H29 春 午後セキュリティ 設問3
広告
ふふへさん
(No.1)
タイトルの設問についてしつもんです。
回答は「オートコンプリート機能を無効にする」になっていますが、「WEBページ上で認証情報を暗号化して保存する」ではダメですかね?認証情報を暗号化すればマルウェアによって悪用されることもないと思うのですが…。考え方が間違っています、教えて頂きたいです。
回答は「オートコンプリート機能を無効にする」になっていますが、「WEBページ上で認証情報を暗号化して保存する」ではダメですかね?認証情報を暗号化すればマルウェアによって悪用されることもないと思うのですが…。考え方が間違っています、教えて頂きたいです。
2022.04.02 12:53
GinSanaさん
★AP プラチナマイスター
(No.2)
Webページ(つまりそれを公開しているサーバ)にユーザIDとパスワードを覚えさせるんですか?ユーザIDとパスワードは仮にその値を覚えたとして、誰(WebブラウザとかseleniumとかcurlとかのCUIクライアント)がアクセスしたときのパスワードか?まで「Webページ」はイチイチ把握できません。仮にそれを乗り越えたとして、暗号化には公開鍵なり共通鍵を用意してならないわけですが、それはまあ大変な手間でしょう。オートコンプリートのためにWebサイト側でやるようなことではない。
そうなると、必然的にブラウザとかが覚えていないとならないわけです。
そうなると、必然的にブラウザとかが覚えていないとならないわけです。
2022.04.02 13:42
ペーパードライバーさん
(No.3)
プロキシサーバを通過した先にWebページがあるので、
プロキシサーバを通過させるための認証情報をWebページに覚えさせるのは
「大変な手間」ではなく無理なのではないでしょうか?
プロキシサーバを通過させるための認証情報をWebページに覚えさせるのは
「大変な手間」ではなく無理なのではないでしょうか?
2022.04.02 14:29
GinSanaさん
★AP プラチナマイスター
(No.4)
Webサイトに覚えさせるのが「ムリ」な理由をそれをプロキシを経由しているから・・・を理由にすると、じゃあプロキシがなければいいんか?ってなりません?そういう意味で、無理な理由を順繰りに説明していって、「大変な手間に感じませんか?」というニュアンスにしています。
2022.04.02 16:44
ペーパードライバーさん
(No.5)
> じゃあプロキシがなければいいんか?ってなりません?
ならないです。
プロキシサーバの認証に関する問題だということは理解していますか?
プロキシサーバがないとそもそも問題が成立しないのです。
2022.04.02 18:03
GinSanaさん
★AP プラチナマイスター
(No.6)
つまり、質問者の方が聞きたいのは、Webページにプロキシの認証情報を覚えさせられるか?ということですか?
プロキシは、ブラウザが起動したとき、正確には、googleとかのサイトを開いたとき、サイトをアクセスする前にPCのブラウザ→プロキシ→(プロキシが代理で)インターネットの流れで認証を行う(失敗すると401エラーを返す)
ので、ブラウザにしか持たない、という説明でいいですか。
プロキシは、ブラウザが起動したとき、正確には、googleとかのサイトを開いたとき、サイトをアクセスする前にPCのブラウザ→プロキシ→(プロキシが代理で)インターネットの流れで認証を行う(失敗すると401エラーを返す)
ので、ブラウザにしか持たない、という説明でいいですか。
2022.04.02 20:03
GinSanaさん
★AP プラチナマイスター
(No.7)
ただ、この質問者の方の場合、「プロキシの認証情報」以外、たとえばサイトそのものの認証情報とかも「Webブラウザではなく」Webサイトに持たせられると誤認しているのではないか?そうでないと暗号化しておけば、というくだりの話は出てこないのではないかと思うのですが。
2022.04.02 20:11
陽射さん
★AP ブロンズマイスター
(No.8)
「WEBページ上で認証情報を暗号化して保存する」
を
「WEBブラウザ上で認証情報を暗号化して保存する」
と置き換えたら話が繋がりませんか?
を
「WEBブラウザ上で認証情報を暗号化して保存する」
と置き換えたら話が繋がりませんか?
2022.04.03 00:48
GinSanaさん
★AP プラチナマイスター
(No.9)
結局、ブラウザで持っているときに暗号化しても、そのブラウザ(を持つPC)を遠隔操作されたらダメじゃない?ってことですね。昔のIEだったらpowershellで操作するのは極めて楽だった。
ただ、マルウェア的に考えると、毎回オートコンプリート無効で打たせるようにしても、ブラウザで持つときだけ暗号化しても(復号してプロキシに送出するのだから)、PoisonIvyみたいなのは盗聴してくる(Proxy-Authorization: Basicを含むHTTPリクエストを盗聴、レジストリに記載してそれを利用する)から、「マルウェア対策」の問題としては中途半端なような気はしますね。
blogs.jpcert.or.jp/ja/2015/07/poisonivy.html
朝長 秀誠 (Shusei Tomonaga)2015/07/08
認証プロキシに対応したPoisonIvy(2015-07-08)
ただ、マルウェア的に考えると、毎回オートコンプリート無効で打たせるようにしても、ブラウザで持つときだけ暗号化しても(復号してプロキシに送出するのだから)、PoisonIvyみたいなのは盗聴してくる(Proxy-Authorization: Basicを含むHTTPリクエストを盗聴、レジストリに記載してそれを利用する)から、「マルウェア対策」の問題としては中途半端なような気はしますね。
blogs.jpcert.or.jp/ja/2015/07/poisonivy.html
朝長 秀誠 (Shusei Tomonaga)2015/07/08
認証プロキシに対応したPoisonIvy(2015-07-08)
2022.04.03 09:37
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。