Perspectives を使用して Firefox で安全にブラウジングする

情報セキュリティの基礎は、C-I-A - 機密性、完全性、および可用性の 3 つの概念を中心に展開しています。これらは、セキュリティを実行または元に戻すための基本原則です。

何気なく Web をブラウジングしているときは、現在アクセスしている Web サイトが実際に表示されているものであるかどうかはあまり気にしないでしょう。ただし、Web サイトとやり取りして機密情報を提供する必要がある場合は、C-I-A が重要になります。

機密取引を非公開にするために、暗号化が生まれました。 SSL/TLS を使用して「安全な」ウェブサイトに接続し、Amazon で書籍を購入したり、銀行のウェブサイトで株式ポートフォリオ (おかしなお金) を管理したり、最後に行った DNA テストのチェックを行ったりします。明確なので、慰謝料を支払う必要はありません...

しかし、これは誠実さの部分には答えません。私たちが訪問しているウェブサイトが本当に彼らが主張しているものであることをどのように確認できますか?不正な (フィッシング) サーバーに個人データを送信しようとしていないことを 100% 確信するにはどうすればよいでしょうか?

これは、認証局 (CA) が行うことです。これらは中立の第三者機関であり、世界中の安全な (HTTPS) Web サイトの ID を提供します。 Web サイトが CA の 1 つによって承認され、適切な証明書を提供している場合、それはその Web サイトが主張しているものであるというコンセンサスがあります。

大丈夫ですよね？

それでも、これだけでは不十分な場合があります。最近、MD5 衝突攻撃が成功したという話があります。

オタクでない人のために、要点を次に示します。ハッシュは、クリアテキストを暗号テキストに一意にマッピングする不可逆的な単射関数です。これは、2 つの異なる値が同じハッシュを持つべきではないことを意味します。最も一般的なハッシュ アルゴリズムは MD5 と SHA-1 です。

したがって、Web サイトに証明書が提供されている場合、この証明書には特定のハッシュがあります。理論的には、コンテンツに関係なく、他の Web サイトが同じハッシュを持つことはできないはずです。

MD5 衝突はまさにそれです - 2 つの異なる値が同じハッシュに変換される場合です。これは、2 つの異なる証明書が同じ署名を持つ可能性があることを意味します。したがって、理論的には、不正な Web サイトは、偽装しようとしている正当なサイトの MD5 と一致する MD5 を持つ偽の証明書を提示することができ、世界中の Web ブラウザーはハッシュ チェックに合格するため、喜んでそれを受け入れます。

これは、Web サイトの単一の検証ソースを信頼できないことを意味します。より堅牢なアプローチが必要です。パースペクティブを入力します。

視点

Perspectives は、ブラウザーが HTTPS Web サイトに接続するたびに多数のネットワーク公証人に連絡する Firefox のセキュリティ拡張機能です。公証人は、証明書が変更されたかどうか、およびそれが独自のデータベースと一致するかどうかをチェックする、一種の陪審員です。有効な証明書は、すべての公証人に対して同じ情報を表示する必要があります。不正な証明書は、一部の公証人と比較して、突然または最近変更されたものとして表示される可能性が最も高くなります。

これは、潜在的に危険なサイトに接続するかどうかを決定し、データの整合性違反を回避するのに役立ちます.

Perspectives はそれ以上のことを行います。期限切れのサイト、自己署名サイト、またはドメインが一致しないサイトを使用していることを警告するセキュリティ警告がブラウザから出てきた場合、Perspectives は、公証人が保持する情報が一貫しているかどうかを確認するために簡単なチェックを実行します。

繰り返しになりますが、正規のふりをしようとする不正なサイトは、このようなエラーをスローすることがよくありますが、残念ながらかなりの数の本物のサイトも同様です。視点は、個人的な疑いに対する便利な解決策として役立ちます。

視点の使用

パースペクティブの使用は非常に簡単です。最初に拡張機能をインストールする必要があります。やり方がわからない方はこちらの記事を読んでください。

インストール後に初めて Firefox を再起動すると、目を見張るものは何も表示されません。パースペクティブ ステータス アイコンは、ブラウザ ウィンドウの右下隅にあります。

アイコンをクリックすると、設定ウィンドウが開きます。

すべてのサイトの公証人に連絡するか、セキュリティ エラーを引き起こすサイトだけに連絡するかを決定できます。さらに、検証済みのサイトを永続的に信頼するようにパースペクティブを設定できます。また、公証人に連絡する前に毎回確認を求めるようにすることもできます。

パースペクティブに質問させることにした場合は、関連する HTTPS サイト (すべてまたはエラーのあるサイトのみ) について、ブラウザー ウィンドウに黄色の警告ポップアップが表示されます。

では、Perspective がどのように機能するかを見てみましょう。安全なサイトに接続しています。検証済みで、問題なくチェックアウトされています。それでも、再確認しましょう。

パースペクティブはしばらくの間機能し、ステータス バーに結果が表示されます:

これは、サイトが有効であることを意味します。アイコンをクリックすると、さらに結果が表示されます:

この特定のケースでは、4 人の公証人全員が特定の Web サイトに対して同じキーを持っています。これは、サイト証明書が改ざんされていないことを示しています。特定の Web サイトとのプライベートな機密取引を行おうとしている場合は、問題ありません。私たちが知りたかったことだけです。

制限事項

Perspectives はまだ若いプロジェクトです。現在、少数の公証人のみが使用されています。将来的には、その数は増加します。他の一部の Firefox 拡張機能は、Perspectives と互換性がありません。最後に、プロキシの問題により、すべてのサイトでサイトの検証が失敗する可能性があります。

結論

Perspectives は興味深く重要なプロジェクトです。これは一種の信頼の網を作成し、蓄積されたコミュニティの経験を使用して、いわば Web サイトとその証明書のセキュリティを再確認します。セキュリティ意識の高い人にとって、これは素晴らしい追加です。

Web セキュリティの詳細については、セーフ Web プラクティスの記事を参照してください。また、h-online で Firefox とセキュリティ証明書に関する記事を読むこともできます。これを勧めてくれた tlu に感謝します。

パースペクティブは、すべてのオペレーティング システムで使用できます。

乾杯。