アカウント名:
パスワード:
大丈夫?
証明書の検証まではしてないだろうから無理かな。
今回の件はユーザーとサーバーの間に割り込むわけではなく、クライアントからリクエストを受けたサーバー側が更にどこかにHTTPリクエストを投げるケースで、「更にどこかにHTTPリクエストを投げる」の部分に中間者攻撃が成立しうるというものであって、これが「更にどこかにHTTPSリクエストを投げる」であればターゲットになる環境変数は「HTTPS_PROXY」とかになるんだろうけど、今回のキモはリクエストヘッダの頭に「HTTP_」を付け加えるってところなので成立しない#よね?
https_proxyが無いときはhttp_proxyを読むようになってたりするかも
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
それでもhttpsなら・・・ (スコア:0)
大丈夫?
証明書の検証まではしてないだろうから無理かな。
Re:それでもhttpsなら・・・ (スコア:0)
今回の件はユーザーとサーバーの間に割り込むわけではなく、クライアントからリクエストを受けたサーバー側が更にどこかにHTTPリクエストを投げるケースで、「更にどこかにHTTPリクエストを投げる」の部分に中間者攻撃が成立しうるというものであって、
これが「更にどこかにHTTPSリクエストを投げる」であればターゲットになる環境変数は「HTTPS_PROXY」とかになるんだろうけど、今回のキモはリクエストヘッダの頭に「HTTP_」を付け加えるってところなので成立しない
#よね?
Re: (スコア:0)
https_proxyが無いときはhttp_proxyを読むようになってたりするかも