管理外のProxyサーバーはやばい?

以前 Google Play Music のサービスを開始するにあたって、Googleサーバーに対して日本からのアクセスではなく、サービス提供国からのアクセスと偽装する必要がありまして、まぁ、利用したわけなんですが・・・
よく考えると、セキュリティー的には最悪の行動って感じですね。

Proxyサーバーって何ぞや?という方に簡単に説明しますと、通常はWebブラウザーがWebサーバーと通信をするのですが、Proxyサーバーを中継することによって、Webブラウザーが直接通信できない相手でも、Proxyサーバーが双方と通信できるなら、通信できるって仕組みなんです。??? 一言でいうと伝言ゲームの伝言役のひとですね。

Proxyサーバーは伝言すべきではない命令や情報を相手に伝えないことが出来たり、複数のパソコンが同じ情報を取得しようとしたときに、一度だけ相手から取得してコピーを受け渡すなど、セキュリティー面やトラフィック面で導入すると良い面があるのです。
そのほかにも、アクセスログを取得したり、暗号化通信の中継を行ったりできます。
ってことは、ProxyサーバーはWebブラウザーとWebサーバーの通信内容はすべて見えるってことです。
IDとパスワードを入力すれば、それも取得できます。
ってことは漏れたってことですよ。

まぁ、一応、その辺のリスクも考慮して、Proxyサーバーを利用する前に認証を済ませておき、機能ONする作業だけProxyサーバー経由に切り替えたんですけど、平文のパスワードは流れなかったと思うけど、符号化されたパスワードは当然記録されている可能性があるってことです。

だからこそ、最近はHTTPSアクセスが増えてきたと思うのですが、これも付け替えってことが可能なので、Webブラウザーに表示される電子証明書がProxyサーバーの物だった・・・なんてこともないとは言えない。

そういうわけで、自分が構築したまたは信頼できるProxyサーバー以外を利用したときは、さっさとパスワード変更をすべきなんじゃないかと思います。信頼できないProxyサーバーを利用中にパスワード変更やユーザー情報の表示なんて、住民票のコピーをばら撒いているのと同じ行動と思っていただけると良いかと。

ってことで、Google Play Musicは素晴らしいサービスですが、有効化するのは海外旅行中にするのが一番良いってことです。
クラウド(個人利用)万歳!!



0 件のコメント:

コメントを投稿

Microsoft Entra Connect Cloud同期のお勧め属性マッピング

ハイブリッドID構成の設定で必須設定じゃないかな~というやつを備忘録的に投稿しておきます。個人的な推奨値なので実際に設定する際は十分な理解と検証を心掛けてください。そのまま利用して不具合が発生しても責任はとれません。 Microsoft Entra Connect によって同期さ...