Wikipedid - 公開プロキシ
http://ja.wikipedia.org/wiki/%E5%85%AC%E9%96%8B%E3%83%97%E3%83%AD%E3%82%AD%E3%82%B7
勿論、何らかしらのメリットがあるからこそ運用する訳です。
通常、広告収入なども全く見込めませんから、設備費やら電気代やら何から何までが勿体ないですよね?
少なくとも私ならばそんなものは運用したくはありません。何も面白く無さそうですし…(?)
それに付随して、第三者がそれを利用する事によってどの程度のリスクが発生、またはその可能性があると思いますか?
以下の点に注意して回答をお願いします。
1) セキュリティー云々という建前的な回答は不要です
2) いわゆる「一行回答」は不要です
3) 関連する面白い URL の提示や、小話なども書いて頂けると嬉しく思います (強制ではありません)
※ 一週間目一杯でいくつもりですので、回答はゆっくりでも大丈夫です
No.1
597
47
20pt
私も一時期プロキシサーバを運用していました。
当時は、Webサーバの勉強にLinuxを利用して構築していたのですがその際にプロキシサーバも構築した流れになります。
残念ながらサイトに来る人はあまり多くなかったため、帯域もかなり余っていました。
そのついで程度にプロキシを公開していました。
なので、プロキシだけ公開している人は少ないのでは?と思っています。
類似した質問があったので参考にしてください。
http://q.hatena.ne.jp/1243660697
http://q.hatena.ne.jp/1195809973
http://q.hatena.ne.jp/1131558340
プロキシを利用するメリットですが、通信経路に中継器を置くわけですから通信情報はだだ漏れになります。
広告収入の点では、あまり見込めませんが認証プロキシであれば毎日ID/PASSを変更しWebサイトに更新情報を載せるなどをすればある程度見込めるかもしれませんね。
ただ、公開プロキシにも速くて匿名性が高いプロキシがあるので差別化が難しいかもしれません。
No.2
264
20pt
世の中にある公開プロキシの相当な数が、本人の意図とか関係なく稼動しています。
squidのアクセス許可リストの設定漏れ・ミスとかありがちですが、
販売されている商品のセキュリティホールで結果的に公開プロキシが稼動している
数が相当多いそうです。
URの物件などマンション全体で1つのプロバイダに加入している場合で、
ご近所さん同士が仲良しの場合、トラフィックを節約するためにPC-UNIXが
趣味な人が公開プロキシを上げてご近所さんに提供するケースがあるかも
しれません。想像で書いているので実例は知りません。
ただしご近所さん以外が利用可能だとすると、アクセス許可リストの設定漏れ・ミス
なので、最初の範疇に入りますね。
公開プロキシを利用する連中はなにか悪いことを企んでいるでしょうから、
logからwarezのサイトをリサーチするために上げている人がいそうです。
また、SSLを使ってないサイトを公開プロキシ経由で利用しているユーザの
個人情報を盗む目的で上げている人もいるかもしれません。
#ちょっとスキルが要求されますが。
上記とかぶりますが、こんなかんじですかねー。
いわゆる「踏み台」ですね。
これがどの程度行われているのかを全く把握できないのが厄介な所です。
私が想像するより多いのやら少ないのやら…。いくらなんでもそんな実数的な統計はありませんよね…。
そもそも、踏み台にされている事自体に気が付くかどうかも怪しげです。
仮にそれに気が付いたとしても「なんかわからないけどウィルス駆除した」程度の話に落ち着いてしまいそうだからです。
SSL に関してですが、逆に言えばもう SSL 通信でなければ全ての情報がタダ漏れという事ですよね。
全てがログに残っており、プロキシを立てた人物がその気になればいつでもそのアカウントを使用できるという。
ショッピング等のお金が動く方面ではかなり整備された感もありますが、まだまだ SSL ではない認証を行なうサイトも多いですよね。
No.3
33823
20pt
10年以上前のことですがsquidというプロキシサーバを公開していたことがあります。
業務上利用する必要があったので、練習がてら自宅で運用し、
耐久性を確かめるために公開していました。
当時ジオシティーズに公開されているファイルをダウンロードする際、
レジュームするためにはsquidを利用する必要があったので、
自分で使う目的もありました。
公開プロキシサーバの設置理由は以下のようなものだと思います
1.何らかのテストのため
2.ID/Pass、クレジットカード情報、個人情報などを収集するため
3.単なる善意
4.設定ミス
第三者が利用することで発生するリスクとしては設置理由が2の場合に
重要な情報をサーバ設置者に盗まれてしまうことでしょうか。
> 3.単なる善意
> 4.設定ミス
案外、この二点もあるのかなとは思います。
ただ、昔から疑問なのですが、Cyber Syndrome のプロキシリストはどうやって収集しているのでしょうか?
