« [P2P]分散ハッシュシステムでのNAT越えの考察 | トップページ | [P2P]P2P WEB ~P2Pとサーバ=クライアントモデルの狭間で »

2004.06.13

[P2P]P2P型WEBプロキシのセキュリティ

近頃2chなどでP2P型WEBプロキシについて盛り上がっているので、今回はそのセキュリティ面を考察してみる。

まず、分散ハッシュを使えば容易にP2P型WEBプロキシが作れる事を先日のBlogHPで示している。

簡単に書くと、ノードAがあるHP(このURLをurl_aとしよう)を参照する場合、Node_ID=hash(url_a)と言うノード(ノードBとしよう)へ接続するようにすればよい。いまノードA⇒ノードBへの検索過程でノードC,Dが介在すれば、結局ノードB,C,DはAに対する多重プロキシとなり、ノードA⇒ノードC⇒ノードD⇒ノードBへの通信となる。

ここで、FW氏は検索過程のノード(ノードC,ノードD)が分散ハッシュの方法によってはノードAの存在する分散ハッシュ空間のエリアを限定することをができることを指摘した。そしてその解決策として分散ハッシュのルーティングテーブルにおいて、ある程度ランダムに次ノードへの通信をむける事で解決する事をBlogで示した。これによりP2P型WEBプロキシの「匿名性」については保障できる。

ところで、匿名性以外にも深刻な問題がある。それは各ノードが通信内容を見えてしまう事である。そこでこの事項について整理してみよう。

1)パスワード、ID
平文でパスワードを流すようなHPにアクセスする場合には注意が必要である。パスワードを盗聴され、成りすましされることが考えられる。これを回避するには認証時にSSLを使ったページを利用する事が考えられる。

2)Cookie
これは意外な盲点かもしれない。通常、HPではセッション維持のためにCookieを使う。このCookieを盗聴して他人が使うとなりすましをされる可能性がある。特にインターネットショッピングなどではCookieを使う事が多いので注意が必要である。Cookieについては日経ネットワークの6月号にわかりやすく書いてあるのでそれを参照してほしい。

3)HPのなりすまし
各ノードはプロキシとなっているので、各ノードが要求しているアクセス先HPを詐称して自分の作成したHPを表示する事が可能である。一番深刻なのはインターネットショッピングなどのHPを詐称する場合で個人情報のほかにクレジットカードの番号などを盗み取られる事が考えられる。(同じようにパスワードを入力するような画面を作って、パスワードとIDのペアを盗み取ることも考えられる。)

このように、P2P型WEBプロキシが実現したとしても、ユーザ自身が気をつけないと痛い目に合う可能性がある。P2P型WEBプロキシが普及した際にはそのリスクを考慮に入れながら使用して欲しい。

P.S.おかげさまで2万アクセスを突破しました♪今後もよろしくお願いします☆あと、のだめカンタービレ9巻を早速購入しました。今回も面白く、買いですよ。

|

« [P2P]分散ハッシュシステムでのNAT越えの考察 | トップページ | [P2P]P2P WEB ~P2Pとサーバ=クライアントモデルの狭間で »

パソコン・インターネット」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/18781/762588

この記事へのトラックバック一覧です: [P2P]P2P型WEBプロキシのセキュリティ:

« [P2P]分散ハッシュシステムでのNAT越えの考察 | トップページ | [P2P]P2P WEB ~P2Pとサーバ=クライアントモデルの狭間で »