HTTP は Hyper Text Transfer Protocol の略で、インターネットで広く使用されています。インターネットの初期には、他の Web サイトのログイン資格情報を盗むためにデータ パケットを盗聴する危険があまりなかったため、このプロトコルでログイン資格情報などを要求することは問題ありませんでした。人々が危険を察知したとき、あなた (クライアント) と対話している Web サイト間のデータ交換を暗号化する HTTPS (HTTP Secure) が発明されました。
読む:HTTPとHTTPSの違い。
数年前まで、HTTPS は絶対確実だと考えられていましたが、Moxie という名前の人が HTTPS をスプーフィングしてそれが間違いであることを証明しました。これは、HTTPS セキュリティ キーを偽装した何者かが通信中にデータ パケットを傍受して、接続がまだ暗号化されていると思わせることによって行われました。この記事は勉強しますHTTPS スプーフィングそこでは、有名な企業さえも、あなたを監視し、あなたの活動を盗み見る技術を採用していました。理解する前に中間者攻撃、何も問題がないと思わせるために偽装された HTTPS 証明書キーについて知っておく必要があります。
HTTPS Web サイトの証明書キーとは何ですか
Web サイトに「適合性」証明書を提供する特定の認証局があります。 「適合性」の要素を決定するには、暗号化された接続、ウイルスに感染していないダウンロード、その他いくつかの要素など、多くの要素があります。 HTTPS は、取引時のデータが安全であることを意味します。主に、HTTPS は、電子商取引ストアや、電子メール サイトなど、個人的なデータ/情報を扱うサイトで使用されます。 Facebook や Twitter などのソーシャル ネットワーキング サイトも HTTPS を使用します。
各証明書には、その Web サイトに固有のキーがあります。 Web ページを右クリックして「ページ情報」を選択すると、Web サイトの証明書キーを表示できます。ブラウザに応じて、さまざまな種類のダイアログ ボックスが表示されます。 「CERTIFICATE」を探し、次に「THUMBPRINT」または「FINGERPRINT」を探します。これが Web サイト証明書の一意のキーになります。
HTTPS セキュリティとスプーフィング
HTTPS の安全性に戻ると、証明書キーはクライアントや Web サイトの途中で第三者によって偽装される可能性があります。あなたの会話をのぞき見するこの手法は、「中間者」と呼ばれます。
ブラウザが HTTPS に送信される方法は次のとおりです。ログイン ボタン/リンクをクリックするか、URL を入力します。
最初のケースでは、HTTPS ページに直接送信されます。 2 番目のケースでは、HTTPS を入力しない限り URL を入力すると、DNS は自動リダイレクト (302) を使用して HTTPS ページにリダイレクトするページを解決します。
中間者は、HTTPS と入力した場合でも、Web サイトへの最初のアクセス要求をキャッチする特定のメソッドを備えています。中間者はブラウザ自体である可能性があります。 Opera Mini および BlackBerry ブラウザーは、通信を最初からキャッチし、それを復号化して、高速ブラウジングのために圧縮できるようにするためにこれを実行します。私の意見では、この手法は盗聴を容易にするため間違っていますが、企業は何も記録されていないと言っています。
URL を入力したり、リンクまたはブックマークをクリックすると、ブラウザに対して、Web サイトの安全なバージョンに (できれば) 接続するように要求されます。中間者は、Web サイトの証明書が証明書発行局に関係なく同じ形式であるため、欠陥があると特定されにくい偽の証明書を作成します。
中間者は証明書を偽装することに成功し、「ブラウザがすでに信頼している認証局」に対してチェックされる THUMBPRINT を作成します。つまり、証明書は、ブラウザの信頼できる認証局のリストに追加されている会社によって発行されたものと考えられます。これにより、証明書キーが有効であると信じ込まれ、中間者に暗号化データが提供されます。したがって、中間者は、その接続を介して送信されている情報を復号化するための鍵を持っています。 Man in the Middle は、あなたの情報を Web サイトに送信するという反対側の活動も行っていることに注意してください。これは誠実に、しかし情報が読み取れるような方法で行われます。
ここでは、Web サイトの HTTPS スプーフィングとその仕組みについて説明します。また、HTTPS が完全に安全ではないことも示しています。があることを知らせるツールがいくつかあります。真ん中の男高度な訓練を受けたコンピュータの専門家でない限り。一般人にとっては、GRCウェブサイトTHUMBPRINT を取得するメソッドを提供します。 GRC で証明書 THUMBPRINT をチェックアウトし、PAGE INFO を使用して取得した証明書と照合できます。一致していれば大丈夫です。そうでない場合は、中間者が存在します。
![LockDown Browser をインストールできない [修正]](https://rele.work/tech/hayato/wp-content/uploads/2023/01/Cant-install-LockDown-Browser-.png)
