web-dev-qa-db-ja.com

私が本当のFacebookを使用していることをどのように確認できますか?

ブラウザのアドレスバーにwww.facebook.comと入力してEnterキーを押し、Facebookを使用します。

アドレスバーの横にhttps://www.facebook.comのURLとロックアイコンが表示されている場合でも、実際に偽のFacebookにアクセスできますか?

28
again

さまざまな方法で本当のFacebookにいることを確認できます。

  1. サイトを保護するために使用される証明書を検査します。証明書を開き(手順はブラウザーによって異なります)、証明書の内容を確認します-Facebookに発行されますか?有効期間内ですか?さて、その証明書に誰が署名したかを見てください。もう一度、その証明書に批判的な目を向けてください。すべてが理にかなっていることを確認してください。ルート証明書に到達するまで、証明書チェーンを下に進みます。次に、お気に入りの検索エンジンに移動し、証明書のベンダーの誰もが、侵害された秘密鍵のニュースを聞いていないことを確認します。残念ながら、CAベースのエコシステムは、ある程度、ルートCAを信頼する必要があることを意味します。

  2. 接続しているIPアドレスを確認します。お気に入りのNSLookupツールを使用して、facebook.comに接続したときにDNSがどこを指しているかを確認します。そのアドレスをグーグルに持っていき、それが人々が一般にFacebookのパブリックIPアドレスが言うことと一致するかどうかを確認します。

  3. 他の人が最近TLSを介してFacebookに接続する際の問題を報告したかどうか、または懸念があるかどうかを確認します。それらの懸念があなたに有効であると思われるか、またはユーザーが何か間違っているように見えるかどうかを検討してください。

次に、上記のポイントから収集したすべてのデータと、これまでに行った偵察を行います。上記のすべてが説得力のあるウイルス、ネットワーク上の悪意のある悪意のある俳優、またはマークザッカーバーグが笑っていることが偽物であることが合理的であると考えるかどうかを批判的に考えてください。また、回避したい問題(FacebookではなくFakebookから情報を送信または表示する)を検討し、スクリーングラバーまたはキーロガーウイルスが実行されて記録しているだけのような別の方法で最終的な結果(データリーク)が発生する可能性がないか考えてください。実際のFacebookへの入力。次に、リスクがFacebookにログインすることで得られる価値を上回るかどうかを検討します。次に、Facebookがあなたに価値を与えず、リスクに値しないと判断することを理解します。

これはまさにHTTPSが解決するように設計されている問題です。 https://nothttp://)で始まるURLを使用してFacebook(またはその他のサイト)にアクセスする場合、ブラウザにはいくつかのセキュリティ対策がありますが自動的に使用して、実際に接続しているサイトがURLバーのhttps://の直後に表示されるサイトであることを確認し、そうでない場合は警告します。

これらのセキュリティ対策について簡単に説明して、それらがどのように機能するか、およびそれらが有効(または無効)である条件をよりよく理解できるようにします。

ドメイン名の仕組み

https://www.facebook.com/のようなURLに初めてアクセスすると、ブラウザが最初に行うことは、指定したURLからサイトのドメイン名を抽出することです。ドメイン名は、URLの先頭の「https://」の後に続くURLの部分であり、before次の「/」です。この場合、ドメイン名は「www.facebook.com」です。

ドメイン名内には、ピリオド(.)で区切られた複数のラベルがあります。右端のラベル(この場合はcom)がトップレベルドメインです。その左側のラベル(この場合はfacebook)はトップレベルドメイン(.com)のサブドメインであり、その他のラベルはthatの左側にあります。 =、wwwなどは、そのドメインの所有者によって制御されるサブドメインです。したがって、secure.facebook.comのようなドメインはFacebookによって制御されますが(facebook.comドメイン名を所有しているため)、www.facebook.com.login.siteのような別のドメインはlogin.siteドメインを所有する人によって制御されます(おそらくFacebookではありません)。

https://www.facebook.com/はFacebookの正しいURLですが、https://other.site.com/www.facebook.comnotではなく、https://www.faceb0ok.com/https://www.faceboook.com/でもないため、これは理解する上で重要です。 、またはhttps://www.facebook.com.secure.site/。 URLバーに表示されるドメイン名がfacebook.comで終わっていない場合、ブラウザーはFacebookに接続するつもりであることを認識しないため、偽の別のサイトへの接続を防ぐことができません。 Facebookになります。

ドメイン名検証

ブラウザがアクセスするサイトのドメイン名を取得すると、TLSハンドシェイクと呼ばれるプロセスを使用してそのサイトに接続します。 (これも、https経由でサイトにアクセスしていることを前提としています。)このプロセスの一部として、接続先のサーバー(実サーバーまたは偽のサーバー)は、TLS証明書と呼ばれる特別なファイルをブラウザーに提示する必要があります。このファイルには、ブラウザがすでに信頼している認証局と呼ばれるサードパーティからの署名付きステートメントが含まれている必要があります。このステートメントは、要求したWebサイトにアクセスするときに使用する暗号化キーをブラウザーに指示し、ブラウザーは接続先のサーバー(本物か偽物か)に、そのサーバーに詳細情報を送信する前にそのキーを制御していることを証明するように要求します。

TLS証明書は、ブラウザがすでに信頼しているサードパーティによって署名されている必要があるため、通信先のサーバーがその証明書の情報を偽造することはできません。また、証明書には、接続しようとしているサーバー(この場合はfacebook.com)の実際のキーが含まれているため、偽のサーバーはブラウザーに正当なものであると確信させることができず、ブラウザーに警告が表示されますあなたに、あなたが接続しているサイトが偽物かもしれないとあなたに伝えます。

このプロセスの詳細については、 SSL/TLSの仕組み を参照してください。

しかしそれで十分ですか?

