安全なウェブサイトの作り方での目次。
2.1 ウェブサーバのセキュリティ対策について
2.2 DNS 情報の設定不備
2.3 ネットワーク盗聴への対策
2.4 パスワードの不備
2.5 フィッシング詐欺を助長しないための対策
2.6 WAF によるウェブアプリケーションの保護
2.7 携帯ウェブ向けのサイトにおける注意点
前回は、DNS情報の設定不備(安全なウェブサイトの作り方) を学んだ。学べてないけど。
今回は 「ネットワーク盗聴への対策」について。
1.ネットワーク盗聴への対策
ウェブサイトと利用者の間で交わされる情報は、ネットワークの盗聴によって不正に取得される可能性があります。通信や情報が暗号化されていない場合、盗聴によって取得された情報が悪用され、なりすまし等につながる可能性があります。
ITProより、ネットワーク盗聴とは「ネットワークを流れるデータ(パケット)を第三者が不正に取得し、内容を盗み見る行為のこと」と定義されている。
そして、このネットワーク盗聴、結構簡単にできるらしい。
サイトと利用者間のネットワークは暗号化されていない限り、盗聴されると思ってよさそう。
しかし、パスワードなどが盗まれた場合、不正ログイン(なりすまし)など行なわれてしまい、被害は大きい。
以下対策。
重要な情報を取り扱うウェブページでは、通信経路を暗号化する
通信を暗号化する主な手段として、SSL(Secure Socket Layer)やTLS(Transport Layer Security) を用いたHTTPS 通信の利用があります。個人情報の登録ページや認証情報をリクエストするログイン ページ等、保護するべき情報を扱うウェブサイトでは、通信経路を暗号化することをお勧めします。
ネットワークを暗号化するという方法。「https」のこと。
サイトと利用者の間のみ、という限定的なものであるがとても協力。
個人情報の登録、ログインページなど、URLを確認してみると「https」になっている。
欠点があるとしたら、HTTPS通信を提供していないレンタルサーバなどでは利用できない。
利用者へ通知する重要情報は、メールで送らず、暗号化されたhttps://のページに表示する
暗号化が必要な情報を利用者に通知する場合 は、HTTPS 通信を利用し、ウェブページに表示することをお勧めします。
メールで重要情報をやり取りするのはやめよう、っていう話。
利用者にパスワードなどを通知する場合は、メールだとネットワークを経由してしまうので、HTTPS通信でウェブページに表示するべき。
ウェブサイト運営者がメールで受け取る重要情報を暗号化する
上で、「メールで重要情報やり取りするのはやめよう」って言ったけど、する場合の話。
メールにも暗号化するプロトコルがある。
・S/MIME(Secure / Multipurpose Internet Mail Extensions):公開鍵暗号方式
・PGP(Pretty Good Privacy):共通鍵暗号方式と公開鍵暗号方式を組み合わせた暗号化方式
しかし、S/MIMEは受診側(利用者側)でも S/MIMEを利用できる環境でないといけない、PGPはあらかじめ秘密鍵を取得しておく必要がある、との理由で現実的ではない。
コメント