アカウント名:
パスワード:
>記事では Web であることが強調されているので、じゃあ SSH や VPN でどこかに抜けて……とも思ったが結局金盾が待ち構えているわけで
金盾はVPNの通信内容までは検閲できないので、VPNで海外に抜ければ、金盾はスルーできるんじゃないでしたっけ。現時点では。VPN接続を切断することは出来るけど。で、記事の装置は、「公衆無線LANからVPN張った奴って誰?」というのも含めて、利用者を特定するための装置ってことなんでは。
そこでCNNICのルート証明書ですよ。すでにFirefoxには入っています。理論的には企業がエンタープライズ証明書でSSL暗号を解除して検閲するのと同じことができるはずです。
理論的には企業がエンタープライズ証明書でSSL暗号を解除して検閲するのと同じことができるはずです。
よく知らんので教えて欲しいんだが、どういう仕組みで「解除」できるんだ?そもそも「解除」ってのは、傍受の事なのか?それとも遮断の事なのか?認証局側でサーバ証明書の鍵ペアを生成するのであれば、いろいろ悪さをできるのは理解できるけど、そう言う意味なのか?それとも、認証局が偽証明書を発行して中間者攻撃とか?
なるほど。検閲したことを知られたくないわけではないから、それでも良いのか。
しかし、プロキシ側で、有効期限切れとかオレオレ証明書とかをブロックしちゃうと、いろいろとアクセスできないサイトが出てきて困りそうだなあ。まあ、それが組織のポリシってもんだろうけど。クライアントでは証明書の検証は行えないだろうから、ブロックしないわけにも行かない気もするし…
まあでも、そういうのが増えると、あれなオレオレ系とかは徐々に減る...かなぁ?
それより先に犯罪側が正規の証明書を完備しちゃうだろうけど(今も一部は正しい証明書だったりするしねぇ)
> それとも、認証局が偽証明書を発行して中間者攻撃とか?それ。遮断も傍受も改竄も思いのまま。
認証局が手にはいると、間に入ってオレオレ証明になるところを回避できるの?
>VPNで海外に抜ければ
5/30の記事です。中国政府、VPNも封鎖http://srad.jp/yro/article.pl?sid=11/05/30/0943211 [srad.jp]
仕事で何度か本土のホテル(など)でSSHを使ってトンネリングさせてますが、コネクションを張ってることは金盾が監視網にかかってると思いますね。通信内容は無論、盗聴できないと思いますが。金盾のせいどうかはわからないが、SSHのコネクションが不意に切れることも何度かあったし。
無許可の暗号通信は法的に認められていないそうなので、原則的にはVPNにせよSSHにせよ、暗号でトンネルさせるプロトコルは違法ということになるようです。おそらく海外からきてるビジネスマンはおおめに見られてるんでしょう。現地の人が恒常的に外部にトンネルさせてたら、踏み込まれるとかあるのかも。
でも現地の学生やなんかはVPNなど使って、いろんなサイトを見てるという話も聞きましたね。
大目に見られているのは、ビジネスマンというようりは、共産党幹部にお布施を欠かさないホテル側だろうと思います(それが国内外のビジネス客の獲得につながる)。VPN張った学生が逮捕されないのも、大学当局か教授陣の誰かががんばってるんじゃないでしょうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
金盾はVPN検閲出来なかったはず (スコア:1)
>記事では Web であることが強調されているので、じゃあ SSH や VPN でどこかに抜けて……とも思ったが結局金盾が待ち構えているわけで
金盾はVPNの通信内容までは検閲できないので、VPNで海外に抜ければ、金盾はスルーできるんじゃないでしたっけ。現時点では。
VPN接続を切断することは出来るけど。
で、記事の装置は、「公衆無線LANからVPN張った奴って誰?」というのも含めて、利用者を特定するための装置ってことなんでは。
Re: (スコア:0)
そこでCNNICのルート証明書ですよ。すでにFirefoxには入っています。
理論的には企業がエンタープライズ証明書でSSL暗号を解除して検閲するのと同じことができるはずです。
Re:金盾はVPN検閲出来なかったはず (スコア:1)
理論的には企業がエンタープライズ証明書でSSL暗号を解除して検閲するのと同じことができるはずです。
よく知らんので教えて欲しいんだが、どういう仕組みで「解除」できるんだ?そもそも「解除」ってのは、傍受の事なのか?それとも遮断の事なのか?
