証明書に変なのが混じっていた場合は
チェックできなくなってしまいます。

# サイトによってはそのサイトの証明書をルート証明書としてインストールするよう
# 指示しているところもあるらしいですけど・・・

引用:

。。。私から言わせるとプロキシとは微妙に言わない気がするのですが。。。
SSLのプロキシはCONNECTを使用するのが普通かと。



アプリケーションレベルのプロキシではないかもしれませんけど、
プロキシには違いないと思いますよ。
でないと、SOCKSもプロキシじゃなくなってしまいます。

# 金床さんってあのサイトの人かなぁ・・・
金床
会議室デビュー日: 2005/02/03
投稿数: 9
投稿日時: 2005-02-05 03:50
引用:

proxyが秘密鍵を持っている証明書を、ルート証明書などとして
あらかじめクライアントマシンにインストールしておくんじゃないでしょうか?



おお、、その方法を採ればブラウザが警告しなくなるということですか!
目から鱗です。うーん、凄い方法ですね。
#今度実験してみよう

引用:

HTTP暗号化通信のパラドックスは情報漏えい対策の話ですし、そこまでやろうということなのでしょう、きっと。



私もそうだと思います。
金床
会議室デビュー日: 2005/02/03
投稿数: 9
投稿日時: 2005-02-09 16:04
何てことはない、この記事を書かれた方が所属する会社が、まさしくそのような製品を売っているんですね。
http://www.webwasher.jp/pro_sslscanner.html

ということで、やはり偽の証明書を使用して(いわばMITM形態で)プロキシサーバーとして動作するもののようです。

Full-Disclosureでも同様の議論が行われているのを見つけました。
http://www.networksecurityarchive.org/html/FullDisclosure/2003-10/msg00992.html

まぁこの仕組みを導入したところで抜け穴はいくらでもあると思うのですが、それについては別の機会に…

スキルアップ/キャリアアップ(JOB@IT)