2010年6月18日にEFF(Electronic Frontier Foundation)より「HTTPS Everywhere」のブラウザextentionがリリースされました。「HTTPS Everywhere」はブラウザの追加エクステンションであり、「pre-setting」されたサイトのHTTPリクエアストがHTTPSに変更しサイトに繋ぎます。現時点の「pre-setting」されたサイトは「Google Search、Wikipedia、Twitter、Facebook、The New York Times、The Washington Post、Paypal、EFF、Tor、Ixquick、など」。
もしFirefoxブラウザーが上記のサイトにhttpsで繋ぐと(1)アドレスバーの色が変わって、(2)右下にロックのアイコンが出てました。この(1)と(2)が無かったら見た目はhttpsで繋がっているけど完全にセキュアでは無いという可能性があります。
「pre-setting」されたサイトの設定ファイルはルールセットのファイルで設定が出来ます。形的にはXMLファイルです、例えば下記となります↓
<ruleset name="Twitter">
<rule from="^http://twitter\.com" to="https://twitter.com"/>
<rule from="^http://www\.twitter\.com" to="https://twitter.com"/>
</ruleset>
※ルールセットの詳細説明はこちら
<rule from="^http://twitter\.com" to="https://twitter.com"/>
<rule from="^http://www\.twitter\.com" to="https://twitter.com"/>
</ruleset>
※ルールセットの詳細説明はこちら
「HTTPS Everywhere」のGUIコンセプトは使いやすい、シンプルで作られました、目的は一般ユーザが簡単に使える為のです。httpからhttpsの変更した時にそのままでセッションが繋ぎますのでユーザには迷惑がかかりません。逆にhttpsからhttpにセッションを戻せます。
「HTTPS Everywhere」のリリースについてニュースのリファレンスは下記となります↓
http://blogs.forbes.com/firewall/2010/06/18/https-everywhere-encrypts-your-connection-with-major-websites/
http://news.cnet.com/8301-27080_3-20008217-245.html
http://www.theregister.co.uk/2010/06/18/https_everywhere_firefox_plugin/
コメントはこちら↓
HTTPS Everywhereを使うだけではセキュアという保証は出来ませんが、SSL無いよりもあった方が増しです。セキュアになるかどうかとユーザの判断が必要ですので、先ずは「httpsを使うと何故かセキュアですか?」という説明からユーザに理解させないと…。
SNSのサイトは殆どhttpsに対応していますのでそのサイトに繋ぐとURLを手で書けばhttpsの繋ぐ事が出来ますよね、HTTPS Everywhereは結局同じ動きでしょ?
HTTPS Everywhereを使うと、pre-settingのサイトにHTTPSで繋げます。只のそれだけです、これで便利だと思いますよ。セキュアかどうかHTTPSの問題です、詰り…暗号キーの確認、相手のhttpsサイト動きの確認(httpやhttpsのリクエアストを投げるとどんな回答が来るかと分からないから)、セッションの繋ぐの確認、など
セキュリティ的にですが、(1)上手くアレンジしないとルールセットファイルは一つspoof攻撃窓口、(2)HTTPSセッションが割れた時にman-in-the-middle攻撃可能性も出ますね。
このサイトにHTTPSのセキュリティ弱い説明が書いてあります。これを読むとやっぱりセキュアの為に便利なHTTPSツールよりもHTTPSプロトコールの理解が重要だね…
---
http://0day.jp
セキュリティチーム
0 件のコメント:
コメントを投稿