セキュリティ – 「どこでもHTTPS」は今でも関係あるのか?

browser https security

HTTPS Everywhere は、Tor プロジェクトと Electronic Frontier Foundation の共同開発によるブラウザ拡張機能で、HTTP URL のリクエストを、利用可能な場合には安全な HTTPS 代替のものに書き換えることを自動化します。これは明らかに 10 年ほど前から存在していたが、最近誰かに聞かれるまで私のレーダーには載っていなかった。調べようとしたが、情報が錯綜していた

  1. 必要性にかかわらず、それがどれだけ「既成概念にとらわれない」有用性を持っているかは明らかではありません。様々な記事では、デフォルトをホワイトリストやルールで補完して、完全な利点を得る必要があることが言及されています。そのため、それを実装することは些細な作業ではないようです

  2. 少なくとも一時期は、Web サイトのかなりの部分が HTTP のみであったため、そのようなソフトウェアを使用しても限られた利益しか得られませんでした。機密性の高い個人データを扱うサイトは、かなりの部分で HTTPS 専用に移行しているようです。Google は、Web サイトが HTTPS に変換するようにインセンティブを与えるために、さまざまな対策を実施しました。HTTP がいまだにどの程度の問題を抱えているのか(あるいは、今でも抱えているのであれば、問題がすぐに消えているのか)は明らかになっていない

    また、HTTPS に変換するサイトが、レガシーな訪問者のためだけに HTTP リンクを保持し、自動的に HTTPS サイトにリダイレクトしているかどうかも不明である

  3. 主要なブラウザはすべて、利用可能な場合には HTTPS サイトを好むようにロジックを組み込んでいるか、 あるいは実装のプロセスに入っているように見える。少なくとも Google(他の検索エンジンについては何も見ていない)は、検索時に自動的に HTTPS 接続を試みる同じ名前のプログラムを持っている(実際に同じ製品かどうかは不明)

  4. 3年ほど前に「HTTPS Everywhereをインストールする必要がある理由」という記事がありました。最近の記事では、人々がこのソフトウェアをインストールすることを勧めるのをやめるべきだということを示唆する記事がいくつか出てきました。要点は、すでに機能が重複しているブラウザに関係しているようです

したがって、HTTP がまだ解決策を必要とする実質的な問題なのかどうか、もしそうならば HTTPS リンクを最初に試すソフトウェアが残っているものを解決することができるのかどうかは明らかではありません。この問題全体がイベントに追い抜かれてしまったのだろうか

私が探しているのは、意見ではなくコンテキスト(つまり、それがどれほど良いか悪いか、あるいはそのソフトウェアが必要かどうかという意見ではなく、現状を説明する事実)です。例えば、現在の主要なブラウザは、HTTPS Everywhere が開発されたような救済策を提供しているのだろうか?現在、HTTPは個人情報がないサイトに事実上限定されているのだろうか?これを問題にしないようにするための政府や業界の規制はあるのだろうか?言い換えれば、自分(と他の人)が自分の意見を形成し、自分にとっての関連性を判断するために、現状を理解するための客観的な情報の種類である

  101  None  2019-10-27


ベストアンサー

どこでも HTTPS は、コンテンツや中途半端なウェブサイト構成が混在していた時代には、必要性が高まっていました。最近のウェブは確かに成熟しており、HSTS のようにどのサイトでも利用できる技術や、大手企業向けの公開鍵固定などがあります(現在は 証明書の透明性 – Justin が教えてくれたおかげで非推奨となっています)

したがって、この拡張機能が有用かどうかは、個々のユースケースに大きく依存します。HTTP と HTTPS の両方を提供する Web サイト用のカスタムルールを作成することは、この拡張機能が得意とするところであり、これと同じような仕事をしている他の機能は知りません。ウェブサイトが HTTPS をサポートしていない場合でも、CDN などのサードパーティドメインへの参照は、元の参照がプロトコルニュートラルであったとしても、この拡張機能によって HTTPS にアップグレードされるようになります

78  BoffinBrain  2019-10-27


HTTPS Everywhere の以前のルールセットの貢献者として、私は次のように述べています

  • HTTPS Everywhere プロジェクトでは、すべての書き換えルールを定期的にテストし、何らかの理由で失敗したものは無効にしています。これにより、ウェブサイトの設定の変更に比較的迅速に対応できるようになりますが、大幅な保守作業を行わない限り、ルールセットの大部分が無効化されてしまう可能性があります。中央のルールセットを補完すべきだという提案は、主にこれらの中央のルールセットが修正できること、修正すべきであることを知らないことから生じます。それはボランティアの利用可能性の問題です

  • ウェブの HTTPS のみへの移行は大きく進展していますが、多くのサイトでは未だに設定が間違っており、ファーストコネクション攻撃を防ぐために必要な HSTS プリロード保護が実装されていないサイトも少なくありません。この保護を実装したサイトは、その後まもなく HTTPS Everywhere のルールセットから削除されます

