アカウント名:
パスワード:
コンテンツは最適化と言う名の改ざんはできませんよね
※できたら大事
twitterみたいに既にクラウド側で最適化圧縮行うのもあるし
グーグル先生のサービスはどうなんだろう。
端末にあらかじめルート証明書入れればできるでしょ
そりゃ、証明書とURLのチェックでばれるでしょ
証明書を注意深く見れば分かるけどルート証明書がインストールされているので警告はでないし中間者攻撃だからURLは変わらずに送られてくるファイルの内容を改ざんできる
うそを書くなよ。
クライアントとサーバー間でセキュアに通信しているんで、そのデータを間引きできるわけがない。たとえできたとしてもサーバー側でエラーになるよ。
https://www.example.com/ [example.com] と通信するとしよう。普通は www.example.com の HTTPS サーバは、信頼されたルート証明機関、たとえばシマンテックへつながる証明書を送ってくる。端末(ブラウザ)は、自分が信じる「この証明機関は信頼できる」とされる証明機関であるシマンテックへつながる署名があるから、「現在接続している "www.example.com" と名乗るサーバは本物である」と推定する。
ここで、キャリアが独自のルート証明書、"Carrier CA" を出荷時に端末の証明書ストアに入れておくとしよう。ブラウザは www.example.com と思われるホストと通信をし、最終的に "CAREER CA"
利用者が直接気付くのは難しいだろうという点は同意しますが、それでも、今ならCertificate Transparency (CT)があるので、Carrier CAが証明書を偽造していることはすぐに発覚するはずです。そのため、現在のいわゆる「通信の最適化」のように黙って実施することはないと期待して良いのではないでしょうか。
CTが生まれたきっかけも、偽造証明書の事故(DigiNotarのときの)ですし。CT(Certificate Transparency:透かし入り証明書)の現状 [digicert.ne.jp]
この事件が、Googleのエンジニアたちに証明書の偽装に関する新しい解決策の確立を迫りました。Googleは議論の末、ベン・ローリーとアダム・ラングリーという二人のエンジニアが考えたCT(Certificate Transparency:透かし入り証明書)のアイデアを、オープンソース・プロジェクトとして開始しました。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
とは言ってもセキュア通信の (スコア:0)
コンテンツは最適化と言う名の改ざんはできませんよね
※できたら大事
twitterみたいに既にクラウド側で最適化圧縮行うのもあるし
グーグル先生のサービスはどうなんだろう。
Re: (スコア:0)
端末にあらかじめルート証明書入れればできるでしょ
Re: (スコア:0)
そりゃ、証明書とURLのチェックでばれるでしょ
Re: (スコア:0)
証明書を注意深く見れば分かるけどルート証明書がインストールされているので警告はでないし
中間者攻撃だからURLは変わらずに送られてくるファイルの内容を改ざんできる
Re: (スコア:0)
うそを書くなよ。
クライアントとサーバー間でセキュアに通信しているんで、
そのデータを間引きできるわけがない。たとえできたとして
もサーバー側でエラーになるよ。
Re: (スコア:5, 参考になる)
https://www.example.com/ [example.com] と通信するとしよう。
普通は www.example.com の HTTPS サーバは、信頼されたルート証明機関、たとえばシマンテックへつながる証明書を送ってくる。
端末(ブラウザ)は、自分が信じる「この証明機関は信頼できる」とされる証明機関であるシマンテックへつながる署名があるから、「現在接続している "www.example.com" と名乗るサーバは本物である」と推定する。
ここで、キャリアが独自のルート証明書、"Carrier CA" を出荷時に端末の証明書ストアに入れておくとしよう。
ブラウザは www.example.com と思われるホストと通信をし、最終的に "CAREER CA"
Re:とは言ってもセキュア通信の (スコア:1)
利用者が直接気付くのは難しいだろうという点は同意しますが、それでも、今ならCertificate Transparency (CT)があるので、Carrier CAが証明書を偽造していることはすぐに発覚するはずです。そのため、現在のいわゆる「通信の最適化」のように黙って実施することはないと期待して良いのではないでしょうか。
CTが生まれたきっかけも、偽造証明書の事故(DigiNotarのときの)ですし。
CT(Certificate Transparency:透かし入り証明書)の現状 [digicert.ne.jp]