« アンダーグラウンドで“大人気”のツール | トップページ | 「盗聴ウイルス」が出現 »

2009年8月28日 (金)

Man-In-The-Middle(中間者)攻撃を阻止する「ForceHTTPS」

日経ITproの記事「大切なデータには鍵をかけよう:「ForceTLS」で安全な通信プロトコルを選択」からです。

この「ForceHTTPS」という機能は、HTTPサイトがHTTPSサイトを偽装する場合に備えて提案されているものです。
この機能を使うと、「Webサイトは,この機能を搭載したWebブラウザに対して必ずHTTPSでリクエストするよう指示し,暗号化していないHTTPの使用を許可しなくなる」というもの。

さらに、この記事によると「ForceHTTPS」では、以下のようなことが検討されているそうです。

(1)Webブラウザは,ドメインへのアクセス時にHTTPSだけを使うようにする
(2)通信プロトコルをHTTPSに限定する期間はどの程度にすればよいだろうか。例えば,Webサーバーは3日後にHTTPS以外の通信を許可するよう指定できる,という仕様が考えられる。この期限は,新たなHTTPヘッダーが送られてきて,クライアントにデータが届くたびにリセット/変更できるようにする
(3)アクセス対象サイトのサブドメイン(例えば「images.mybank.com」「login.mybank.com」)も強制HTTPS使用の対象にするのか

 ForceTLSは悪質なホットスポットからの防御だけでなく,Webアプリケーションを予想外の非暗号化リクエストに対抗できるよう強化することにも使える。人気Webアプリケーションの多くは,安全なHTTPSと心細いHTTPのどちらででも通信できる。ユーザーがHTTPでなくHTTPSを使うよう指定できるようになっていても,大きなWebアプリケーションのコードには(もちろん誤って)HTTP URIを参照する処理の紛れ込む恐れがある。ユーザがForce-TLSアドオンを導入していれば,自動的にHTTPSプロトコルが使用され,暗号化されていないデータがネットワークにさらされずに済む。

なかなか興味深いアイディアですね。
あとは実用化できるのか否か・・・

|

« アンダーグラウンドで“大人気”のツール | トップページ | 「盗聴ウイルス」が出現 »

ニュース」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/31132188

この記事へのトラックバック一覧です: Man-In-The-Middle(中間者)攻撃を阻止する「ForceHTTPS」:

« アンダーグラウンドで“大人気”のツール | トップページ | 「盗聴ウイルス」が出現 »