認証局側でサーバ証明書の鍵ペアを生成するのであれば、いろいろ悪さをできるのは理解できるけど、そう言う意味なのか?
それとも、認証局が偽証明書を発行して中間者攻撃とか?
Re:金盾はVPN検閲出来なかったはず (スコア:2, 参考になる)
とあるプロキシ型WEBセキュリティ製品の場合。
1)クライアントがHTTPSで通信を行う。
2)HTTPSサーバからの応答は、プロキシが復号化して、中身を検閲。
ここで言う検閲はVirusスキャンとかですが。
3)その後自身のSSL証明書を使って再度暗号化し、クライアントへ。
当然クライアントにはプロキシのSSL証明書で暗号化された状態で応答が届くのですが、
その機器が導入されていることがユーザにきちんと周知されていれば、問題ないはずです。
「封蝋をして手紙を送ったら、一度開封された後、検閲済みの封蝋を押されて届いた」ような状態かと。
Re:金盾はVPN検閲出来なかったはず (スコア:1)
なるほど。検閲したことを知られたくないわけではないから、それでも良いのか。
しかし、プロキシ側で、有効期限切れとかオレオレ証明書とかをブロックしちゃうと、いろいろとアクセスできないサイトが出てきて困りそうだなあ。まあ、それが組織のポリシってもんだろうけど。クライアントでは証明書の検証は行えないだろうから、ブロックしないわけにも行かない気もするし…
Re:金盾はVPN検閲出来なかったはず (スコア:1)
まあでも、そういうのが増えると、あれなオレオレ系とかは徐々に減る...かなぁ?
それより先に犯罪側が正規の証明書を完備しちゃうだろうけど(今も一部は正しい証明書だったりするしねぇ)
M-FalconSky (暑いか寒い)
Re: (スコア:0)
> それとも、認証局が偽証明書を発行して中間者攻撃とか?
それ。遮断も傍受も改竄も思いのまま。
Re: (スコア:0)
認証局が手にはいると、間に入ってオレオレ証明になるところを回避できるの?
Re: (スコア:0)
>VPNで海外に抜ければ
5/30の記事です。
中国政府、VPNも封鎖
http://srad.jp/yro/article.pl?sid=11/05/30/0943211 [srad.jp]
Re: (スコア:0)
仕事で何度か本土のホテル(など)でSSHを使ってトンネリングさせてますが、
コネクションを張ってることは金盾が監視網にかかってると思いますね。
通信内容は無論、盗聴できないと思いますが。
金盾のせいどうかはわからないが、SSHのコネクションが不意に切れることも
何度かあったし。
無許可の暗号通信は法的に認められていないそうなので、原則的にはVPNにせよ
SSHにせよ、暗号でトンネルさせるプロトコルは違法ということになるようです。
おそらく海外からきてるビジネスマンはおおめに見られてるんでしょう。
現地の人が恒常的に外部にトンネルさせてたら、踏み込まれるとかあるのかも。
でも現地の学生やなんかはVPNなど使って、いろんなサイトを見てるという話も
聞きましたね。
Re:金盾はVPN検閲出来なかったはず (スコア:1)
大目に見られているのは、ビジネスマンというようりは、共産党幹部にお布施を欠かさないホテル側だろうと思います(それが国内外のビジネス客の獲得につながる)。
VPN張った学生が逮捕されないのも、大学当局か教授陣の誰かががんばってるんじゃないでしょうか。
Re: (スコア:0)
中国当局に許可を得てVPNを使用しているのかも知れませんよ?
自分の勤めている会社ではそうでした。