今週末は自宅サーバーのメンテや自動アップデート設定などメンテに勤しんでいたのだが、Web系のツールが増えてくるとHTTPSで通信がしたくなってくる。
所詮イントラからしかアクセスしないのでプライベート認証局を立てて運用しようかと少しSSL※について学習することにした。
※実際に学習するのはTLS(Transport Layer Security)という後継技術である。SSL(Secure Socket Layer)とTLSは厳密には別物だけど母親がプレステをいつまでもファミコンと言い続けるような感覚でみんなSSLって呼ぶので技術者ももういいやそれでと諦めてるっぽく、2023年現在はSSLといえばふつうTLSのことを指す。頑なにTLSと呼ぶのもなんかキモい奴になるが、SSL/TLSと表記すると分かってる奴感がでる。
それでAmazonで以下の書籍を調達しのだが、ブラウザのアドレスバーに表示されるグリーンのEV証明が懐かしい。
引用:位置No.754/1643
この書籍の第2版発行が2017年なので当時はまだグリーンの表示があったのだ。
無くなったのは2019年にリリースされたChrome 77かららしい。
あれ結構好きだったんだけどいつの間にか無くなって不思議に思っていたのでこの機会に調べてみた。
まずは窓の杜ニュースから引用
これは“Identity Verified(本人確認)”といった組織名で取得したEV証明書を用いることで、ユーザーを混乱に陥れることができる例がセキュリティ研究者から指摘されていたため。iOSの「Safari」では対策のためEV証明書の組織表示がすでに廃止されており、「Google Chrome」もそれに追随した格好だ。
引用元:「Google Chrome 77」が正式公開 ~アドレスバーのEV証明書発行元表示は廃止 - 窓の杜
うん、混乱のもとになるというのは分かったけど、まだあんまりピンとこない。
“Identity Verified(本人確認)”といった組織名で取得したEV証明書って何やねん。
てことで「セキュリティ研究者から指摘」というリンク先を辿ってみた。
the EV badge takes up valuable screen real estate, can present actively confusing company names in prominent UI, and interferes with Chrome's product direction towards neutral, rather than positive, display for secure connections
引用元:Chromium Docs - EV UI Moving to Page Info
ページ訳より:
EV バッジは画面の貴重な領域を占有し、目立つ UI で紛らわしい会社名を頻繁に表示する可能性があり、安全な接続のためにポジティブではなくニュートラルな表示に向かう Chrome の製品の方向性を妨げます。
うん、まぁ所在地が実在して金さえ払えば、紛らわしい偽カンパニーでもEVバッジ取れるからな。そのことかな。
更にそこから辿ったExternal Researchに答えがあった。
One disadvantage of positive security indicators is that users have to look for them. In actual usage scenarios, security is rarely a user’s primary goal [15].
Anti-phishing tools that provide only neutral or positive information are easier to ignore than phishing warnings [16].
Positive security indicators can also mislead users of a legitimate web site that has been hijacked by an attacker using web vulnerabilities such as cross-site scripting.
引用元(PDF):An evaluation of extended validation and picture-in-picture phishing attacks https://www.adambarth.com/papers/2007/jackson-simon-tan-barth.pdf
Google翻訳より:
肯定的なセキュリティ インジケーターの欠点の 1 つは、ユーザーがそれらを探す必要があることです。 実際の使用シナリオでは、セキュリティがユーザーの主要な目標になることはめったにありません [15]。
中立的または肯定的な情報のみを提供するフィッシング対策ツールは、フィッシング警告よりも無視しやすい [16]。
肯定的なセキュリティ インジケーターは、クロスサイト スクリプティングなどの Web 脆弱性を使用する攻撃者によってハイジャックされた正当な Web サイトのユーザーを誤解させる可能性もあります。
なるほど。つまり「このページは安全だ」と主張することができるグリーンのバッジを逆手にとってユーザーを誤解させ、必要な警戒を解かせてしまうため、肯定的な情報を提供する対策というのは逆効果になりうるということだな。
そして調べると主に2種類の攻撃に弱いということが分かった。
ひとつは紛らわしいドメインを用いるホモグラフ攻撃。google.comであるべきところをgoog1e.comとかそういうやつ。
もうひとつはWebサイトの中にブラウザに見せかけた画像を張り、そこのアドレスバーをグリーンにするピクチャインピクチャ攻撃。
参考:https://www.researchgate.net/figure/Picture-in-picture-attack-Both-the-outer-real-window-and-the-inner-fake-window-are_fig2_220797116
結論
肯定的なセキュリティ表示は悪用されるからやめた。アドレスをよく見て普段から警戒すべき。
以上
