* プロキシ [1] [SEE[ [[MITM proxy]] ]] * メモ [107] [CITE@en[Kazakhtelecom JSC notifies on introduction of National Security Certificate from 1 January 2016]] ([[Jeffrey Walton]] 著, [TIME[2015-12-03 08:58:03 +09:00]] 版) [3] [CITE@ja[はてなブックマークボタンが改ざんされマルウェア感染を媒介していた可能性について]] ([TIME[2017-01-12 23:47:02 +09:00]]) [4] [CITE[複数の国内サイトがドメイン名ハイジャックされた件をまとめてみた - piyolog]] ([TIME[2017-01-10 16:19:35 +09:00]]) [5] [[DNS]] 汚染なのか [[MITM]] なのか原因は不明だけど、事件後も[[素のHTTP]]版は廃止されていないっぽい。 [6] [[HTTPS]] 版は[CITE@ja[はてなブックマークボタンで日本語のラベルが選べるようになり、SSL接続のページにも対応しました - はてなブックマーク開発ブログ]] ([TIME[2017-01-13 00:04:36 +09:00]]) で公開されているので2014年の事件時点で提供されていたはずだけど、 2017年現在も[[素のHTTP]]版は残っている。しかも、 [[HTTPS]] 版の [[JavaScript]] を使っていても、[[素のHTTP]]の[[Webページ]]に貼り付けると [CODE(HTMLe)@en[iframe]] その他は[[素のHTTP]]が使われる ([[HTTPS]] が当然と思われるようになる前の時代はこういう仕様はよくあった)。 2014年以後、再発防止策はとっていないのだろうか。 [7] 2013年の告知記事は[[素のHTTP]]と [[HTTPS]] のどちらに貼るかで [[JavaScript]] もどちらを使うか選ぶように求めているが、 [CITE@ja[はてなブックマークボタンの作成・設置について - はてなブックマーク]] ([TIME[2017-01-13 00:08:54 +09:00]]) は2017年現在 [[HTTPS]] のコードが示されている。いつからこの形になっているのかは不明。 これなら一応 [[JavaScript]] コードの改竄は検知できるが、 [[素のHTTP]]ページに貼ったら [CODE(HTMLe)@en[iframe]] 内が[[素のHTTP]] になるのだから、ほとんど意味がない。 [8] 「はてなブックマークボタン」で [[Google検索]]して本家に次いで第2位に表示される [CITE@ja[ブログに必須!はてなブックマーク ボタンをWordpressに設置する手順【プラグイン未使用Ver】]] ([TIME[2017-01-13 00:12:28 +09:00]]) (公開日不明) は[[素のHTTP]]の貼り付けコードを示している。貼られているスクリーンショットから、 その当時の本家サイトが[[素のHTTP]]の貼り付けコードを示していたことがわかる。 このサイトに限らず[[素のHTTP]]のコードが [[Web]] 全体に大量に流布されているのだから、 新しい貼り付けコードだけ [[HTTPS]] にして示したところで十分な対策になっていない。 [9] [CITE@ja[はてなブックマークボタンが2017年2月から新しくなります - はてなブックマーク開発ブログ]] ([TIME[2017-01-13 00:15:33 +09:00]]) ということで既存のボタンも新しいデザインに置き換えられるらしいが、 見た目だけの変更にとどまるのか、この機会にちゃんと [[HTTPS]] 化されるのかに注目したい。 (遅すぎるが、何もしないよりはましだろう。) [12] [CITE@ja[Apple、iOSの広告ブロックはSafari用のものだけを認める方針か | スラド デベロッパー]] ([TIME[2017-07-17 19:56:02 +09:00]]) [14] [CITE[MITM Watch]] ([TIME[2017-09-30 18:54:59 +09:00]]) [15] [CITE@en[823665 - please remove trust of GPKIRootCA1 root certificate or sub-ca - chromium - Monorail]] ([TIME[2018-04-11 12:03:16 +09:00]])