Opera mini for iPhoneではオレオレ警告が出ない
2010年4月18日(日曜日)
Opera mini for iPhoneではオレオレ警告が出ない
公開: 2010年4月24日0時55分頃
Opera mini for iPhoneではオレオレ証明書が警告されない (d.hatena.ne.jp)。https://bakera.jpが役に立ったようで何よりです。
話としては、こういうことですね。
- Opera mini ではオレオレ証明書のサイトにアクセスしようとしても警告が出ず、何事もなかったようにアクセスできてしまう。
- オレオレ証明書のサイトでは鍵マークが出ないという挙動になるのだが、鍵の存在が分かりにくい (しかも、ちゃんとした証明書を使っているサイトでも鍵が出ない事があるというバグがあるのでなおさら分かりにくい)。
なお、そもそもの話として……。
そもそもこの鍵マークにどの程度の意味があるのか謎です。Opera miniは表示の高速化の為に専用サーバがコンテンツを変換して返すようになっています。変換する為には一度平文に戻さなければならない為、SSL通信はOpera miniの専用サーバで終わります。専用サーバからOpera miniまでの通信がどうなっているのか分かりませんが*1、少なくとも通常のSSL通信とは異なる状態になっていることは確かです。たとえ鍵マークが表示されていたとしてもOpera miinの専用サーバは通信の内容を知りえる状態になっているということを認識しておく必要があります。
……と、中間者攻撃みたいな状態になっているわけですね。まあ、アプリを入れている時点でOperaを信用している前提になるはずですので、Operaのサーバを信用する前提自体は問題ないのでしょうけれど。
ただ、見ていると、どうもサーバ証明書の内容を確認する機能も無さそうなのですが、困らないのでしょうか。特にSubjectの組織名などは確認したい時もあると思うのですが……。Operaのサーバは証明書を確認しているはずなので、理論上はいちおう出来そうな気もするのですが、どうなのでしょうね。
- 「Opera mini for iPhoneではオレオレ警告が出ない」にコメントを書く
- 前(古い): ハッカージャパン2010年05月号
- 次(新しい): サナギさん
