質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.62%

  • PHP

    19766questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • Python 2.7

    1233questions

    Python 2.7は2.xシリーズでは最後のメジャーバージョンです。Python3.1にある機能の多くが含まれています。

  • SSL

    492questions

    SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

  • HTTPS

    251questions

    HTTPS(Hypertext Transfer Protocol Secure)はHypertext Transfer プロトコルとSSL/TLS プロトコルを組み合わせたものです。WebサーバとWebブラウザの間の通信を暗号化させて、通信経路上での盗聴や第三者によるなりすましを防止します。

  • proxy

    113questions

    proxy(プロキシー)は、企業などの内部コンピュータとインターネットの中間に位置し、例えば直接インターネットに接続できない内部コンピュータの代理としてインターネットに接続する等をするシステム、もしくは代理として機能を実行するソフトウェアです。内部ネットワークへのアクセスを一元管理し、内部からの特定の種類の接続以外を遮断すること、外部からの不正アクセスを拒否することなどに用いられます。

PHPでプロキシ

解決済

回答 4

投稿 編集

  • 評価
  • クリップ 4
  • VIEW 2,134

wansui

score 92

PHPでWEBサイトを構築しています。
HTTPS通信でデータのやり取りを行っているのですが
透過型プロキシを利用する事で通信内容が丸見えである事がわかりました。

どうにかして透過型プロキシを検知して遮断する事は可能でしょうか?
またpythonでのサイト再構築も視野にいれているため、pythonでも
教えていただければ幸いです。

現在、非常に危険な状態で急を要しています。
よろしくお願いします。

(2015/4/28 08:03追記)
たぶん、そのような通信の場合は認証されていないSSL証明書を経由して
通信してくるので、HTTPSリクエスト時にクライアントが利用した証明書を
検証する事が出来ればいいのかなーなんて、そんな都合のいい事を考えてたりもします。
出来るかどうかわかりませんが…。

結果的に、サーバーサイドで透過型プロキシを検知して遮断したいので
方法は何でも構いません。
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 4

+1

HTTPSであっても、プロキシサーバを挟むと挟まないとにかかわらず、POSTするデータの内容はユーザー側で自由に生成することができます。さらに言えば、ログインが必要な場面であっても、ログインした状態のブラウザからコンソールを使えば任意のことを実行できます。使うソフトウェアはブラウザだけなので、システム的に検知することは不可能です。

HTTPSとは別な次元で、POST内容の整合性チェックはサーバ側できっちり行う必要があります。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/04/28 09:25

    なるほどぉ、って事はやっぱりHTTPSプロトコルの暗号化に頼らず
    POSTデータ自体に暗号化かけて、サーバー側でそれを復号化させる
    ような仕組みでないとダメって事かー、、。

    キャンセル

checkベストアンサー

0

透過型プロキシを利用する事で通信内容が丸見えである事がわかりました。 

勘違いでは?HTTPSの場合、丸見えなのは暗号化後のデータであって、平文が見えるわけではありません。
透過型プロキシーサーバーもそうでないプロキシーサーバーも、プロキシーとしての機能は同じです。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/04/28 08:01

    えっと、すいません。ちょっと回答の意味がわからないのですが
    例えばmitmproxy等を利用して、HTTPS通信時のパケットを解析すると
    プレーン(平文)な状態で容易にresponse.bodyを閲覧する事が出来ます。

    この場合、通信の改竄による不正なPOSTデータの送信が行われてしまうので
    それを防ぎたいと思っています。

    キャンセル

  • 2015/04/28 08:17

    それは、透過型かどうかには無関係です。
    透過型プロキシーサーバー=ルーターに内蔵されたプロキシーサーバー

    また、お書きのmitmproxyなどを使うためには端末側にmitmproxyサーバーの証明書インストールが必要で、つまりユーザーが意図的にmitmproxyを使っているわけなので、ケアしなくていいと思います。

    キャンセル

  • 2015/04/28 09:20

    回答頂きましてありがとうございます。

    すいません、素人の私には、なぜそれをケアしなくて良いのかがわかりません。
    SSL通信を傍受したり改ざんする事が可能である限り、対策を講じる必要があると考えていますが
    何か考え方が違うのかな…。

    どちらにせよ、"ケアする場合"は何か対策する事は可能でしょうか?
    質問にも追記しましたが、恐らく認証されていない証明書を利用していると
    思いますので、非認証な証明書でSSLが行われた事をサーバー側で検証する事は可能でしょうか?

    キャンセル

  • 2015/04/28 09:57

    中間にHTTPSを解読するようなプロキシサーバを入れた場合でも、そのプロキシサーバ~Webサーバの間では正規の証明書でHTTPSセッションを構築しています(というか、そうでないと通信が成立しません)。

    キャンセル

  • 2015/04/28 13:38

    どうしてもということなら、ユーザーにクライアント証明書を配布してクライアント認証するとかはどうでしょうかね?