  • Web ブラウザの技術は非常に便利ですが、HSTS のプリロードリストを超えたものは、それだけで十分です。HTTPS Everywhere は、ブラウザを介して HSTS を有効にしていないサイトのために、コミュニティが維持する HSTS の設定をカスタム化する必要があるサイトのためのストップギャップを提供しています

まとめると、取り付けたままにしておいて損はありません。あと数年はそれを我慢して、うまくいけばすべてのことが冗長になることを願っています

13  Bardi Harborow  2019-10-30


HTTPS と HSTS の認識が向上したことで、セキュリティ標準は確実に前進しましたが、HTTPS Everywhere 拡張機能はまだ使用されています

HSTS は HTTP ダウングレード攻撃からの保護に優れているが、注意すべき点の一つは、それが最初の使用時の信頼モデルに基づいていることである。これは、サイトへの最初の接続は HTTPS を経由しなければならないことを意味し、そうでなければ HSTS の保護が侵害される可能性があることを意味します(例えば、HTTP から HTTPS への 301 リダイレクトは攻撃の機会の窓です)

HSTS は通常、ブラウザに組み込まれたドメインのリストである HTST プリロードリストを使用して、これらのサイトでは HTTPS のみを使用するように最初の接続を強制することでこれを防いでいる。しかし、リストに登録する(そしてブラウザで変更が適用されるのを待つ)には時間がかかり、すべてのサイトが自分自身を登録しようとするわけではありません。そこで、ブラウザ拡張機能は、すべての最初の接続が HTTPS のみを介して行われるようにすることで支援します

もう一つの小さなケースは、ウェブサイトの HTTPS が通常とは異なるパスに配置されている場合です。例えば、http://www.exampleに安全なサイトがあるのに、https://secure.exampleにあるウェブサイトがあるかもしれません。HTTPS Everywhere は、HTTPS の正しい URL にアクセスしていることを確認するために、ドメインのデータベースを保持しています

脚注:公開鍵のピン留めも役立ちますが、Chromeですら採用率が低いことと、足利銃になる可能性があることから削除を決定しました

9  AlphaD  2019-10-28


私は、https をサポートしているが、http トラフィックを https にリダイレクトしないウェブサイトがまだいくつかあることに気づいた。拡張子は、それがしかしであるために使用されるようにほぼ同じくらい有用ではありません。数年前のyoutubeのようなウェブサイト, wikipediaとredditはhttpsのサポートを持っていたが、httpにデフォルト.どこでもHTTPSはそれを解決し、まだまだhttpにデフォルトであるが、httpsのサポートを持っているウェブサイトのほんの一握りのための問題を解決しています

8  Qwertie  2019-10-28


これは確かに物議を醸すことになるだろうが、それにもかかわらず、私にはそう見えるのだが

HTTPS の必要性については少し誤解があるが、これはおそらく意図的に広められたものだろう。すべての中途半端な真実と同じように、議論にはいくつかの真実があるが、多くの嘘もある

HTTPS(または TLS)は、いくつかのサービス(銀行業務を考える)では絶対に必須であり、かなりの数の、もしかしたら大多数のサービスで は間違いなく必要な、非常に便利で望ましい特性(認証と機密性)を持っています。個人識別データを含むものは、基本的にすべてそうです。 一方で、不適切に使用される HTTPS は、コンテンツが混在している場合には、かなり安全ではない(ほとんど HTTPS を使用していないのと同じように)ことがあり、これがそもそもすべての場所で HTTPS を使用する正当な理由となっています。そして、実際に混在したコンテンツで必須の HTTPS サービスを提供していた当時のいくつかのサイトに照らすと、それは確かにいくつかのメリットを持っていました

それはもちろん、何人かの人々が持っていて、それが積極的に推進されている、全世界が実際にみんなの重要ではない小さな、重要ではない小さな生活の中で、すべての小さな、重要ではないことに興味を持っているという被害妄想がかなりの量あります。案の定、今日やったことをすべてInstagramに投稿した後(写真とジオタグ付き!)、文字通り全世界がそれを読むことができる、暗号化されたチャンネルを介して安全に行ったことで良い仕事をしています。また、それは誰もあなたが一般的にインターネット上で何をしているかを見つけることができないことが重要です。これは、ニュース記事を改変して、何のために偽の情報を提供しているのかわからない(実際には、Google などが行っていることと同じであるため、これにもいくつかの真実がある。銀の弾丸HTTPSは、これらの悪いことをすべて防いでくれますということで、はっきり言って、すべてがHTTPS/TLSである必要があります

