アカウント名:
パスワード:
これって脆弱性じゃないの?
httpsがどういうものかちゃんと理解できてないとこういう疑問が出てきちゃうんだろうなぁ
HTTPSって通信内容の盗聴や改竄を防ぐものじゃないの?PC内に入り込んで高位の権限を得ているプログラムによるものとは言え、ブラウザの外からHTMLを書き換えられちゃまずいんじゃないの?
PCに入り込んで高位の権限を得た時点で、それどころじゃなく何でもできるで。
他のコメントにあるように、ルートサーバ証明書をインストールした上で、HTTPS通信に割り込んで、通信内容を書き換えて、即興で作った証明書と差し替え、エラーが出なくなるようにも出来るし。
本当はエラーががんがん出てるのを、ブラウザのバイナリを書き換えて握りつぶすように改造することだって、原理的には出来る。そもそもブラウザのバイナリ改造より簡単に、OS自体をそっくりなニセモノに入れ替えることすら出来るし、そうなると、何一つ前提は成り立たなくなる。
rootなりAdministratorなりの権限を渡すというのがどういう意味かもうちょっとちゃんと理解しといた方が良い。
>> 他のコメントにあるように、ルートサーバ証明書をインストールした上で、HTTPS通信に割り込んで、通信内容を書き換えて、即興で作った証明書と差し替え、エラーが出なくなるようにも出来るし。
こう言うのって昔から(2011ぐらいのver.から?)カスペルスキーの「暗号化された接続のスキャン」の仕様なんだけど、2013位のver.の頃は、ブラウザのうち唯一Firefoxが警告画面を出すような(よう分からん証明書が入ってまっせ)反応を見せた事があった。IEやChromeは無反応、またはHTTPSでの誤動作を起こす(よう分からんけど繋がらへんで)ことがあった。
2016位のver.の「暗号化された接続のスキャン」においては今回のスクリプト騒ぎ?のように色々と仕様が改良されたのだろう。・全面的にHTTPS通信をルート証明書によってproxomitron的に全てを覗き見するのではなく、・カスペの保護機能(決済保護、危険サイト診断、WEBトラッキング防止等)のために必要な場合に、件のスクリプト挿入およびルート証明書により限定的に覗き見するようになった。
# 全てのいちゃもんは「カスペルスキーが信用出来ない」に帰結しているような感じ。# 信用出来ないなら自分でOSもセキュリティソフトも開発すれば良いのにな笑
ブログ見たらわかるけど>WEBサイト作るときに超困るって書いてるように>WEBサイトがレンダリングし終わってものの数秒でカスペルスキーに対するリクエストでうめつくされている。これではネットワークモニターは使いものにならない。こういう状況になっていて、サポートのいう方法でも止められなかったから文句を言ってるんでしょう
なんでこんな売れない芸人みたいな訳の分からんツッコミ入れられるのか…
話の流れ読めよ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
HTTPSのソースコードの書き換えなんてできるのかよ (スコア:0)
これって脆弱性じゃないの?
Re: (スコア:0)
httpsがどういうものかちゃんと理解できてないとこういう疑問が出てきちゃうんだろうなぁ
Re: (スコア:0)
HTTPSって通信内容の盗聴や改竄を防ぐものじゃないの?
PC内に入り込んで高位の権限を得ているプログラムによるものとは言え、ブラウザの外からHTMLを書き換えられちゃまずいんじゃないの?
Re: (スコア:0)
PCに入り込んで高位の権限を得た時点で、それどころじゃなく何でもできるで。
他のコメントにあるように、ルートサーバ証明書をインストールした上で、HTTPS通信に割り込んで、
通信内容を書き換えて、即興で作った証明書と差し替え、エラーが出なくなるようにも出来るし。
本当はエラーががんがん出てるのを、ブラウザのバイナリを書き換えて握りつぶすように改造することだって、原理的には出来る。
そもそもブラウザのバイナリ改造より簡単に、OS自体をそっくりなニセモノに入れ替えることすら出来るし、
そうなると、何一つ前提は成り立たなくなる。
rootなりAdministratorなりの権限を渡すというのがどういう意味かもうちょっとちゃんと理解しといた方が良い。
Re:HTTPSのソースコードの書き換えなんてできるのかよ (スコア:0)
>> 他のコメントにあるように、ルートサーバ証明書をインストールした上で、HTTPS通信に割り込んで、通信内容を書き換えて、即興で作った証明書と差し替え、エラーが出なくなるようにも出来るし。
こう言うのって昔から(2011ぐらいのver.から?)カスペルスキーの「暗号化された接続のスキャン」の仕様なんだけど、
2013位のver.の頃は、ブラウザのうち唯一Firefoxが警告画面を出すような(よう分からん証明書が入ってまっせ)反応を見せた事があった。
IEやChromeは無反応、またはHTTPSでの誤動作を起こす(よう分からんけど繋がらへんで)ことがあった。
2016位のver.の「暗号化された接続のスキャン」においては今回のスクリプト騒ぎ?のように色々と仕様が改良されたのだろう。
・全面的にHTTPS通信をルート証明書によってproxomitron的に全てを覗き見するのではなく、
・カスペの保護機能(決済保護、危険サイト診断、WEBトラッキング防止等)のために必要な場合に、件のスクリプト挿入およびルート証明書により限定的に覗き見するようになった。
# 全てのいちゃもんは「カスペルスキーが信用出来ない」に帰結しているような感じ。
# 信用出来ないなら自分でOSもセキュリティソフトも開発すれば良いのにな笑
Re: (スコア:0)
ブログ見たらわかるけど
>WEBサイト作るときに超困る
って書いてるように
>WEBサイトがレンダリングし終わってものの数秒でカスペルスキーに対するリクエストでうめつくされている。これではネットワークモニターは使いものにならない。
こういう状況になっていて、サポートのいう方法でも止められなかったから文句を言ってるんでしょう
Re: (スコア:0)
なんでこんな売れない芸人みたいな訳の分からんツッコミ入れられるのか…
話の流れ読めよ