Cloudflareがウェブサイトを完全に保護するとは限らない (2)

前回の記事:
Cloudflareがウェブサイトを完全に保護するとは限らない (1)
https://blog.crosslab.xyz/2016/12/30/cloudflareがウェブサイトを完全に保護するとは限らない/

前回の記事では、ここ最近日本国内でも導入するサイトが増加している CDN/DDoS保護サービスの「Cloudflare」について、同社が提供するウェブサイトの保護は簡単に破られてしまう恐れがあることについて書きました。
今回の記事は、Cloudflareを利用しているサイトでその保護を突破されないように防ぐ方法について書くつもりでしたが、この問題についてしばらく考えていたところ、Cloudflareにはある致命的な欠陥があることを発見しました。そのため、この記事で紹介する対策は、一部の攻撃に対してある程度の効果はありますが、完全な保護とはなりません。また、そのCloudflareの欠陥についても書きたいと思います。

※この記事に書かれていることはCloudflareに限ったものではなく、他のクラウドWAFでも同じことは十分に起こり得る問題です。今回は都合上Cloudflareと書いています。

“Cloudflareがウェブサイトを完全に保護するとは限らない (2)”の続きを読む

Cloudflareがウェブサイトを完全に保護するとは限らない (1)

最近では日本国内でも導入しているサイトを多く見かけるようになった、CDNサービス大手の「Cloudflare」ですが、CDNだけでなくWAF、さらにはDDoS対策の機能も備わっていながら無料で使えるということで、人気を博しています。

そんなCloudflareを、DDoS攻撃や通報対策としてサーバーのIPアドレスを隠すために利用する方も少なくないようです。ですが、Cloudflareをそのようなリバースプロキシとして用いることが本当に良い手段なのでしょうか?

今回は「Cloudflareを利用するだけで自分のサイトを攻撃から守ることができるのか」ということについて、実例も交えながら考えてみたいと思います。

“Cloudflareがウェブサイトを完全に保護するとは限らない (1)”の続きを読む

TorとVPNとプロキシの関係

全世界で1日におよそ200万人以上もの人が利用していると言われている、今や人気の匿名化ツール「Tor」。
その利用方法については、単にTorのみを利用してウェブブラウジングを行うこと以外にも様々な利用法が考案され、そして実際に使われてきました。

なぜTorだけを利用しようとしないのかその理由は様々だが、一つにはTorをブロックするウェブサイトにアクセスするためというのがあります。
Torをブロックするウェブサイトといえば、代表的なところでは2ちゃんねるなどの掲示板や、TwitterなどのSNSがあります(※Twitterについては、自分で新規登録したアカウントならログインできる)。
そのようなサイトにアクセスしたいのであればTorを使わずに普通にアクセスすればいいのだが、要するにそのサイトで何かをしたいが匿名でいなければならないということでしょう。

ここではその何かについては深く言及しませんが、今日ではそれを解決する方法はいくつか存在し、そしてその方法がわからない人たちのためにこの記事を書こうと思います。

“TorとVPNとプロキシの関係”の続きを読む