URLバーにhttps://www.facebook.com/と表示されていても、偽のバージョンのFacebookからページを読み込むようにブラウザを騙すことはできますか?

通常の状況では、違います。 httpsを使用していること、およびドメイン名が正しいことを確認した場合、これらの組み込み保護機能は通常、実際のfacebook.comと実際に通信していることを確認するのに十分です。

これらの保護にもかかわらず、誰かがFacebookになりすますことができるというまれな状況があります。たとえば、コンピューターにカスタムの信頼された認証局をインストールすると、その認証局の所有者がFacebookになりすますことができる場合があります。職場では、雇用主がすでに職場のコンピューターでこのようなことを行っている可能性があるため、所有していないコンピューターでWebを閲覧する場合は注意が必要です。 (学校や図書館のコンピューターも同様です。)コンピューター上のマルウェアが独自の認証局をインストールしたり、ブラウザーの保護を他の方法で迂回したりする可能性もあります。

他にも、攻撃者がブラウザをだまして偽のfacebook.comに接続する可能性のある一般的ではない方法がいくつかあります。たとえば、ブラウザが信頼する認証局を危険にさらすなどですが、これらの方法については詳しく説明しません。彼らは非常に可能性が低いです。

これらの保護にもかかわらず、ブラウザが警告なしに偽のfacebook.comに接続していると思われる場合は、mightで説明されている方法のいくつかを使用しているかどうかを確認できます Adonalsiumの答え ですが、これらの方法でさえも絶対に簡単ではありません。

ただし、ほとんどのユーザーにとって、HTTPS経由で接続していること、およびURLバーに表示されているドメイン名が正しいことを確認するだけで、実際のFacebookと実際に通信していることを確認できます。

19
Ajedi32

URLがhttps://sはセキュリティを表す)であり、ブラウザがロックを表示するという事実RL-bar内はその証拠です。これは、HTTPSプロトコルが使用されることを意味します。Webサイトは、IDを証明する証明書を提供する必要があります。したがって、ユーザーとして、HTTPSが使用されており、facebook.comを使用していて、他のもの(faceb00k.comなど)を使用していないことを確認する必要があります。

ただし、デバイスがハッキングされているか、他の誰か(たとえば、雇用主)によって制御されている場合は、これ(または何でも)については確信が持てません。

10
Anders

すでに非常に良い答えを補足し、上のuser21820のコメントに少し従うために、部分と分析によって信頼を構築します。

あなたが説明する状況でのセキュリティ設定の基本的なポイントはブラウザであることを指摘したかっただけです。使用しているブラウザのコードを書いた人は誰でも、あなたがwww.facebook.comにアクセスしていることを示し、緑色の証明書を表示して、好きなサイトに接続することができます。この状況を検出するには、コンピューターからのIPトラフィックをスニッフィングしますが、ブラウザーを見ることはできません。

最後に、私たちはすべて異なる人/会社/機関を信頼する設定を使用します:オペレーティングシステムを書いた人、それをインストールした人、ハードウェアのBIOSやその他のファームウェアを書いた人、ブラウザを書いた人、インストールされた証明書ほとんどの一般的な設定はよく知られているので、ある程度は信頼できますが、何よりも信頼できる数字です。MicrosoftやGoogle、またはコンピューターの製造元が、疑わしいサイトにソフトウェアを誘導したり、機密情報を盗んだりした場合情報、またはMozillaが安全でない証明書をインストールした場合、何百万ものユーザーの中の誰かが何らかの方法で気づく可能性があります。それはあなたのシステムや私のもので怪しいことが起こることを不可能にしないわけではありません。

5
Martin Argerami

元の質問には2つの側面があります。 1つは、「私のデータが本当のFacebookで終わるのか?」です。言い換えれば、私は詐欺師のサイトにいますか?もう1つは、「接続でスヌーピングするMITM攻撃が発生する可能性はありますか?」です。

どちらの場合も、ブラウザに「緑色のロック」が表示され、ブラウザが危険にさらされておらず、適切なCA証明書を持っていると想定すると、質問への回答は次のようになります。ドメイン名 "facebook.com"の別の証明書が作成されました。これを確認するのは難しい質問です。これを確認できるようにするには、原則として、信頼できるすべてのCAが発行したすべての証明書を確認できる必要があります。ブロックチェーンなどの形式で記述されていないため、不可能です。トークンブロックチェーンは、「二重証明書がない」という問題に似た「二重支出がないこと」の問題を解決するために発明されました。

CAがそのようなことをしないことを支持する議論は、CAのビジネスが信頼されることに依存しているため、ユーザーがCAによって発行された不正な証明書に騙されたことに気づかないことです。何人かのFacebookユーザーが偽物になってしまったと文句を言うなら、それはそのCAのビジネスの終わりです。これは、CAがフェイクブックへの証明書に署名しないことをある程度信頼するための有効な議論です。ただし、これはMITMスヌーパー(たとえば、国が後援するスヌーパー)のCA署名証明書に対する反対ではありません。 MITMが単にスヌーピングしているかどうかを確認する方法はありません。

結局のところ、MITMスヌーパーを使用すると、実際のFacebookに実際に接続していることになりますが、それを傍受されているかどうかを知る方法はありません。元の質問が強調していた側面が何なのかわからない:Facebookで終わるがスヌープされる、またはFakebookで終わる。 「CAの評判」は、2番目の側面にのみ関係します。

0
entrop-x