登録制にしては申請する様なフォームもありませんし、人手によって行っているとすればえらく大変な事と思います。
また、2ch のプロキシ弾きは完全に人手による申告によって行われています。自動的にプロキシが弾かれるのではありません。
自動で収集できるなら、自動で弾くロジックも組める訳で、2ch 側がそれを採用しない事はありえません。
色々分からない事も多いのですよね。
No.4
8213
20pt
babydaemonsの回答への補足ですが、SSLを使っていても個人情報を盗むことは可能です。
SSLの証明書を、アクセス先のサイトごとに、正しいドメイン名で作成して、
その証明書をクライアントPC ----- proxy 間のSSL通信に使う方法です。
例えば、Fiddler (http://www.fiddler2.com/fiddler2/)でSSL通信のデコードを選択するとこの方法が使われます。
もちろん独自CAがサインした証明書になるので、ブラウザで警告は出ますが、正しいドメイン名で証明書を作っておけば、
ユーザーは警告を無視して進んでしまう可能性があります。
そして、その場合、クレジットカード番号、ユーザーIDやよく使ってるパスワード、住所指名年齢など、SSL通信の内容全てを傍受できます。
ユーザーPCにキーロガーを仕込んだり、バックドアを仕込むよりもずっと簡単です。
それと、SSLを使っていない場合は、Cookieが見れるため、サイトによっては、ログイン中のセッションを乗っ取り、結果としてアカウントを乗っ取ることができます。
なので悪意を持ってる場合は、Proxyの立ち上げ、運用に対して十分な見返りを期待できるというわけです。
No.5
150
20pt
全くの想像ですが、一番多い理由は「設定が面倒」ではないでしょうか?
詳しい人であれば、IPで制限かけたりパスワードで制限をかけるのは、大して手間ではありません。
が、それほど詳しくない人が、会社のファイアーウォールを越えたいためだけに、自宅に匿名プロキシを立てるとします。
こういう場合、「希望のサイトが見られること」、のみが重要であり、「誰かに勝手に利用される」なんてことは、全く考えていないと思います。
広大なインターネット。その片隅に置いた自分専用サーバーは見つかりっこない。
そう思っても不思議はないと思います。
ただ、大分前のGIGAZINEさんの記事ですが、http://gigazine.net/index.php?/news/comments/20061128_proxylist/
なんて方法で、見つけ出す人もいるようです。
広大なインターネットかもしれませんが、Google先生の目をごまかすのは、容易ではありません。
、、、いや、クローラーにお引取り願えばよいだけですが、、、それが出来る人なら、アクセス制限してますよね。
Cyber Syndromeは、速度や性能チェックの名の下にCyberSyndrome : Proxy Checkerで収集している気がします。
GIGAZINEさんの方法でちょっとスクリプトを組めば、自動的に収集もできそうですが。
で、第三者が利用するリスク絡みですが、、、
回答者4(t-wada)さんの中間者攻撃、、、これは盲点でした。
今までアクセスしてないサイトの場合、自動的に証明書を作るようにすれば、全自動でもいけそうですね。
やはり、SSL証明書エラーは、ちゃんと読まないといけませんね。
ただ、そもそも暗号化されているとはいえ、全通信内容を匿名プロキシの運営者に取られるわけです。
そして、とられた通信内容は、攻撃し放題です。
やる人がいるかどうかは判りませんが、いつかは見られる可能性があるのです。
全通信内容を見られるリスクがあると思います。
やはり、誰に見られても良いものしか、見るべきではないと思います。
Reiaru
2009/09/26 02:22:35
53
53
1
2
ええ、自身の学習の為に公開するというのはあり得る事ですよね。
私もテストが必要な状況にあれば恐らくそうした事を行なうと思います。
> 広告収入の点では、あまり見込めませんが認証プロキシであれば毎日ID/PASSを変更しWebサイトに更新情報を載せるなどをすればある程度見込めるかもしれませんね。
これについては、海外ではその様なサイトもありますよね。
プロキシを利用する為にはまずトップページから入って…みたいな。あれはあれで良いやり方だと思います。