web-dev-qa-db-ja.com

WebサイトのHTTPSバージョンをブロックする

一部のWebサイトをHTTPSバージョンからブロックし、HTTPで許可したいと思います。関連する主なウェブサイトは、YouTubeとGoogle画像/動画です。各コンピューターでK9 Web Protectionを使用していますが、HTTPSサイトにセーフサーチを適用する機能に制限があります。

私にとって、これは非常に深刻な問題であり、Googleが提供するセーフサーチ機能の多くの優れた点を台無しにしています。

それを行うことができるソフトウェア/構成はありますか?

PS:これがこの質問を投稿するのに適切な場所かどうかわかりません。他のSEプラットフォームにリダイレクトできますか?

tlsgooglehttp-proxy
3
Ismael Lemhadri

Googleはあなたの答えを持っています: http://support.google.com/websearch/bin/answer.py?hl=ja&answer=186669

Lock SafeSearchを使用するか、NoSSLSearchオプションを使用できます。

*編集*

あなたのコメントを読んだ後のあなたの最良の選択肢は、リクエストをHTTPにリダイレクトするためのファイアウォール上のプロキシだと思います。 Squid はこれを実行できますが、必要以上に高度な場合があります。 ここ はあなたがやりたいことをするためのチュートリアルです。

Tinyproxy は、私が使ったことはありませんが、より簡単な代替手段です。

5
schroeder

フィルタリングソフトウェアが(おそらく透過的な)HTTPプロキシとして実装されている場合、HTTPS接続をフィルタリングできる唯一の方法は、中間者SSL検査を行うことです。これはややトリッキーで煩わしい手法ですが、一部のフィルタリングプロキシはこれをサポートしています。基本的には次のように機能します。

  1. プロキシは、SSLハンドシェイクをインターセプトするときは常に、それをターゲットサイトに転送せず、ターゲットサイトに対して有効であると主張する独自の自己署名証明書を使用して直接応答します。

  2. プロキシとブラウザの間でSSL接続が確立されると(ターゲットサイトと通信していると考えられます)、プロキシはターゲットサイトへの独自のSSL接続を作成します。

  3. 次に、プロキシはSSLを介してブラウザからHTTPリクエストを受信し、それをフィルタリングして、ターゲットサイトに転送します。次に、ターゲットサイトからブラウザへの応答についても同じことを行います。

もちろん、手順1でプロキシからブラウザに送信された証明書は、ターゲットサイトに対して実際には有効ではないため、特に有効ではありません。信頼できるCAによって署名されている場合、ブラウザは通常、接続を中止し、信頼できない証明書に関する大きな警告をユーザーに表示します。

ただし、トリックは、ネットワーク管理者として、プロキシの署名証明書をブラウザの信頼されたルート証明書のリストに追加する必要があることです。このようにして、ブラウザは実際にはプロキシから返された偽の証明書を信頼します。

もちろん、ユーザーはブラウザの信頼済みリストからプロキシの証明書を削除することも、プロキシを信頼するように構成されていない独自のブラウザを使用することもできます。ただし、これは、セキュリティ警告が表示され、HTTPSサイトに接続できないことを意味します。実際にプロキシをバイパスすることはできません。

そうは言っても、このようなトリックを使用してSSL信頼インフラストラクチャを弱体化する前に慎重に検討し、それが絶対に必要であると思われる場合にのみ行うことを真剣にアドバイスします。それでも、フィルタリングしたいいくつかの特定のサイトにのみ適用し、他のサイトへのHTTPS接続のみを残すことをお勧めします。ユーザーはGoogle検索をスヌープしていることに気づかないかもしれません—しかし、ユーザーたとえば、オンラインバンキングを覗き見したくない。

一方、フィルタリングソフトウェアがユーザーのコンピュータで実行されている場合は、ブラウザ拡張機能としては、プレーンなHTTPと同じくらい簡単にHTTPSリクエストをフィルタリングするのに問題はありません。ブラウザUIとネットワークバックエンドの間に自分自身を挿入することにより、暗号化される前にHTTPSリクエストを書き換えることができます

(これは、たとえば、Firefoxの HTTPS Everywhere プラグインがどのように機能するかです。HTTPリクエストをインターセプトし、HTTPSリクエストに再書き込みします。他の方法でURLを変更することもあります。これができない理由はありません。他の方向にも同様に機能します。)

ただし、このアプローチには2つの問題があります。 1つ目は、ブラウザーごとに拡張APIが異なり、それらすべてがこのようなリクエストの書き換えに同じように便利であるとは限らないことです。 (たとえば、Chromeの拡張APIは、非同期設計のため、明らかに特に適していません。)

2番目の問題は、このように実装されたフィルターを回避する簡単な方法があることです。フィルターがサポートしていないブラウザーをインストールするだけです。したがって、このような回避策を防ぐための他の制限と組み合わせない限り、そのようなフィルタリングはあまり効果的ではありません。

4
Ilmari Karonen

単純なファイアウォールを使用してHTTPSトラフィックをブロックできますが、HTTPSなしでサイトを強制的に機能させることはできません。 Paypalなどの多くのサイトは、安全でないネットワーク上では機能しません。

1
tylerl