H23秋  午後1問3  設問1(2)HTTPS

疑問さん  
(No.1)
H23秋  午後1問3  設問1(2)は、HTTPSで暗号化される範囲が問われていると解釈しました。

項番1と4の内容がなぜ暗号化されないのか知りたいです。
どなたか解説お願いします。。。


2021.09.14 14:47
わいわいさん 
(No.2)
少々解釈に誤りがあると思われます
通信データ自体はHTTPSで暗号化されております
問題の趣旨は暗号化時に影響を受ける・受けないについての区別となります

(1)はHTTPS通信を開始する前のプロキシサーバに対する認証です
HTTPS通信を開始する前に、CONNECTメソッドで通信経路を
生成する必要があります
Proxy-AuthorizationはこのCONNECTメソッド内部のヘッダで
CONNECTメソッド時にユーザ認証を行います

(4)はHTTPS時にはホワイトリストを使用するとあります
対象はFDQNとあります
HTTPS通信で暗号化されるのは通信データの中で対象サーバ名
(FQDN)は暗号化されないのでフィルタが可能です
2021.09.14 16:59
昭和62年さん 
(No.3)
項番(4)もCONNECTメソッドのパラメタを見ているのではないでしょうか?
2021.09.14 17:38
受験生さん 
(No.4)
そもそもなぜHTTPS通信が禁止されているか(設問1 (1)の内容)は、エンドツーエンドの暗号化、つまり宛先Webサーバとブラウザ間の認証・暗号化のため、アプリケーションゲートウェイであるプロキシが通信内容を解析したり、横取りしたりできないからです。解析しようとしても復号鍵はWebサーバおよびブラウザしか持っておらず、横取りしようにもセッション認証ではじかれて通信ができません。
このプロキシは通信ログを取得することを念頭に設置されていますので、設問1 (1)の答えは「ログが取得できないから」といったところでしょうか。

さて、設問1 (2)の内容ですが

・(1)について
UプロキシにはSSL Decryptionが搭載されていないので、Webサーバとブラウザの間で暗号化されているHTTP通信の内容は確かに解釈できません。しかし、解釈できなければプロキシサーバに対して認証を行うこともできませんので、現状そもそも通信が開始できません。したがって、「認証」という機能は失われていないので問題ないのです。

・(4)について
これは単純にプロキシのフィルタリングルールの話です。HTTPS通信しようとしたらフィルタリング機能が働いてブロックするようになっているので、何の問題もなく機能していると思いますが。
2021.09.14 17:39
わいわいさん 
(No.5)
No.3さん
>項番(4)もCONNECTメソッドのパラメタを見ているのではないでしょうか?
それでいいと思います
HTTPS通信時にCONNECTメソッド内のFQDNでフィルタされると思います
逆にURLパス部分はデータとして暗号化されるため、URLパスを含む
フィルタリングはできないです

項番(4)に明示的にFQDNでと書いてあるのは、単なるフィルタリングだと
URLパスまで含むのかどうか不明になって問題として曖昧になるからだと
考えられます
2021.09.14 18:26
疑問さん  
(No.6)
皆さんありがとうございました。

(1)と(4)は最初に通信するCONNECTメソッド(HTTP)を参照するから暗号化されていないということですね。
納得しました。


私も受験生さんと同じような根拠で解いたような気がします。(現状のシステムで問題なく機能しているから、きっとHTTPSの影響を受けないのだろう。という考え方)
2021.09.15 00:10

返信投稿用フォーム

※宣伝や迷惑行為を防止するため当サイトとIPAサイト以外のURLを含む記事の投稿は禁止されています。

投稿記事削除用フォーム

投稿番号:
パスワード:

その他のスレッド


Pagetop