安全なウェブサイトの作り方での目次。
2.1 ウェブサーバのセキュリティ対策について
2.2 DNS 情報の設定不備
2.3 ネットワーク盗聴への対策
2.4 パスワードの不備
2.5 フィッシング詐欺を助長しないための対策
2.6 WAF によるウェブアプリケーションの保護
2.7 携帯ウェブ向けのサイトにおける注意点
前回は、パスワードの不備を学んだ。
今回は 「フィッシング詐欺を助長しないための対策」について。
1.フィッシング詐欺を助長しないための対策
フィッシング詐欺とは、悪意のある人が、金融サイトやショッピングサイト等を装った偽のウェブサイトを作成して、利用者を巧みにそこへ誘導して、利用者の認証情報やクレジットカード番号等を不正に取得するものです。
フィッシング詐欺は、個人情報を盗む犯罪のこと。
方法は、ショッピングサイトなどの本物を偽ったサイトへ誘導し、個人情報を入力させて、それを取得する。
取得する個人情報は、ユーザID、パスワード、銀行口座番号、暗証番号、クレジットカード番号など。
誘導方法は、偽造メールに 偽サイトのURLを記載し、送りつける方法。
この 偽造メールを見破れない or 偽サイトを見破れない とフィッシング詐欺に引っかかってしまう。
一連の流れは「5分で絶対に分かるフィッシング詐欺 - @IT」がわかりやすい。
利用者が気をつけるべき犯罪に見えるが、ウェブサイト製作者も対策しないといけないっぽい。
以下対策。
実在証明書付きの SSLサーバ証明書を取得し、サイトの運営者が誰であるかを証明する
サーバ証明書は、SSL の暗号化通信を正しく実現するために必要なものですが、同時に、ウェブサ イトの運営者が誰であるかを証明する目的でも利用することができます。利用者は、パスワードやクレ ジットカード番号等を入力する画面で、サーバ証明書の内容を確認することで、閲覧中のサイトの運営者が誰であるかを確認できるようになります。
セキュリティ上、IDやパスワード、カード情報などの個人情報を入力する画面は HTTPS通信を用いる。
その HTTPS通信を利用するのに SSLが必要で、SSLにはサーバ証明書が必要となる(HTTPS←SSL←サーバ証明書)。
このサーバ証明書は、ウェブサイトの運営者が誰であるかを証明する。
利用者は、サイトのURLが「https://~」となっているかを確認したらいい。
URLを見ようぜ。
フレームを利用する場合、子フレームのURL を外部パラメータから生成しないように実装する
フレームを利用しているウェブページで、子フレームの URLを外部パラメータから生成する実装は、フィッシング詐欺に悪用される危険性があります。そのパラメータに任意のURL を指定したリンクを仕 掛けられた場合、そのリンクをアクセスした利用者は、本物サイトの親フレーム内に、偽サイトのウェブページを子フレームとして埋め込まれた画面を閲覧することになります。表示上のドメインは本物であるため、利用者が子フレームを偽サイトと見分けることは困難です。
フレームっていうのは HTMLタグの <frame>のことやと思う。
正直詳しい使用方法を学んだことがないのでわからない。
フレームに関係した脆弱性にクリックジャッキングがあるが、これはその話なの・・・?
めっさ詳しい説明がIPAから「クリックジャッキング」に関するレポート出ました | 徳丸浩の日記にて出てる。
利用者がログイン後に移動するページをリダイレクト機能で動的に実装しているウェブサイトについて、リダイレクト先の URLとして使用されるパラメータの値には、自サイトのドメインのみを許可するようにする
ウェブサイトの中には、利用者がログイン後に閲覧可能なURL にログアウトした状態でアクセスした 場合、そのURL 情報をパラメータの値等で保持してログイン画面を表示し、ログイン成功後に、そのパ ラメータの値を利用して改めてリダイレクトするものがあります。しかし、この「リダイレクト先のURL とし て使用されるパラメータの値」に制限が無い場合、このパラメータに罠のURL を指定されることにより、 フィッシング詐欺に悪用される可能性があります。
リダイレクト処理を使っている場合の注意。やべえ。
リダイレクト先のURLはパラメータの値として送信されるわけで、気をつけなければならない。
要徳丸本やな。
リダイレクトについても記事書こう。
コメント