MITM attack

MITM attack

プロキシ

[1] MITM proxy

メモ

[107] Kazakhtelecom JSC notifies on introduction of National Security Certificate from 1 January 2016 (Jeffrey Walton 著, 版) https://lists.w3.org/Archives/Public/public-webappsec/2015Dec/0019.html

[3] はてなブックマークボタンが改ざんされマルウェア感染を媒介していた可能性について () http://did2memo.net/2014/10/17/java-se-com-b-st-hatena-com/

[4] 複数の国内サイトがドメイン名ハイジャックされた件をまとめてみた - piyolog () https://d.hatena.ne.jp/Kango/20141105/1415176275

[5] DNS 汚染なのか MITM なのか原因は不明だけど、事件後も素のHTTP版は廃止されていないっぽい。

[6] HTTPS 版ははてなブックマークボタンで日本語のラベルが選べるようになり、SSL接続のページにも対応しました - はてなブックマーク開発ブログ () http://bookmark.hatenastaff.com/entry/2013/06/12/192954 で公開されているので2014年の事件時点で提供されていたはずだけど、 2017年現在も素のHTTP版は残っている。しかも、 HTTPS 版の JavaScript を使っていても、素のHTTPWebページに貼り付けると iframe その他は素のHTTPが使われる (HTTPS が当然と思われるようになる前の時代はこういう仕様はよくあった)。 2014年以後、再発防止策はとっていないのだろうか。

[7] 2013年の告知記事は素のHTTPHTTPS のどちらに貼るかで JavaScript もどちらを使うか選ぶように求めているが、 はてなブックマークボタンの作成・設置について - はてなブックマーク () http://b.hatena.ne.jp/guide/bbutton は2017年現在 HTTPS のコードが示されている。いつからこの形になっているのかは不明。 これなら一応 JavaScript コードの改竄は検知できるが、 素のHTTPページに貼ったら iframe 内が素のHTTP になるのだから、ほとんど意味がない。

[8] 「はてなブックマークボタン」で Google検索して本家に次いで第2位に表示される ブログに必須!はてなブックマーク ボタンをWordpressに設置する手順【プラグイン未使用Ver】 () http://viral-community.com/wordpress/hatena-bookmark-659/ (公開日不明) は素のHTTPの貼り付けコードを示している。貼られているスクリーンショットから、 その当時の本家サイトが素のHTTPの貼り付けコードを示していたことがわかる。 このサイトに限らず素のHTTPのコードが Web 全体に大量に流布されているのだから、 新しい貼り付けコードだけ HTTPS にして示したところで十分な対策になっていない。

[9] はてなブックマークボタンが2017年2月から新しくなります - はてなブックマーク開発ブログ () http://bookmark.hatenastaff.com/entry/2017/01/12/170000 ということで既存のボタンも新しいデザインに置き換えられるらしいが、 見た目だけの変更にとどまるのか、この機会にちゃんと HTTPS 化されるのかに注目したい。 (遅すぎるが、何もしないよりはましだろう。)

[12] Apple、iOSの広告ブロックはSafari用のものだけを認める方針か | スラド デベロッパー () https://developers.srad.jp/story/17/07/17/0635229/

[14] MITM Watch () https://mitm.watch/

[15] 823665 - please remove trust of GPKIRootCA1 root certificate or sub-ca - chromium - Monorail () https://bugs.chromium.org/p/chromium/issues/detail?id=823665