HTTPSサイトは悪意のある、または安全でない可能性がありますか?
Webサイトにアクセスするだけでコンピュータが感染する可能性があることは知っています。 HTTPSウェブサイトが安全であることも知っています。
私の理解では、ここで「安全」とは「MITM攻撃に対して免疫がある」を指しますが、そのようなWebサイトには証明書などがあるので、それらが「クリーン」で悪意のないものであると想定することは正しいですか?
いいえ、HTTPSは必ずしもサイトが悪意のあるものではないという意味ではありません。 HTTPSは、サイトのセキュリティに関してほとんど意味がありません。これは特に、サイトを盗聴者や改ざんから保護してあなたのコミュニケーションを維持することを目的としていますが、サイト自体のセキュリティについては何も提供していません。
はい、HTTPSを介してコンテンツを提供するサイトには証明書があります。つまり、CAに証明書を要求した個人は、ドメインに関連付けられた電子メールアドレスを持っています。 Extended Validation証明書(緑色のアドレスバーを提供する証明書)の場合を除いて、これは文字通りすべてです。 CAの誰も、サイトが安全でセキュアであり、マルウェアに対応していないことを検証していません。 SSL証明書の有無にかかわらず、どのサイトにもバグと脆弱性があり、攻撃者がそれらを利用してエクスプロイトを提供することができます。または、悪意を持ってまたは無意識のうちにサイトにマルウェアを提供させることができる管理者またはユーザー。サイト自体が提供していなくても、広告ネットワークまたは別のサイトから広告(または、他のコンテンツについては)を提供している場合、thatは脆弱である可能性があります。
つまり、HTTPSは、誰もあなたのトラフィックを表示したり改ざんしたりすることができるべきではないことを意味します。それが意味することはそれだけです。
保証は一切ありません。 HTTPSは、WebページにSSLがあることを意味します。つまり、ページへの接続が暗号化されているだけです。ページのコンテンツは、SSLで暗号化されているかどうかにかかわらず、任意のWebサイトに投稿できるものであれば何でもかまいません。
さらに、以下のコメントの回答に記載されているように、(さまざまなタイプの例で)ターゲットサーバーが侵害された場合、またはハッカーがhttpsサイトデータを別のhttps暗号化された場所にリダイレクトした場合、誤った安心感に騙される可能性があります。サイトに対して暗号化することはできますが、実際のサイトのように見える偽のサイトでさえ可能性があります。
要するに:はい、それは確かに悪質である可能性があります!
HTTPS経由でサイトにアクセスすると、コンピューターとWebサイトのサーバー間の接続が暗号化され、安全になります。
HTTPSの機能
- コンピュータとWebサイトのサーバー間のネットワークを介して送信されるデータを暗号化して、第三者による傍受を防止します。
- 中間者攻撃を防ぎます。
HTTPSが行わないこと
- HTTPSはWebサイトが提供するコンテンツをスキャンしてウイルスや悪意のある要素を検出しません
したがって、Webサイトの作成者(またはWebサイトへの不正アクセスを取得した人)が、Webサイト自体に悪意のあるコンテンツをブラウザーに提供させる可能性があります。
Httpsのsecureは、Webサイト/サービスのコンテンツとは関係ありません。
理論的にはセキュリティプロトコル(ssl/tslなど)では交換される情報を簡単に理解できないため(データフローを暗号化するため)、「安全」と呼ばれます。そのため、誰かがパケットをキャッチしたとしても、メッセージを理解するためにそれを解読する必要があります。
パスワード、社会保障番号、クレジットカード番号などの一部の情報は、被害者が発見した場合に多くの問題を引き起こす可能性があるため、これは便利です。
この意味で、httpsは、第三者がウェブサイトと交換した情報を知るのを困難にすることで私たちを助けます(そして、それがほとんどの銀行がサービスで少なくともhttpsを利用している理由です)が、それはウェブサイトまたはサービスを停止しません悪意のあるソフトウェアまたは攻撃者に感染して、サーバーに感染することで間接的にあなたに到達する。
さて、あなたの質問から私はあなたが「安全な」という言葉を使ったとき、あなたはそれを別の意味で(悪意のあるコンテンツに対する安全の意味で)意味したと推測しました、この意味で、httpsはあなたをまったく保護しませんコンテンツ(接続を介して送信されているもの)自体に注意を払いません。
はい、簡単にできます。悪意のあるJavaScriptやウイルスは、HTTPSと同じくらい簡単にHTTP経由で転送されます。問題はありません。検証済みの有効なHTTPSメッセージの送信元がわかっているため、可能性は多少低くなります。
ただし、HTTPSサイトにセキュリティホールがあり、攻撃され、侵害され、悪意のあるコンテンツがインストールされている場合でも、HTTPSサイトが発生する可能性があります。長い間ではなく、すぐに管理者は何らかの方法でマルウェアを削除します。ただし、コンテンツがHTTPS経由で配信されたという理由だけでコンテンツを信頼することは避けたいと思います。
CA自体がハッキングされ(DigiNotarなど)、偽の証明書を発行するために使用された可能性があるリストに追加します。または、ブラウザーが偽のCAを使用するよう強制され、接続が傍受されたり改ざんされたりする可能性があります。企業ネットワーク。
また、証明書はMD5を使用していたため、偽造された可能性もあります。すでに述べたように、ブラウザーのロックアイコンは、あなたが思っている以外のことを意味します:)。
認証済みのHTTPS接続では、アドレスバーにhttps://www.example.comが表示されている場合、実際にwww.example.comに接続していることが検証されます。
証明書は、www.example.comが悪意のあるものではないことを証明していません。 Extended Validation Certificate アドレスバーの周りに緑色のハイライトが表示されると、サイトの背後にある実際の組織を知ることができるため、信頼できる場合はWebサイトを信頼できます。組織検証済みの証明書もありますが、通常のユーザーがこれらをドメイン検証済みの証明書と区別することは困難です。
DV証明書は非常に簡単に入手できます。サイトのドメインを知っていて信頼していない限り、httpsを使用しているという理由だけでサイトに追加の信頼を与えるべきではありません。
指摘された他のポイントに加えて、信頼できるサイト(たとえば、銀行)であっても、悪意のある動作をさせるウイルスに感染している可能性があることは言及に値します。したがって、組織を信頼している場合でも、httpsはWebサイトが悪意のある行為を行わないことを保証しません。
ファーミング攻撃 を使用して、トラフィックを悪意のあるサーバーにリダイレクトできます。このサーバーは正当なサーバーに接続し、それが本人であるかのように認証します。次に、正当なサーバーからの情報またはWebページが表示されます。あなたのために-あなたは合法的なサーバーに安全に接続されているように見えますが、今はチャンネルにアクセスできるMITMがあり、彼はそのすべてを読むことができます。この種の攻撃は実行が困難ですが、HTTPSが役に立たなくなる可能性があります...
そのため、サイトは悪意のあるものである必要はなく、あなたの銀行である可能性があります。ただし、このアプローチを使用すると、サイトがHTTPSであっても、アカウントデータや資格情報などをすべて取得できる人がいます。