それにもかかわらず、HTTPS を適切に使用しても、HTTPS は希望するサービスを提供することができない。ある理由から、証明書のチェーン全体が、証明書を販売して儲けている誰か(例えば Comodo)を実際に信頼する理由がなくても、「信頼できる」という前提で機能している。そして、政府だけでなく、大企業(学校やウイルス対策ソフト、他にも誰が知っているかわからないが…)も、事実上システムを壊すことを唯一の目的として、ルート証明書をインストールすることで、証明書チェーンを積極的に破壊している。 つまり、通信は機密性が保証されているわけではないし、信頼できる方法で認証されているわけでもない。とにかく、あなたが考えるほどではありません。あなたの雇用主のラップトップを使用して?あなたの子供のコンピュータを使って?原因は不明ですアンチウイルスはインストールされてますか?全ての可能性がある しかし、少なくともあなたはサイトが安全であることを知っているし、ブラウザの緑色の表示がそれを教えてくれるし、危険なサイトについて警告してくれる。そう、誰もが無料でグリーンでない証明書を手に入れることができます(怖い警告を避けることができます)し、グリーンバッジの証明書をわずかなお金で手に入れることができます。それは全く意味がありません。 マジでgmailアカウントへのアクセスもTLSを有効にしてほしい。なぜなら、あなたが知っている、それはそれが安全になります、あなたはあなたのメールを読むためにワイヤー上の誰かを望んでいない、あなたはしません。確かに、Googleはサーバーに保存されている間は、完全に暗号化されていないメールを読むことはありません。案の定、アメリカの企業である彼らは、特定の政府機関に内容を提供することはありません

今、あなたがどこでもHTTPSを持たなければならない本当の理由は、Google、Microsoft、Amazonのような企業と、それらの帯域幅を販売するすべてのプロバイダがそれを望んでいるからです

彼らは、リソースをキャッシュすることで帯域幅の消費を減らすだけでなく、彼らの広告やトラッキングのものをフィルタリングするだけでなく、透明なWebプロキシとしてクレジットカードのコンピュータを設定するには、すべての人と彼らの祖母を望んでいない.確かに, あなたは常に同じことを行うブラウザのプラグインを追加することができます.を除いて, あなたはあなたの家に持っているすべてのコンピュータ上でそれを維持する必要があります, そしていくつかの上で (Fire TV) それはデバイスが使用できないレンダリングせずに完全に不可能である, またはあなたはそれをルート化する必要があります (Android携帯電話を考える) また、必ずしも破壊フリーではありません (サムソンノックスのためにそんなに感謝しています, とても素晴らしい). 幸いなことに, あなたはちょうどあなたのケーブル/dslモデムの右後ろに透明なプロキシを持っていることによって、ネットワーク内のすべてのデバイスのために、グローバルにうんちをカットすることができます, 20€と3分のセットアップを要する.なんてことだ、大惨事だ!あなたは、彼らが望むバージョンを正確にダウンロードする必要があります (「パーソナライゼーション」を含む), そして、彼らはそれを望むとき, すべてのビーコンと何も含めて.これが、どこでもHTTPSが必要な本当の理由です

皮肉なことに、HTTPS を推進し、TLS などが実際のコンテンツを隠すだけでなく、あなたがクリックした正確な URL(http://somesite.com/dirty_porn_pic.jpg のような)なども隠すことを強調している企業は、実際には、あなたのシステムに指紋をつけ、あなたを識別し、無限の履歴を保持し、あなたが行うすべてのクリックを追跡し、あなたがどこにいつ、どこに行くか、あなたの鼓動を含む可能な限りの情報を収集するために、あらゆる手を尽くしている企業である。コンピュータ上のファイルの内容も。あなたが5分前に携帯電話で「XYZ」をGoogleで検索した後に、AmazonがどのようにしてPCで「XYZ」を推奨するのか不思議に思ったことはありませんか?異なる会社、異なるデバイス、おそらく両方のデバイスが同じ人によって所有されていることを知ることはできません。私の理解では、彼らがそれを達成するために必要なものは何であれ、確かに法律(少なくともEUでは)に準拠していないので、私は実際にそれがどのように行われているのか疑問に思った。しかし、どうやら、それは邪魔ではないようです

HTTPS は、誤った安全性を提供し、送信されているものを不明瞭にし、人々に「おい、俺のデバイスから暗号化されたトラ フィックは何だ!」と聞かせないようにすることで、これらの境界線上の合法的なことをするのに役立ちます。なぜなら、あなたが知っているように、すべてのトラフィックは暗号化されるべきで、それは良いことです。暗号化されたものは不審なものではなく、おそらく無害です。誰も何かを隠しているわけじゃない

0  Damon  2019-10-29


HTTPS Everywhere は SSL-strip 攻撃を防ぐために開発されたとずっと思っていましたが、これは単なる副作用なのかもしれません。しかし、SSL-strip は依然として問題であり、HTTPS Everywhere を使えばそれを防ぐことができます

攻撃者がユーザを騙して最初のリクエストに HTTP を使用させることができれば、通信を傍受し、HTTPS を使用してサーバに連絡し、レスポンスを修正してユーザに返すことができます。例えば、結果に含まれるすべてのリンクを修正して SSL を使用しないようにしたり、攻撃者の制御下にある HTTPS の url に接続するように書き換えたりすることができます

ここに HTTPS-everywhere が飛び込んでくると、この最初の HTTP リクエストは HTTPS として実行されるので、攻撃者はトラフィックを傍受する機会がありません

0  martinstoeckli  2019-11-14


タイトルとURLをコピーしました