Webは暗号化されるべきか？

作者 Jean-Jacques Dubray , 翻訳者 竹中 翔 - (株)ポータルアイランド 投稿日 2011年8月14日

セクション

設計/アーキテクチャ,

デベロップメント

トピック

HTTP ,

W3C ,

セキュリティ ,

Architecture ,

Firefox ,

仕様

共有 |

原文(投稿日：2011/08/07)へのリンク

1990年に設立されたの非営利団体Electronic Frontier Foundationが、HTTP Everywhereのベータテストバージョンをリリースしたのは、2010年6月のことだった。先週、ついにHTTP Everywhere 1.0がリリースされた。バージョン1.0では、HTTPからHTTPSへの切り替えルールが吟味され、数百のWebサイトが新たにサポートされた。

HTTPSはインターネットにおけるセキュリティとプライバシーの要である。特に、HTTPSは"検索ハイジャック"攻撃を防ぐのに役立つ。

今年の初め、アメリカのいくつかのISPのドメインネームシステム(DNS)で観測された奇妙な現象についての、2つの研究論文が発表されました。これらのISPのネットワーク上では、BingやYahoo!、Googleなどのメジャーな検索エンジンへのトラフィックの一部、もしくは全てが、奇妙なサードパーティのプロキシへリダイレクトされていたのです。

EFFの主任技術者、Peter Eckersley氏はこのように述べた。

HTTPSがなければ、我々のオンライン上の習慣や活動が盗聴の危険にさらされますし、アカウントがハイジャックされてしまう懸念もあります。今日のPaxfireの状況は、物事がどのように悪い方向に向かっていくかのよい例です。EFFが提供するHTTPS Everywhereは、ユーザーのアカウント名やパスワード、ブラウジング履歴をセキュアでプライベートな状態にします。

HTTPS Everywhere 1.0はGoogle検索やGoogle画像検索、Facebook、Twitter、Hotmail、Wikipedia、Flickr、Netflix、Apple、NPRやEconomist、New York Timesなどのニュースサイト、多数の銀行のサイト、その他多くのポピュラーなWebサイトへの接続を暗号化する。

EFFのFirefoxエクステンションは、GoogleやDuckDuckGo、StartingPageの検索機能のユーザーを保護してくれる。一方、BingやYahooの検索エンジンはHTTPSをサポートしていないので、これらのユーザーは保護されない。

Aaron Swartz氏は、HTTPS Everywhereの基礎部分をChromeで動かすことができたと報告している。

昨年、Dan Kaminsky氏はHTML 5のセキュリティとブラウザのHTTP実装の欠点についてのエッセイを書いた。

Robert “RSnake” Hansen氏とJosh Sokel氏は、“HTTPS Can Byte Me”において、WebサイトのHTTPSの部分へ提示される資格情報の大部分をそのサイトのHTTPの部分が制御する、と指摘しています。この資格情報の制御は、圧倒的ではないもののかなり強力であり、予想以上に厄介です。

Dan氏は次のような攻撃手法を挙げている。

• Webサイトがワイルドカード証明書を持っており、かつそのサイトがHostヘッダーに関わりなくクロスサイトスクリプティング攻撃可能な場合、攻撃者は中間者攻撃によりワイルドカード証明書下のコンテンツを読み取ることができます。
• HTTPのサイトがHTTPSエンドポイントに影響するCookieに書き込みができ、そのCookieが特定のパスに関連しており、かつ非常に長いCookieを渡されるとサーバーがエラーを吐く場合、攻撃者は巨大なCookieを投げることによってHTTPSの一部を“オフにする”ことができます。

Dan氏はこのように結んでいる。

最終的に、私はこれらの研究結果により、Webサイトを“SSL接続のみ”に限定できる機能が必要である、という自分自身の信念を強めました。HTTP EverywhereやStrict-Transport-Security、DNSSECのStrict Transport(まだ詳細不明ですが)といった技術を組み合わせて利用することが、より重要になっていくでしょう。

20歳を迎えたWebは疲れを見せ始め、その中核となる技術は徐々に高度な攻撃に耐えられなくなってきているようだ。Web APIの急速な成長や、セキュアなWebプロトコルの偽りの標準の蔓延により、我々のデータの大部分は危険にさらされている。Webは暗号化していこうとしているのだろうか？読者はこれについてどう思うだろうか？