    キャンセル

  • 2015/04/28 16:57

    さきほども書きましたが、ユーザーがクライアントにそういうプロキシーサーバーの証明書をインストールしている=ユーザーはHTTPSを解釈するプロキシーサーバーを経由したアクセスを望んでいるわけなので、そのユーザーの自由を尊重するべきだと思いますよ。

    典型的な例としては、企業が従業員のHTTPSアクセス内容を把握したい(情報漏洩検知)ということなら、そうさせてあげるべきだと思います。

    まあ、もし「そういう企業はけしからんので、アクセスさせてあげない」ということなら、そういう禁止する自由もあるわけですが。

    キャンセル

0

端的に言えば、Man in the Middle的な透過型プロキシーがクライアントとサーバの経路上にいるかどうかは、サーバ側で検出することはできません。なので、サーバ側で対処する方法はないです。

質問者さんの心配は、Man in the Middle的な透過型プロキシーから、ユーザを守る方法を知りたい、ということですか?

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/04/28 14:07

    簡単な方法としてEV SSL証明書を使い、ユーザにはブラウザのロケーションバーが「緑色」になっていることを確認するように呼びかける方法がありますかね。

    キャンセル

  • 2015/04/28 19:04

    回答ありがとうございます。
    やはりサーバーサイドで制限するのは不可能みたいですね。

    body自体に暗号化を書けることで今回はfixしようと思います。
    沢山のご意見ありがとうございました^^

    キャンセル

0

回答ありがとうございます。
やはりサーバーサイドで制限するのは不可能みたいですね。

body自体に暗号化を書けることで今回はfixしようと思います。
沢山のご意見ありがとうございました^^

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.62%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

  • 解決済

    実践で使える,使っているアルゴリズムを教えて下さい

    実戦向け?なアルゴリズムが知りたいです. ただ単に「プログラムが書ける!」というだけでは,やはりダメだと思っています. もっと,プログラムを書くなら,このような手法があるぜ!と言っ

  • 解決済

    フリー言語について

    言語っていろいろあるけど phpとかpythonとかjqueryとかmysqlとか 全部タダですよね? これらを作ってる人たちって どうやって利益を得ているんでしょうか?

  • 解決済

    複数台のpcを繋げて分散処理する方法

    分散処理のやり方があると聞いたことがあるのですが具体的にどうやるのかは検索してもわかりませんでした。 知っている方がいれば教えてください。 よろしくお願いします。 やりたい事

  • 解決済

    fitbitのデータをPython API で取得するための情報

    fitbitのデータをPython API で取得するために格闘しています. 心拍数のデータは取得できましたが,その他の情報を取得するための情報を探しています. htt

  • 受付中

    PythonでのWebサイト作成

    PythonでWebサイト作成している方いましたらご教示ください。 phpなどは、拡張子が.phpですが、Pythonの拡張子.pyのサイトを見たことがありません。 Pyt

  • 解決済

    カードゲームのサイトからカード情報をスクレイピングしてきたい。

    下記のシャドウバースのサイトからカード情報を取得してきたいです。 https://shadowverse-portal.com/deckbuilder/create/2 し

  • 受付中

    WEBページの情報を自動認識してコンテンツを分類して持ってくるには

    100のサイトのデータ取得には、100種類のプログラムを作成する必要があるものを、自動認識してコンテンツを分類して持ってくるには具体的にはどういう作業が必要なのでしょうか。 教育

  • 解決済

    スマホアプリのデータ取得

    実現したいこと 「ブクマ」というスマホアプリから、本の値段の最安値を取得したいのですが、 データの取得が可能かどうかを教えていただきたいです。 もし可能であれば、どのようにすればデ

同じタグがついた質問を見る

  • PHP

    19766questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • Python 2.7

    1233questions

    Python 2.7は2.xシリーズでは最後のメジャーバージョンです。Python3.1にある機能の多くが含まれています。

  • SSL

    492questions

    SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

  • HTTPS

    251questions

    HTTPS(Hypertext Transfer Protocol Secure)はHypertext Transfer プロトコルとSSL/TLS プロトコルを組み合わせたものです。WebサーバとWebブラウザの間の通信を暗号化させて、通信経路上での盗聴や第三者によるなりすましを防止します。

  • proxy

    113questions

    proxy(プロキシー)は、企業などの内部コンピュータとインターネットの中間に位置し、例えば直接インターネットに接続できない内部コンピュータの代理としてインターネットに接続する等をするシステム、もしくは代理として機能を実行するソフトウェアです。内部ネットワークへのアクセスを一元管理し、内部からの特定の種類の接続以外を遮断すること、外部からの不正アクセスを拒否することなどに用いられます。