2014年10月9日 09:53
セキュリティの現場から from バラクーダラボ (194) Googleの「HTTPS Everywhere」がWebアプリケーションセキュリティに与える影響
アプリケーションプロキシへのSSLオフロードは、すべての演算処理をプロキシ自体にオフロードすることが可能になります。
将来もセキュリティを実現できるHTTPS:PFS(Perfect Forward Secrecy)暗号化に対応していない環境では、もしも鍵が盗まれた場合、今日キャプチャされたHTTPSトラフィックスが、将来復号化されてしまう危険があります。PFSはこのような問題を未然に防ぐことができます。ただし、PFSを使用する環境では、IPS/IDSのようなスニッファデバイスをベースにしたセキュリティやスパンポートをベースにしたアプリケーションプロキシは、PFS通信を復号化できないので役に立ちません。
このように、サーバでセキュリティ侵害のスニッフィングを行う場合、HTTPはその効果を発揮できなくなります。検索順位の下落(「このサイトはマルウェアに感染しています」という警告メッセージ)は、ビジネスに壊滅的な影響を与えるおそれがあるので、十分な注意が必要です。
※本内容はBarracuda Product Blog 2014年9月3日What does Google’s “HTTPS Everywhere” mean for Web Application Securityを翻訳したものです
Neeraj Khandelwal
本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ』10月7日付の記事の転載です。
終電で“駆け込み乗車”!?…乗客「危険だろう!」迷惑男「文句あるなら降りろや!」→注意してきた“乗客の顔”を見て…迷惑男、顔面蒼白!?